Securing Private Federated Learning in a Malicious Setting: A Scalable TEE-Based Approach with Client Auditing
2509.08709v2
cs.LG, cs.CR
2025-09-12
Авторы:
Shun Takagi, Satoshi Hasegawa
Резюме на русском
## Контекст
Прикладное федеративное обучение (Federated Learning, FL) становится все более востребованым для обучения моделей машинного обучения в распределенной среде. Одним из ключевых аспектов этой области является обеспечение конфиденциальности данных, которое достигается через применение методов дифференциальной приватности (Differential Privacy, DP). Одним из наиболее популярных подходов является DP-FTRL, основанный на методе "следуйте за регуляризованным лидером" (Follow-the-Regularized-Leader, FTRL). Несмотря на его эффективность, существующие реализации DP-FTRL предполагают, что сервер выполняет свои функции в честности (semi-honest). Однако это предположение может быть нарушено в реальных условиях, где сервер может быть злоумышленником. При этом существующие решения не подходят для обеспечения безопасности в таких условиях из-за сложности управления состояниями в системе. Мотивацией для настоящего исследования является разработка алгоритма, обеспечивающего безопасность в сеттинге злонамеренного сервера, при этом сохраняя системную эффективность и масштабируемость.
## Метод
Для решения этой проблемы предлагается расширение серверной части системы, которое выполняет функции доверенного вычислительного базиса (Trusted Execution Environment, TEE). Это расширение позволяет производить проверку действий сервера с помощью вычисления проверочных подписей (proofs). Клиенты, выбранные для участия в аудите, проводят проверку подписей с небольшим дополнительным объемом обмена данными и вычислительными затратами. Таким образом, модель DP-FTRL остается масштабируемой, в то же время обеспечивая безопасность в условиях злонамеренного сервера. Для доказательства корректности подхода предлагаются формальные обоснования, основанные на интерактивной дифференциальной приватности (interactive differential privacy). Также разработана архитектура, которая обеспечивает масштабируемость и живучесть системы.
## Результаты
На практике была проведена аналитическая оценка эффективности разработанного подхода, а также проведены эксперименты в реальных условиях. В экспериментах было продемонстрировано, что добавленное расширение почти не влияет на общую скорость обучения и масштабируемость системы. Было также подтверждено, что модель обеспечивает безопасность в условиях злонамеренного сервера с формальными гарантиями по дифференциальной приватности. Набор использованных данных включал реалистичные сценарии работы с данными, что позволило проверить систему на реальных условиях. Результаты показали, что протокол DP-FTRL с TEE-расширением демонстрирует хорошие показатели в сравнении с существующими решениями.
## Значимость
Разработанная модель мож
Abstract
In cross-device private federated learning, differentially private
follow-the-regularized-leader (DP-FTRL) has emerged as a promising
privacy-preserving method. However, existing approaches assume a semi-honest
server and have not addressed the challenge of securely removing this
assumption. This is due to its statefulness, which becomes particularly
problematic in practical settings where clients can drop out or be corrupted.
While trusted execution environments (TEEs) might seem like an obvious
solution, a straightforward implementation can introduce forking attacks or
availability issues due to state management. To address this problem, our paper
introduces a novel server extension that acts as a trusted computing base (TCB)
to realize maliciously secure DP-FTRL. The TCB is implemented with an ephemeral
TEE module on the server side to produce verifiable proofs of server actions.
Some clients, upon being selected, participate in auditing these proofs with
small additional communication and computational demands. This extension
solution reduces the size of the TCB while maintaining the system's scalability
and liveness. We provide formal proofs based on interactive differential
privacy, demonstrating privacy guarantee in malicious settings. Finally, we
experimentally show that our framework adds small constant overhead to clients
in several realistic settings.
Ссылки и действия
Дополнительные ресурсы: