VFEFL: Privacy-Preserving Federated Learning against Malicious Clients via Verifiable Functional Encryption

O artigo propõe o VFEFL, um framework de aprendizado federado que utiliza um novo esquema de Criptografia Funcional Verificável Descentralizada (CC-DVFE) para garantir privacidade, robustez contra clientes maliciosos e verificabilidade sem depender de servidores não colusivos ou terceiros confiáveis.

O essencial

Imagine que você e seus amigos querem treinar um "cérebro" artificial (um modelo de inteligência artificial) para reconhecer gatos e cachorros. O problema é que ninguém quer mostrar suas fotos pessoais para ninguém, nem mesmo para o professor que vai coordenar o projeto.

A Aprendizagem Federada é a solução: cada um treina o cérebro com suas próprias fotos no computador de casa e envia apenas as "lições aprendidas" (o modelo atualizado) para o professor. O professor junta tudo e cria um cérebro mais inteligente.

Mas, como qualquer grupo, há riscos:

1. Segurança: Se você enviar a "lição" em papel aberto (texto puro), o professor ou um espião pode olhar e descobrir exatamente quais fotos você usou.
2. Trapaceiros: Alguém pode enviar uma "lição" totalmente errada ou maliciosa para estragar o cérebro coletivo, fazendo com que ele pareça um idiota.

O artigo que você enviou apresenta uma nova solução chamada VFEFL. Vamos explicar como funciona usando analogias simples:

1. O Grande Problema: Como confiar sem ver?

Na maioria das soluções atuais, para garantir que ninguém trapaceie e que os dados estejam seguros, é necessário ter dois professores que não se conhecem e não combinam entre si, ou um terceiro confiável (como um juiz) para vigiar tudo. Isso é complicado e caro.

O VFEFL diz: "Não precisamos de juízes extras nem de dois professores. Podemos fazer isso com apenas um, mas com uma mágica matemática."

2. A Mágica: Criptografia Funcional Verificável (CC-DVFE)

Pense no sistema de criptografia do VFEFL como um cofre inteligente e indestrutível.

• O Cofre (Criptografia): Quando você envia sua "lição" (o modelo), ela é trancada em um cofre. O professor não consegue abrir o cofre para ver suas fotos (privacidade garantida).
• A Chave Mestra (Chave Funcional): O professor tem uma chave especial que não abre o cofre para ver o conteúdo, mas permite que ele calcule a média das lições sem nunca ver o que está dentro. É como se ele pudesse somar os números dentro do cofre sem precisar abri-lo.
• O Carimbo de Garantia (Verificabilidade): Aqui está a parte genial. Cada aluno envia, junto com o cofre, um selo de garantia (uma prova matemática). Esse selo prova que:
  1. O cofre foi feito corretamente (não está vazio ou cheio de lixo).
  2. A lição dentro segue as regras do jogo (não é um ataque malicioso).

Se o selo não bater certo, o professor sabe exatamente quem é o trapaceiro e descarta a lição dele, sem precisar abrir o cofre de ninguém.

3. O Filtro de Confiança (A Nova Regra de Agregação)

O artigo também cria uma nova regra para o professor somar as lições. Imagine que o professor tem um modelo de referência (um "olho clínico" treinado com fotos limpas e seguras).

Quando as lições chegam:

• O professor olha para a direção da lição do aluno. Ela aponta para o mesmo lado que o "olho clínico"?
• Ele também olha para o tamanho da lição. Alguém tentou gritar mais alto que os outros enviando um modelo gigante e distorcido?

A regra do VFEFL diz: "Se a lição aponta na direção certa e tem um tamanho razoável, nós a aceitamos. Se alguém tentar gritar mais alto (amplificar o modelo) para dominar o grupo, nós cortamos o volume e ignoramos."

Isso impede que um trapaceiro destrua o cérebro coletivo, mesmo que ele tente enviar um modelo gigante e malicioso.

