A Multiparty Homomorphic Encryption Approach to Confidential Federated Kaplan Meier Survival Analysis

Deze paper introduceert een privacybehoudend federatief kader voor Kaplan-Meier-survivalanalyse dat gebruikmaakt van drempel-CKKS-homomorfische encryptie om gevoelige gezondheidsgegevens over meerdere instellingen te analyseren zonder deze te centraliseren, waarbij de resultaten numeriek nauwkeurig zijn maar kwetsbaarheden voor reconstructie door aftrekken worden voorkomen.

De kern

Stel je voor dat honderd verschillende ziekenhuizen in Noorwegen elk een eigen verzameling medische dossiers hebben over patiënten met borstkanker. Ze willen samenwerken om te ontdekken: "Hoe lang overleven patiënten gemiddeld na een diagnose?" Dit heet een Kaplan-Meier overlevingsanalyse.

Het probleem is dat ze hun dossiers niet naar één centraal punt mogen sturen. Dat is illegaal en onethisch vanwege de privacy. Iedereen wil weten hoe hun eigen patiënten het doen, maar niemand wil dat een ander ziekenhuis de namen en details van die patiënten ziet.

De auteurs van dit artikel hebben een slimme oplossing bedacht, een soort digitale veiligheidskast met een meervoudig slot. Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het Probleem: De "Aftrektruc"

In de oude manier van werken (zonder deze nieuwe technologie) stuurden de ziekenhuizen hun getallen naar een coördinator. De coördinator telde alles op en stuurde het totaal terug.

• Het gevaar: Als ziekenhuis A zijn eigen getallen heeft, kan het het totaal van de coördinator zien en zijn eigen getallen gewoon aftrekken.
• Het resultaat: Ziekenhuis A weet dan precies wat de andere ziekenhuizen hebben bijgedragen. Alsof je het totale bedrag op een rekening ziet, je eigen storting aftrekt, en zo precies weet hoeveel geld de buren hebben gestort. Dit is een privacy-lekkage.

2. De Oplossing: De "Onzichtbare Rekenmachine" (Homomorf Versleuteling)

De auteurs gebruiken een techniek genaamd Homomorf Versleuteling.

• De Analogie: Stel je voor dat je een brief in een glazen kistje doet dat volledig is gevuld met zand. Je kunt de kist niet openen, maar je kunt hem wel op een speciale machine leggen die de inhoud van het kistje optelt met de inhoud van een ander kistje, zonder dat je ooit het zand ziet.
• In dit geval sturen de ziekenhuizen hun patiëntgetallen niet als gewone cijfers, maar als "versleutelde kistjes". De coördinator telt al die kistjes bij elkaar op, maar ziet de inhoud niet.

3. Het Meervoudige Slot (Drempel-Decryptie)

Om de kistjes uiteindelijk te openen en het antwoord te krijgen, is één sleutel niet genoeg.

• De Analogie: Stel je voor dat er een grote kluis is met 10 sloten. Om hem te openen, moet je niet alleen de sleutel van de directeur hebben, maar ook die van 9 andere mensen. Als er maar 1 persoon is met een sleutel, kan hij de kluis niet openen.
• In het artikel heet dit een drempel-decryptie. Een groep vertrouwde personen (een comité) moet samenwerken om de versleutelde som te openen. Zelfs als de coördinator (de persoon die de kistjes telt) probeert te spioneren, kan hij niets zien omdat hij niet over alle sleutels beschikt.

4. De "Interleaving" Truc (Het inpakken van de koffer)

De auteurs hebben ook een slimme manier bedacht om de versleutelde kistjes kleiner te maken.

• De Analogie: Stel je voor dat je twee soorten kleding moet inpakken: sokken en schoenen.
  • De oude manier: Je pakt alle sokken in één grote koffer en alle schoenen in een tweede grote koffer. Je hebt dus twee zware koffers nodig.
  • De nieuwe manier (Interleaved): Je pakt één sok, één schoen, weer één sok, weer één schoen... in één enkele koffer.
• Door de getallen zo slim te "verweven" (interleaving), hebben ze minder versleutelde kistjes nodig. Dit maakt het proces sneller en goedkoper, zonder dat de privacy in gevaar komt.

