SRIが設計するFHEアクセラレータでデータ処理のアウトソーシングの安全性を強化

FHE-cloud-ecryption
FHE-cloud-ecryption

プライバシーと計算時間のギャップを埋める


データの共有化がますます進む世界では、セキュリティとプライバシーはさらに重要なものとなっています。

SRIインターナショナルのComputer Science Laboratory(CSL)は、いくつかの公的および民間レベルの取り組みにおいて、データの安全性とプライバシーの強化の分野で重要な役割を果たしています。SRIのCSLは公的な支援を受けた学際的なチームでコンピューターサイエンティストや電気工学のエンジニア、サイバーセキュリティの研究者、暗号学の研究者の力を結集し、より効果的なデータプライバシーとセキュリティのシステムを開発しています。
このラボは最近、完全準同型暗号(FHE:fully homomorphic encryption)という分野に注目しています。FHEを使用すると、ユーザーは復号化キーを使わずにクラウドに保存されている暗号化された機密データや個人データの複雑な計算を実行することができます。よって、データのセキュリティやプライバシーが棄損されるリスクを大幅に低減することができます。

SRIが率いる優れた学際的チーム

SRIは、世界クラスのコンピューターサイエンスや電気工学の専門家を集め、機械学習に関するニューラルネットワークやその他計算の評価に用いる暗号化計算[A1] に使用するアクセラレータの設計に取り組みました。このプロジェクトを率いるのは、CSLのPrincipal Computer Scientist(主任コンピューターサイエンティスト)であるKarim Eldefrawyです。Eldefrawyはコンピューターサイエンスとデジタルハードウェアの双方について深い造詣があり、サイバーセキュリティと暗号技術に関する15年の経験と電気工学のバックグラウンドを有しています。

CSLの暗号研究者やその他のメンバーに加え、マサチューセッツ工科大学(MIT)からはDaniel Sanchez教授、Srini Devadas教授、大学院生のNikola SamardzicとAxel Feldmanが、また、ミシガン大学からはChris Peikert教授とRonald Dreslinski教授もこのチームに参加しています。また、学術関係者だけでなく、Hugo Vincent博士率いるArm Ltd、およびJoakim Bechが率いるLinaroKen Stevens教授が率いるGranite Mountain Technologiesなどの大手マイクロプロセッサメーカーやチップメーカー、オープンソースソフトウェア関連組織も参加しています。

現行アーキテクチャの過大な諸経費という課題

機械学習やゲノム解析、情報検索、データセットの分析など、様々な応用領域で利用する情報のプライバシーやセキュリティを確保しつつ、暗号化されたデータの複雑な計算を実行できれば大きな利点となります。

しかし、データの真正性や完全性、そしてプライバシーを確保するには、一般的に高いコストがかかります。クラウドは大量の情報を最も実用的かつ費用対効果の高い方法で保存することができますが、不定形の大規模なデータクラウドでデータの漏洩を防止し、個人情報を保護できるアーキテクチャを開発することは、複雑で高額な費用がかかる可能性があります。

暗号化されたデータに対して、復号化することなく計算できる「準同型暗号」は、データのプライバシー保護と計算の正確さの双方を担保するという課題を解決できる技術として、以前から研究されていました。しかし、完全準同型暗号は、暗号化されていないデータを計算する場合に比べ、暗号化されたデータの演算に要する処理時間が非常に長いため、実用化が制限されていました。つまり、理論的な解決策は存在しているが、これを実践するためのテクノロジーに多大なリソースとコストがかかるという問題があったのです。
第一段階は部分準同型(古典的なRSAの公開鍵暗号方式のようなタイプ)でした。部分準同型とは、データのプライバシーと安全性を保持したまま、限られた種類の演算(RSAの場合は乗算のみ)を実行できるようにするものです。しかし、FHEに移行するには、コンピューターサイエンス理論や暗号技術、アルゴリズム、コンピューターアーキテクチャ、マイクロプロセッサの設計など、様々な分野での進歩が必要でした。

システムベースのアプローチ

部分準同型と完全準同型のギャップを埋めるにあたり、DARPA DPRIVEプログラム内のSRIのチームは、処理ビット数を増やすことで計算負荷に対応可能な新しいアクセラレータのアーキテクチャである「CraterLake」を開発しました。標準的なプロセッサの処理は32ビットまたは64ビットで実行するという制限がありますが、CraterLakeは有効ビット数を劇的に(実質数千ビットに)増やして処理能力を大幅に向上させることができ、FHEプログラムの実行を大幅にスピードアップさせることを可能にしました。