4. Por que isso é revolucionário?

• Sem "Juízes" Extras: Você só precisa de um servidor central. Não precisa confiar em duas empresas diferentes que não se conhecem.
• Privacidade Total: O servidor nunca vê seus dados brutos.
• Resistência a Trapaceiros: Se alguém tentar sabotar o sistema, o selo de garantia e a regra de tamanho detectam e eliminam o ataque.
• Precisão: Quando ninguém está trapaceando, o sistema funciona tão bem quanto os métodos tradicionais, sem perder qualidade.

Resumo da Ópera

O VFEFL é como uma reunião de vizinhos onde todos enviam suas receitas de bolo para criar o "melhor bolo do mundo", mas:

1. Ninguém precisa mostrar os ingredientes secretos (privacidade).
2. Cada receita vem em uma caixa lacrada com um selo oficial que prova que a receita é real e não foi adulterada (verificabilidade).
3. O organizador tem uma régua mágica que mede se a receita está "na medida certa" e descarta quem tentou colocar 100kg de açúcar para estragar o bolo (robustez contra maliciosos).
4. Tudo isso é feito com apenas um organizador, sem precisar de um comitê de ética gigante.

O artigo prova matematicamente que isso funciona e mostra testes reais onde o sistema resistiu a ataques e manteve a alta qualidade do modelo final. É um passo importante para tornar a Inteligência Artificial mais segura e privada para todos nós.

Resumo técnico

Resumo Técnico: VFEFL

1. Problema Abordado

O Federated Learning (FL) permite o treinamento colaborativo de modelos sem compartilhar dados locais, preservando a privacidade. No entanto, o paradigma enfrenta dois desafios críticos de segurança:

• Vazamento de Privacidade: O envio de modelos locais em texto plano (plaintext) torna-se inseguro devido a avanços em ataques de inversão de modelo (model inversion attacks), que permitem reconstruir dados sensíveis a partir dos gradientes ou parâmetros do modelo.
• Ataques de Clientes Maliciosos (Byzantinos): A natureza distribuída do FL o torna vulnerável a clientes maliciosos que podem enviar modelos corrompidos, chaves de descriptografia inválidas ou cifrados manipulados para degradar a precisão do modelo global ou quebrar o processo de agregação.

Soluções existentes frequentemente dependem de suposições não realistas, como a existência de dois servidores que não coludam (non-colluding dual-server) ou de terceiros confiáveis adicionais, o que limita sua aplicabilidade em arquiteturas básicas de FL (um servidor e múltiplos clientes). Além disso, muitos esquemas de criptografia dificultam a verificação da integridade dos dados cifrados, impedindo a detecção de clientes maliciosos.

2. Metodologia Proposta (VFEFL)

O artigo propõe o VFEFL, um framework de Federated Learning que preserva a privacidade e resiste a clientes maliciosos, operando em uma arquitetura básica de servidor único sem terceiros confiáveis. A solução baseia-se em três pilares principais:

• Esquema de Criptografia Funcional Verificável Descentralizada (CC-DVFE):

  • Os autores propõem um novo esquema de Cross-Ciphertext Decentralized Verifiable Functional Encryption para produtos internos.
  • Este esquema permite que múltiplos clientes criptografem seus vetores de modelo localmente.
  • Inclui mecanismos de Prova de Conhecimento Zero (ZKP) para verificar a corretude dos cifrados e das partes de chaves funcionais (functional key shares) sem revelar os dados subjacentes.
  • Permite a verificação de relações específicas sobre múltiplos cifrados, essencial para a agregação robusta.

• Regra de Agregação Robusta:

  • Inspirada no FLTrust, mas adaptada para o ambiente criptográfico.
  • O servidor possui um pequeno conjunto de dados limpo (root dataset) para treinar um modelo de referência (baseline model, $W_0^t$).
  • A regra de agregação calcula a similaridade direcional entre o modelo local do cliente ($W_i^t$) e o modelo de referência, utilizando o produto interno.
  • Aplica-se a função ReLU ao produto interno para descartar atualizações que vão na direção oposta ao modelo global (indicando ataque).
  • A regra normaliza a magnitude dos modelos, impedindo que clientes maliciosos amplifiquem seus parâmetros para dominar a agregação (resolvendo ataques de escala).