5. Het Eindresultaat: Alleen het antwoord, nooit de details

Wanneer de kluis eindelijk open gaat (door het comité samen), krijgen ze het totaal te zien.

• Ze zien het eindresultaat: "Patiënten overleven gemiddeld 5 jaar."
• Ze zien NIET: "Ziekenhuis A had 100 patiënten, Ziekenhuis B had 50."
• Omdat ze alleen het eindresultaat zien, kan niemand meer de "aftrektruc" uitvoeren. De privacy is gewaarborgd.

Waarom is dit belangrijk?

Dit artikel bewijst dat je:

1. Veilig kunt samenwerken zonder data te delen.
2. Nauwkeurig kunt rekenen (de resultaten zijn bijna 100% hetzelfde als als je alle data in één grote database had gezet).
3. Schaalbaar kunt werken (het werkt zelfs met 500 ziekenhuizen tegelijk).

Kortom: Het is alsof honderd mensen samen een puzzel oplossen, waarbij niemand ooit de stukjes van de ander ziet, maar ze wel samen het complete plaatje krijgen. Dit maakt het mogelijk om grote medische doorbraken te boeken zonder dat de privacy van patiënten wordt geschonden.

Technische samenvatting

Probleemstelling

Survivalanalyse (bijv. de Kaplan-Meier schatter) is cruciaal voor klinisch en epidemiologisch onderzoek, maar vereist vaak het centraliseren van gevoelige patiëntgegevens. Dit wordt echter belemmerd door strikte privacy- en governance-regelgeving (zoals de AVG). Federatieve analyse (FA) lost dit op door data lokaal te houden, maar bestaande implementaties hebben twee grote tekortkomingen:

1. Privacy-haakje: In veel huidige federatieve protocollen worden tussentijdse statistieken (zoals het aantal risicovolle personen $n_t$ en het aantal gebeurtenissen $d_t$ per tijdstip) in plaintext uitgewisseld. Dit maakt een "substractie-aanval" mogelijk: een site kan de bijdrage van andere sites reconstrueren door de totale federale som te verminderen met zijn eigen lokale gegevens.
2. Theoretische lacunes: Er ontbreekt een formele analyse van hoe benaderende homomorfische encryptie (HE) de nauwkeurigheid van de Kaplan-Meier schatter beïnvloedt, en er zijn geen schaalwetten voor communicatie en berekening specifiek voor dit type analyse.

Methodologie

De auteurs presenteren een privacybehoudend, federatief framework gebaseerd op Multiparty Homomorphic Encryption (MHE) met het CKKS-schema (Cheon-Kim-Kim-Song). CKKS is gekozen omdat het benaderende zwevendekommaberekeningen ondersteunt, wat essentieel is voor survivalanalyse.

Het protocol verloopt in drie fasen:

1. Fase A (Setup & Grid): Sites wisselen hun lokale unieke tijdstippen (event en censuur) in plaintext uit om een globale uitlijningsgrid ($T_{all}$) te vormen. Een gezamenlijke publieke sleutel wordt gegenereerd via Distributed Key Generation (DKG).
2. Fase B (Versleutelde Aggregatie): Elke site berekent lokale tellingen ($n_t, d_t$) op de globale grid, verpakt deze in CKKS-ciphertexts en versleutelt ze. De coördinator voert alleen homomorfische optellingen uit op deze ciphertexts. Er worden geen plaintexts vrijgegeven.
3. Fase C (Drempel-Decryptie & Output Gating): Een comité van decryptors (een subset van de sites of een externe groep) levert partiële decryptieshares. Deze worden gefuseerd om de geaggregeerde plaintext-tellingen te herstellen. Cruciaal is Output Gating: alleen de finale overlevingscurve $\hat{S}_{HE}(t)$ (en optionele betrouwbaarheidsintervallen) wordt vrijgegeven. De tussentijdse tabellen met $n_t$ en $d_t$ worden nooit aan de deelnemers of de coördinator (als deze niet deelneemt aan het comité) onthuld.

