零信任聚合实现隐私分析

我们推出了一种隐私分析解决方案，该方案结合了一种新型加密协议用于安全聚合，并利用可信执行环境的透明性特性，实现了业界领先的隐私和安全保障。

通过在本地处理数据，设备端AI能够提供增强的保护和及时预警，同时保持用户信息的私密性。例如，Android使用名为SafetyCore的系统来提供保护隐私的设备端功能和通用基础设施，以保护用户免受不良内容的侵害。在开发设备端技术时，团队需要了解他们的系统在数百万台智能手机上的运行效果，每台设备都有独特的数据分布、不同的硬件限制和不同的用户行为。为了以仅揭示集体趋势而不泄露个人用户数据的方式实现这一目标，团队可以利用加密安全聚合作为关键构建模块。与所有加密协议一样，安全聚合使用先进的数学工具来提供安全保证。

今天，我们为隐私分析服务中的高效加密聚合设定了更高的标准。我们遵循零信任原则，旨在减少对任何单一实体的信任需求。我们通过结合加密和硬件保护机制的新安全设计来实现这一目标。我们的解决方案利用了一种新的加密聚合方法，可证明地保证Google只能获得关于群体的匿名化聚合洞察。此外，可信执行环境被用于提供严格的认证和透明性层。

设备端模型部署的挑战

当模型在设备端本地部署时，仅仅知道模型"正在运行"并不足以理解其行为、有效性或故障模式。这限制了回答关键问题的能力，比如模型在真实世界条件下的表现如何、哪些功能被使用最多、在什么情况下模型会失败等。这就是隐私分析成为必要桥梁的地方，它能够在不泄露个人用户内容的情况下，提供关于群体的匿名化聚合洞察。

Google团队使用联邦分析来获取这种聚合的隐私洞察，应用于Pixel录音机、Gboard等产品。联邦分析需要一个私密的聚合路径，其中来自各个设备的数据在合并成总和之前受到保护。在这种情况下，已经出现了两种保护用户数据的范式：基于硬件的隔离（可信执行环境）和加密协议。

基于硬件的隔离

硬件方法以可信执行环境为中心，例如Intel TDX、AMD SEV-SNP等。核心思想是创建一个"安全飞地"——本质上是处理器和内存的受保护部分，与设备的其余部分隔离。在这个飞地内，数据可以以明文形式解密和处理，即使操作系统被攻陷或存在恶意虚拟机监控程序也能受到保护。

通过称为认证的过程，可信执行环境可以计算在飞地内运行的确切固件和软件状态的硬件支持的加密"指纹"。对于用户或审计员来说，认证提供了可验证的保证，即数据正在由他们期望的特定防篡改程序处理，而不是旨在泄露信息的修改版本。Google已经在Pixel录音机应用中部署了基于可信执行环境的差分隐私聚合，用于计算AI系统的洞察。

然而，可信执行环境隔离机制在不断演进。研究人员定期发现侧信道漏洞，攻击者可以利用这些漏洞使可信执行环境保证失效，或使应用程序级别的特定保证失效。虽然社区正在努力加固现有解决方案以抵御已知的侧信道攻击，但预计会发现新的侧信道漏洞。因此，在理想的系统中，数据应该受到多层安全保护，这样即使可信执行环境的安全模型失败，数据也不会被泄露。

加密协议的局限性

另一方面，加密协议依赖于数学技术，这些技术带有可证明的保证，即个人数据无法被重建，唯一可见的值是聚合的匿名化输出。Google已经大规模部署了两代安全聚合协议。然而，其广泛使用受到复杂性的限制，因为它要求用户设备在长时间的多轮协议中保持在线。

单次提交的加密协议

我们的新解决方案引入了一种新颖的加密协议，允许用户设备在单次一次性消息中安全提交其信息，克服了传统交互式方案的障碍。通过启用单次消息提交，我们消除了设备需要在线进行多轮与服务器交互的需求。

