Machine Learning mit Quantencomputern

Quantum Machine Learning: eine neue Gefahr für die IT-Sicherheit oder besonders anfällig gegenüber Cyberangriffen?

Im Auftrag des BSI haben wir in einer Studie zusammen mit unserem Partner Fraunhofer IAIS erfasst, was mit Quantum Machine Learning tatsächlich schon möglich ist.

Wie sind wir hierzu vorgegangen? Als Ausgangspunkt für die Betrachtung der Angreifbarkeit von ML/QML Systemen haben wir den klassischen ML-Lebenszyklus herangezogen und die Unterschiede zwischen klassischem ML- und QML-Lebenszyklus herausgearbeitet. In der näheren Zukunft wird es noch einige Kontinuität geben – beispielsweise werden Trainingsdaten voraussichtlich weiterhin mit klassischem Computing gesammelt, erstellt und verwaltet.

Die Angreifbarkeit des klassischen ML leiten wir aus dem Lebenszyklusmodell ab. Es enthält 5 wiederholbare Phasen: Das Erheben und Vorverarbeiten von Daten sowie das Trainieren, Testen und Anwenden des Modells. Wir haben mögliche Angriffe auf die einzelnen Phasen des ML/QML Lebenszyklus ermittelt sowie weitere Angriffsflächen erläutert, klassifiziert und eingeordnet.

Vier häufige ML-spezifische Angriffstypen lassen sich unterscheiden (es gibt noch weitere):

• Evasion / Adversarial Attacks: Bei dieser Form von Angriffen versucht ein Angreifer das Modell mit schädlichen, sorgfältig manipulierten Daten zu füttern, um die ursprünglich intendierte Funktionsweise des ML-Systems (z. B. einen Spam-Klassifizierer) zu verändern. Unter der Vielzahl von Angriffen dieses Typs, die im Laufe der Jahre entwickelt und verbessert worden sind, gibt es drei verschiedene Formen: White Box-Angiffe (der Angreifer kennt das Zielmodell), Black Box-Angriffe (der Angreifer kennt das Modell nicht) und Grey Box-Angriffe (das Zielmodell ist dem Angreifer in Teilen bekannt).
• Datenvergiftung: Hier versucht der Angreifer in der Trainingsphase, das ML-System mit manipulierten/schädlichen Daten zu füttern, so dass sich das System am Ende des Tages im Sinne des Angreifers verhält (zum Beispiel Spam als normale E-Mails klassifiziert). Angriffe, die auf Data Poisoning basieren, sind für Quantum Machine Learning relevant, da QML nur wirksam und korrekt funktioniert, wenn (analog zu klassischem ML) die (Quantum-)Datenqualität hoch ist.
• Privacy Attacks: Privacy Attacks stellen Angriffe auf die Vertraulichkeit des Systems dar. Sie zielen vor allem darauf ab, die Sicherheit der persönlichen bzw. personenbezogenen Informationen zu verletzen. Ob im Umfeld des klassischen ML oder im QML-Bereich – die Schutzbedürftigkeit personenbezogener Daten bleibt gleich. So hat beispielsweise ein solcher Angriff auf ein Modell zur Gesichtserkennung die Verletzung der Privatsphäre von Nutzern verschiedener Online-Plattformen zur Folge: Ein Angreifer kann zum Namen einer dem Modell bekannten Person in etwa ihr Gesicht berechnen, indem es auf die zum Trainieren verwendeten Bilddaten zurückgreift.
• Modelldiebstahl: Der Modelldiebstahl bezeichnet ein Vorgehen, bei dem ein Angreifer das Modell mithilfe sorgfältig gestalteter Abfragen nachbaut. Dieser Ansatz ist für QML deshalb genauso gefährlich wie für klassisches ML, weil ein Angreifer anhand des gestohlenen Modells (das ihm damit voll zu Verfügung steht) auch im QML-Fall das Wissen ableiten kann, welches er zur Umgehung der QML-basierten (bzw. ML-basierten) Applikation verwenden kann – sei es ein Spamfilter oder ein IPS (Intrusion Prevention System).

Alle vier Angriffstypen betrachten wir auch als für QML relevant, d. h. QML sehen wir sehr wohl als anfällig gegenüber Angreifern, die bereits heute erfolgreich Methoden und Techniken zum Angriff auf klassisches maschinelles Lernen einsetzen. Schauen wir uns mal einen konkreten Fall an.

Fallbeispiel Spam-Filter

Spam-Filter beispielsweise könnten sowohl Ziel von Evasion Attacks als auch von Datenvergiftung und Modelldiebstahl sein. Es gibt kaum Forschung, die sich mit der Spam-Erkennung auf QML beschäftigt. Aus vielen Gründen ist nicht davon auszugehen, dass Praktiker ernsthaft planen, Spam-Erkennungssysteme auf Quantengeräten aufzubauen – weder in naher Zukunft noch in der Zeit mit ausgereifter Quantentechnologie. Offensichtliche Gründe sind sowohl die Kosten als auch die Komplexität, die sich angesichts des derzeitigen Entwicklungsstandes der Spam-Erkennung im klassischen Bereich wahrscheinlich nie rentieren werden. In ähnlicher Weise wird ein böswilliger Akteur eine extreme Motivation benötigen, um den Aufwand (und das Geld) zu investieren, um ein Quantengerät für einen Angriff auf ein Spam-Erkennungssystem zu nutzen. Nichtsdestotrotz sind notwendige Werkzeuge und zugrundeliegende Konzepte wie Textklassifikatoren im Quantum-Bereich untersucht worden und erhalten stetig mehr Aufmerksamkeit.