研究チームは、暗号化された暗号文を表するのに必要な数千ビットを、28ビットの小さな固まりに分割してハードウェアが並列に作動できるようにし、プロセッサが大量のビット数を処理できるようにして、このシミュレーションを実施しました。このイノベーションにより、まず標準的なプロセッサやCPUの性能が5,400倍から17,000倍も向上しました(2021年の初となる[下記参考資料: F1]の研究論文に示されており、IEEE MicroのComputer Architecture Conferencesで厳選トピックに選出されています)。

CraterLakeの最新設計では、2022年のInternational Symposium on Computer Architectureで発表した、CraterLakeの2つ目となる研究論文に示されているように、[F1]からさらに10倍の改善を達成しました。CraterLakeは、乗法深度を無限にするプログラムを可能にし、FHEの力を最大限に引き出します。

画像
図1:FHEは、計算を安全にクラウドに転送できる

FHEアクセラレータの応用によって得られる利点

このイノベーションにより、データのプライバシーとセキュリティを強化しつつ、任意のFHEプログラムを実行する既存の処理能力を向上させることができるようになりました。一例として、FHEを使って機械学習を暗号化されたデータセットで実行させることにより、ユーザーのプライバシー保護が可能になります。暗号化されたデータをクラウドのサーバーに保存し、これをサーバー上で直接計算すれば、サーバーとユーザーの間で通信のやり取りをすることがなくなります。特定の環境下ではこのような通信が禁止されることがあり、秘密マルチパーティ計算(MPC:Secure Multi-Party Computation)など、他のプライバシー保護テクノロジーが必要となることが良くあります。ここ最近展開されているMPCはハイレベルのセキュリティとプライバシーを保持しつつ、関係者が共同でデータの分散計算を行うことを可能にしていますが、分散計算を実施するには複数の関係者がオンラインであることが必要です。

コンピューターサイエンスとハードウェア検証が交わる分野のSRIの取り組み

SRIは、CraterLakeとその前身である[F1]による、FHEのハードウェア検証を公式に促進するための協力体制を築くにあたり、極めて重要な役割を果たしました。SRIには学際的なアプローチと、共同研究者となる専門家のネットワークがあるため、数学や暗号学、マイクロプロセッサ工学、システムアーキテクチャ、ソフトウェア開発の専門知識が必要となるFHEのような複雑な問題に対応することができるのです。SRIはまた、一流の民間パートナーとも長い付き合いがあり、そのイノベーションを広く活用して展開する機会を最大限活用しています。

今後の発展

FHEの先にあるものは何でしょう?CraterLakeの設計は、CKKBGVなどをはじめとする複数のFHE方式に対応していることから、今後CraterLakeが拡張すれば、現在NISTで標準化の最終段階にある格子ベースのポスト量子暗号方式・署名方式や、ポスト量子のゼロ知識証明システムなど、今は開発段階にある暗号の開発を加速させることができることでしょう。

FHEの開発を加速させるCraterLakeの進歩によって、あらゆるデータを暗号化してパブリックのクラウドサーバーにアップロードし、データのプライバシーを守りつつ計算の指示を出すことができるように、そしてクラウド事業者でも入力データや計算結果を見ることができないようにすることが可能になりました。しかも、これはサーバーが暗号鍵にアクセスする必要がなく、計算時間やメモリや帯域幅などの経費が大幅にかかるインフラも必要とせずに実行できるのです。

この研究は米国防高等研究計画局(DARPA)[A6] から一部資金提供を受けています。記載された見解、意見、および/または発見は著者のものであり、国防総省または米国政府の公式見解もしくは方針を代表するものと解釈されるべきではありません。また、性能に関する主張はDARPAによって検証されていません。

参考資料:

https://eprint.iacr.org/2010/520.pdf

https://link.springer.com/article/10.1007/BF00121125

https://web.stanford.edu/class/ee486/doc/chap2.pdf

https://www.cuemath.com/numbers/coprime-numbers

https://www.sciencedirect.com/topics/computer-science/processing-overhead https://www.arm.com/

[F1] [2109.05371] F1: A Fast and Programmable Accelerator for Fully Homomorphic Encryption (Extended Version) (arxiv.org)

[CraterLake] CraterLake: A Hardware Accelerator for Efficient Unbounded Computation on Encrypted Data (acm.org)

[CKKS] https://eprint.iacr.org/2016/421.pdf

[BGV] https://dl.acm.org/doi/10.1145/2090236.2090262


Read more from SRI