Technische Optimalisaties:

• Interleaved Packing: De auteurs bewijzen dat het interlacen van de streams $(n_t, d_t)$ in dezelfde ciphertext-slots (in plaats van ze apart te verpakken) de communicatiekosten minimaliseert zonder nauwkeurigheid te verliezen.
• Drempeldecryptie: Door een $\theta$-of-$R$ drempelmechanisme te gebruiken, wordt voorkomen dat een enkele partij de data kan decoderen.

Belangrijkste Bijdragen

1. Volledig MHE Framework: Een implementatie van federatieve Kaplan-Meier analyse met drempel-CKKS en strikte output-gating, die alleen de publieke overlevingscurve vrijgeeft.
2. Estimator-Level Garanties:
   • Bewijs dat de federatieve plaintext-versie exact gelijk is aan de centrale "oracle".
   • Bewijs dat exacte HE dezelfde resultaten oplevert.
   • Een perturbatiegrens voor CKKS die aantoont dat de fouten uniform convergeren naar nul naarmate het ruisniveau daalt.
   • Een identificeerbaarheidsresultaat: Het vrijgeven van de overlevingscurve onthult alleen hazard-ratio's, maar maakt het onmogelijk om de onderliggende gehele aantallen ($n_t, d_t$) of de bijdragen per site te reconstrueren.
3. Schaalwetten: Afgeleide formules voor communicatie- en rekentijd die lineair groeien met het aantal sites ($K$) en trapsgewijs met het aantal tijdstippen ($|T|$).
4. Optimalisatie van Packing: Een formeel bewijs dat "interleaved packing" optimaal is voor het minimaliseren van het aantal ciphertexts bij add-only aggregatie.

Resultaten

De methode is geëvalueerd op een synthetische borstkankerdataset ($N=60.000$) verdeeld over tot 500 sites, en op de NCCTG longkankerdataset.

• Privacy: In plaintext-protocollen bleek reconstructie van andere sites' data via substractie exact mogelijk te zijn (F1-score 1.0, nul fouten). Het voorgestelde MHE-framework elimineert dit risico volledig omdat de tussentijdse tellingen nooit in plaintext worden vrijgegeven.
• Nauwkeurigheid: De versleutelde Kaplan-Meier-curves zijn numeriek ononderscheidbaar van de centrale oracle. De fouten liggen op het niveau van machineprecisie ($10^{-8}$ tot $10^{-12}$), ongeacht het aantal sites of de data-distributie (IID vs. non-IID).
• Efficiëntie:
  • Schaalbaarheid: De rekentijd en communicatiekosten groeien lineair met het aantal sites.
  • Interleaved vs. Separate Packing: Interleaved packing levert een snelheidswinst van 10% tot 22% op bij grotere federaties (500 sites) door het aantal ciphertexts en decryptie-shares te verminderen, zonder in te leveren op nauwkeurigheid.
  • Overhead: Hoewel HE meer overhead introduceert dan plaintext-berekeningen (milliseconden vs. seconden), is de totale doorlooptijd (end-to-end) haalbaar voor grote federaties.

Betekenis en Conclusie

Dit werk biedt een praktische oplossing voor veilige, multi-institutionele survivalanalyse. Het overbrugt de kloof tussen theoretische cryptografie en klinische toepasbaarheid door:

1. Een substractie-aanval te blokkeren die in eerdere federatieve systemen vaak over het hoofd werd gezien.
2. Te bewijzen dat benaderende encryptie (CKKS) voldoende nauwkeurig is voor statistische inferentie in de geneeskunde.
3. Voorspelbare schaalwetten te bieden die organisaties in staat stellen de kosten (bandbreedte en rekentijd) vooraf te berekenen.

De studie concludeert dat dit framework een evenwicht biedt tussen hoge privacy, statistische betrouwbaarheid en operationele haalbaarheid, waardoor het een sterke kandidaat is voor de implementatie van privacybehoudende federatieve gezondheidsstudies op grote schaal.