Zur Klassifizierung von Text (zum Beispiel E-Mails) hat sich neben anderen klassischen Machine Learning Methoden die sogenannte Support Vector Machine (SVM) etabliert. QML verspricht eine starke Effizienzsteigerung von Support Vector Machines, das heißt sie werden schneller. Außerdem benötigt eine Quantum-basierte SVM viel weniger Trainingsdaten als eine klassische SVM. Dieses Phänomen tritt in vielen Anwendungsfällen auf: Während QML klassisches Machine Learning bei großen Trainingsdatensätzen nicht übertrifft (sogar schlechter abschneidet), ist QML bei kleineren Datensätzen überlegen. Dieses Phänomen trifft nicht nur für textbezogene, sondern auch auf bildbezogene Aufgaben zu.

Ist umgekehrt QML gefährlich für die IT-Sicherheit?

Ein Beispiel für die Gefahren von QML für die Cybersicherheit ist die Kryptoanalyse: Ein böswilliger Akteur könnte damit eine Verschlüsselung, die öffentliche Schlüssel nutzt, aushebeln und verschlüsselte Daten leicht lesen. Dies ist der Grund für die Bemühungen des US-amerikanischen National Institute of Standards and Technology (NIST), Krypto-Algorithmen mit öffentlichen Schlüsseln zu finden, die auch in diesem Szenario sicher sind.

Wir gehen davon aus, dass unter Verwendung von QML manipulierte Daten zum Angriff auf klassische ML-Modelle schneller, in größerer Zahl sowie höherer Qualität und mit höherem Verschleierungsgrad (diese schädlichen Daten wären schwerer aufdeckbar) erstellt werden können. Während andere, klassische Angreifer mehr Wissen über das angegriffene System benötigen, kann der quantenfähige böswillige Akteur aufgrund der (mit Quantum gegebenen) höheren Rechenleistung Angriffe wählen, die weniger Wissen erfordern.

Für den Moment kommen wir in der Studie zu dem Schluss, dass QML noch keine tatsächliche Gefahr darstellt oder zumindest punktuell die Sicherheit erhöht – doch beides könnte sich schnell ändern. Da Quantencomputer inzwischen eine technische Realität sind und sich ihre Fähigkeiten offenbar rasch weiterentwickeln werden, erwarten Experten, dass Quantenvorteile für bestimmte Arten von (anspruchsvollen) Berechnungen schon bald in der Praxis nutzbar gemacht werden können. Für den boomenden Bereich des maschinellen Lernens bedeutet dies, dass Quantencomputertechnologien und Algorithmen realistische Anwendungen finden.

Dies wiederum wirft die Frage auf, welche Anwendungsbereiche durch QML angegriffen werden könnten. Ein Bereich, der einem hier sofort in den Sinn kommt, ist das weite Feld der Informations- und Cybersicherheit, nicht zuletzt, weil eine der frühen Erfolgsgeschichten der Quantencomputer-Forschung die Erkenntnis von Shor war, dass universelle Quantencomputer die Kryptographie mit öffentlichen Schlüsseln leicht brechen könnten. Diese Erkenntnis ist zwar beunruhigend, hat aber auch zu intensiver Forschung im Bereich der Post-Quanten-Kryptographie geführt – mit ersten vielversprechenden Ergebnissen wie Learning With Errors (LWE).

Die IT- oder Cybersicherheit umfasst jedoch mehr Aspekte als nur die sichere Kommunikation. Im allgemeineren Kontext kann angewandtes maschinelles Lernen sowohl zu erhöhten Risiken als auch zu verbesserter Sicherheit führen. Zum jetzigen Zeitpunkt ist es jedoch wichtig, darauf hinzuweisen, dass moderne lernende Systeme zwar eine Vielzahl anspruchsvoller Aufgaben lösen können, ihre derzeitigen menschenähnlichen kognitiven Fähigkeiten aber ein relativ junges Phänomen sind. Daher werden ML-Lösungen auch erst seit kurzem zunehmend als offensive oder defensive Werkzeuge in der Cybersicherheit eingesetzt. Eine Postquantum-Sichtweise auf diesen Bereich steht noch weitgehend aus.

Weiterführende Infos finden Sie hier:

Quantum Machine Learning – State of The Art and Future Directions

Quantum Machine Learning im Kontext der IT-Sicherheit

Capgemini and Fraunhofer IAIS lead study in Quantum Machine Learning for IT security