集成到Google的机密联邦分析系统中，我们将这种更高效的协议与可信执行环境内的执行相结合，创建了一个多层防御架构。通过这个解决方案，机密性不再完全依赖于硬件保护。加密层确保个人原始数据永远不会在任何服务器内存中暴露或重建——即使在硬件保护的范围内也不会。唯一一次在设备外处理未加密数据是在最后阶段，此时数据已经被聚合和匿名化。此外，我们的解决方案利用可信执行环境认证机制，为所有参与者提供高保证的可验证证明，证明安全聚合协议正在按预期执行，即通过编译和运行正确的公开可用代码。

技术实现原理

在核心层面，我们的加密解决方案由一种创新的基于格的协议驱动，该协议允许客户端以一种方式加密其数据，使得生成的密文可以被聚合，同时聚合底层消息以及加密密钥。现在，使服务器能够获得聚合值所需的唯一东西是一个只能解密聚合值的解密密钥。为了帮助完成这项任务，我们在客户端之间组成小型委员会，这些委员会持有提示，帮助解锁用额外的差分隐私噪声掩盖的聚合值。客户端根据其可用性不经常地在委员会中服务，并促进这样的特性：任何解密密钥都在多个方之间共享，每个方都保护加密数据的机密性。

实际应用案例

Android系统SafetyCore是一个面向Android 9+设备的Google系统服务，为Android安全功能提供保护隐私的设备端支持。在设备端安全领域，像SafetyCore这样的工具发挥着关键作用。然而，为了让这些工具不断演进，开发人员需要了解它们在真实世界中的性能——具体来说，哪些威胁被捕获，以及在哪些方面有机会进一步完善检测能力，所有这些都不会损害用户隐私。

为了弥合这一差距，我们与Android SafetyCore团队合作，使用我们最先进的隐私分析解决方案来提高分类器的准确性，同时保护隐私。依赖聚合的保护隐私的匿名化洞察在这里至关重要；它允许工程师在全球多样化设备群中测量安全模型的"真阳性"率，而无需看到触发本地警报的私密敏感内容。通过观察这些高层次趋势，开发人员可以优化模型阈值并部署更新，更好地保护用户，确保安全系统对新兴威胁保持有效，同时保持原始数据的私密性并严格隔离在设备上。Android SafetyCore将利用我们的零信任隐私分析来评估指示其工具有效性的元数据，同时尊重其隐私承诺，即用户内容仅保留在设备上。我们很高兴推出一项技术，帮助Android实现更广泛的使命，即在保护用户隐私的同时保护用户安全。

未来展望

用于安全计算的加密技术带来了基于数学证明的强大安全保证。我们展示了如何以与大规模分布式系统部署兼容的方式设计安全聚合协议。与现有安全机制集成的最终解决方案提高了隐私分析的安全标准。展望未来，我们正在探索在此模型中扩展支持的计算集的机会。

Q&A

Q1：什么是零信任聚合隐私分析解决方案？

A：这是一种结合了新型加密协议和可信执行环境的隐私保护技术。它允许在不泄露个人用户数据的情况下，从数百万台设备中获取匿名化的聚合洞察。该方案采用多层防御架构，即使硬件安全模型失效，数据也不会被泄露。

Q2：为什么传统的安全聚合协议使用受限？

A：传统加密协议要求用户设备在长时间的多轮协议中保持在线状态，这在实际应用中很难实现。新方案通过单次消息提交克服了这一障碍，设备只需发送一次性消息即可完成数据提交，无需持续在线。

Q3：Android SafetyCore如何使用这项技术？

A：SafetyCore利用零信任隐私分析来评估其安全工具的有效性元数据，例如测量安全模型的真阳性率，帮助开发人员优化威胁检测能力。整个过程中用户的敏感内容始终保留在设备上，只有匿名化的聚合趋势数据被分析。