🟢 🛡️ Sicherheit Veröffentlicht: · 3 Min. Lesezeit ·

Google Research: Private KI-Modell-Analytik ohne Zugriff auf Nutzerdaten durch Zero-Trust-Aggregation und TEE

Urednička ilustracija: Privatna analitika AI modela bez pristupa korisničkim podacima kroz Zero-Trust agregaciju i TEE

Google Research hat ein System für private Analytik von KI-Modellen vorgestellt, das ein gitterbasiertes kryptografisches Protokoll mit einer Trusted Execution Environment (TEE) kombiniert, um Aggregatstatistiken zur Leistung von On-Device-Modellen zu sammeln, ohne jemals auf individuelle Nutzerdaten zuzugreifen. Das System wurde im Android System SafetyCore-Dienst auf Android 9+ eingesetzt und ermöglicht das Senden einer einzigen Nachricht, ohne dass Geräte über mehrere Runden online bleiben müssen.

🤖

Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.

Google Research veröffentlichte Details eines privaten Analysesystems, das die grundlegende Herausforderung bei der Evaluierung von On-Device-KI-Modellen löst: Wie kann man die tatsächliche Leistung von Modellen auf Nutzergeräten erfahren, ohne dabei jemals auf private Nutzerdaten zuzugreifen?

Welches Problem löst die Zero-Trust-Aggregation?

Teams, die KI-Modelle entwickeln, die auf dem Gerät laufen (On-Device-KI — Modelle, die lokal auf dem Telefon oder Computer ausgeführt werden, ohne Daten in die Cloud zu senden), stehen bei der Evaluierung vor grundlegenden Fragen:

  • Driften die Modellleistungsmetriken in der realen Nutzung?
  • Gibt es versteckte Verzerrungen in bestimmten geografischen oder demografischen Kontexten?
  • Wie hoch sind die tatsächlichen Fehlerquoten in freier Wildbahn (nicht in einer kontrollierten Testumgebung)?

Das Sammeln dieser Daten mit klassischen Methoden erfordert Zugriff auf Nutzerdaten. Zero-Trust-Aggregation löst dieses Dilemma: Aggregatstatistiken werden mit mathematischer Garantie gesammelt, ohne dass ein Zugriff auf individuelle Daten möglich ist.

Wie funktioniert das technische System?

Das System kombiniert zwei unabhängige Schutzschichten:

Gitterbasiertes kryptografisches Protokoll (Kryptografie basierend auf mathematischen Gittern — ein Bereich der post-quanten Kryptografie, der resistent gegen Quantencomputerangriffe ist): Das Gerät des Nutzers verschlüsselt lokale Daten so, dass der Server die Chiffretextwerte summieren (aggregieren) kann, aber die individuellen Daten keines einzelnen Nutzers rekonstruieren kann. Nur das Aggregat kann entschlüsselt werden.

Ein besonderer Vorteil: Das Protokoll unterstützt One-Shot-Senden — das Gerät sendet eine Nachricht und kann sich trennen. Standard-Protokolle für privates Summieren erfordern Kommunikation über mehrere Runden, was für mobile Geräte mit instabiler Verbindung unpraktisch ist.

TEE (Trusted Execution Environment — vertrauenswürdige Ausführungsumgebung): Ein spezieller isolierter Prozessorbereich, der Code in einem für den Rest des Systems unzugänglichen Speicher ausführt. Die TEE liefert einen kryptografischen Beweis (Attestierung), dass der Server tatsächlich den vorgesehenen Code ausführt — nicht einmal Googles eigenes Infrastrukturteam kann die Verarbeitungslogik ändern, ohne dass die Attestierung dies aufdeckt.

Anwendung in Android SafetyCore

Das System wurde konkret im Android System SafetyCore eingesetzt — einem Google-Systemdienst, der auf Android-9+-Geräten verfügbar ist. SafetyCore bietet private On-Device-Unterstützung für Android-Sicherheitsfunktionen, und Zero-Trust-Aggregation ermöglicht SafetyCore-Entwicklern:

  • Die Genauigkeit von Klassifikatoren für schädliche Inhalte zu evaluieren
  • Erkennungsfehler zu identifizieren
  • Modelle auf Basis von Aggregatmetriken zu verbessern

All dies ohne jeglichen Zugriff auf die privaten Inhalte der Nutzer, deren Geräte an der Evaluierung teilnehmen.

Warum ist der Zwei-Schichten-Ansatz robuster als ein einschichtiger?

Die Autoren betonen den entscheidenden Vorteil der kombinierten Architektur: Die kryptografische Schicht bietet Schutz selbst wenn die TEE-Sicherheit versagt. Jede Schicht schützt die Privatsphäre der Nutzer unabhängig, was das System widerstandsfähiger gegen komplexe Angriffe macht, die eine Schicht kompromittieren könnten, aber nicht beide gleichzeitig. Die detaillierte Methodik ist in der kryptografischen Arbeit verfügbar, die im ACM-DL-Repository veröffentlicht wurde.

Häufig gestellte Fragen

Wie schützt Zero-Trust-Aggregation die Privatsphäre der Nutzer beim Sammeln von Statistiken?
Das Gerät des Nutzers verschlüsselt Daten mit einem gitterbasierten Protokoll so, dass der Server die resultierenden Chiffretexte aggregieren, aber niemals einzelne Werte entschlüsseln kann. Zusätzlich liefert die TEE (Trusted Execution Environment) einen kryptografischen Beweis, dass der Server genau den vorgesehenen Code ausführt.
Was ist Android System SafetyCore und wie nutzt es diese Technologie?
Android System SafetyCore ist ein Google-Systemdienst für Android 9+, der private On-Device-Unterstützung für Android-Sicherheitsfunktionen bereitstellt. Er nutzt Zero-Trust-Aggregation, damit SafetyCore-Entwickler die Genauigkeit von Klassifikatoren evaluieren und die Erkennung über eine globale Geräteflotte verbessern können, ohne auf private Nutzerinhalte zuzugreifen.
Warum wird gitterbasierte Kryptografie statt Standardprotokollen verwendet?
Das gitterbasierte Protokoll ermöglicht das One-Shot-Senden von Nachrichten — das Gerät sendet eine verschlüsselte Nachricht und kann sich trennen. Standard-Protokolle für privates Summieren erfordern, dass Geräte über mehrere Kommunikationsrunden online bleiben, was für mobile Geräte mit instabiler Netzverbindung unpraktisch ist.

📬 KI-News in dein Postfach

Ein täglicher Digest nach deinen Regeln — Themen, Quellen und Rhythmus wählbar. Abmeldung mit einem Klick.