• Fluxo de Trabalho:

  1. Configuração: Geração de parâmetros públicos e chaves descentralizadas pelos clientes.
  2. Treinamento e Cifragem: Clientes treinam localmente, criptografam o modelo e geram provas ZKP.
  3. Verificação: O servidor verifica as provas de cifragem e das chaves funcionais. Clientes com provas inválidas são rejeitados.
  4. Agregação Segura: O servidor combina as chaves funcionais verificadas, descriptografa os modelos agregados e normaliza o resultado para obter a atualização global.

3. Principais Contribuições

1. Novo Esquema Criptográfico (CC-DVFE): Definição formal, modelo de segurança e prova de segurança para um esquema de criptografia funcional que suporta verificação de relações entre múltiplos cifrados, eliminando a necessidade de servidores não coludentes.
2. Framework VFEFL: Integração do CC-DVFE com uma nova regra de agregação robusta que detecta e mitiga ataques de clientes maliciosos (incluindo ataques adaptativos e de escala) enquanto preserva a privacidade dos dados locais.
3. Análise Teórica e Experimental:
   • Prova de segurança (privacidade, robustez, verificabilidade) sob suposições de dificuldade computacional (DDH, HSM).
   • Implementação de um protótipo e avaliação empírica em múltiplos conjuntos de dados (MNIST, Fashion-MNIST, CIFAR-10).

4. Resultados Experimentais

Os experimentos demonstraram que o VFEFL atinge os três objetivos principais:

• Fidelidade (Fidelity): Em cenários sem ataques, a precisão do modelo global é comparável ao FedAvg padrão (ex: ~99% no MNIST), indicando que o esquema não introduz ruído ou perda de acurácia desnecessária.
• Robustez (Robustness): O sistema resistiu eficazmente a quatro tipos de ataques:
  • Ataque Gaussiano: Queda de precisão inferior a 0,1%.
  • Ataque de Escala (Scaling): Diferente de outros métodos que falham aqui, o VFEFL manteve alta precisão ao normalizar a magnitude dos modelos.
  • Ataque Adaptativo: Resistência a ataques otimizados para burlar regras de agregação comuns.
  • Label Flipping: Alta precisão de classificação e baixa taxa de sucesso do ataque (ASR).
• Eficiência: Embora a criptografia introduza sobrecarga computacional (especialmente na geração de provas e no cálculo de logaritmos discretos), o tempo total de treinamento permanece dentro de limites aceitáveis para implantação prática. A fase de configuração e a geração de chaves escalam linearmente com o número de clientes.

5. Significado e Impacto

O trabalho VFEFL é significativo por resolver o dilema entre privacidade, segurança contra ataques maliciosos e arquitetura simples no Federated Learning.

• Eliminação de Terceiros Confiáveis: Ao contrário de soluções anteriores que exigem múltiplos servidores não coludentes ou autoridades de confiança, o VFEFL opera em uma arquitetura de servidor único, tornando-o mais viável para cenários do mundo real (saúde, finanças, computação de borda).
• Verificabilidade em Dados Cifrados: Demonstra que é possível verificar a integridade e a conformidade dos modelos criptografados sem comprometer a privacidade, permitindo a detecção de comportamentos maliciosos antes da agregação.
• Avanço na Criptografia Aplicada: A proposta do esquema CC-DVFE avança o estado da arte em Functional Encryption, permitindo verificações cruzadas entre cifrados de múltiplos usuários, o que é crucial para sistemas distribuídos seguros.

Em suma, o VFEFL oferece uma solução prática e teoricamente fundamentada para tornar o Federated Learning seguro contra ataques internos e externos, sem sacrificar a privacidade dos dados ou a precisão do modelo.