How Private are DP-SGD Implementations?

要約

さまざまな種類のバッチ サンプリング ((i) シャッフリング、および (ii) ポアソン サブサンプリング) の下で、適応バッチ線形クエリ (ABLQ) メカニズムのプライバシー保証の間に大きなギャップがあることを実証します。
Differentially Private Stochastic Gradient Descent (DP-SGD) の典型的な分析は、ABLQ の後処理として解釈されます。
実際の実装ではシャッフルベースの DP-SGD がより一般的に使用されていますが、分析的にも数値的にも、簡単なプライバシー分析には適していません。
一方、ポアソン サブサンプリング ベースの DP-SGD は、スケーラブルに実装することが困難ですが、プライバシー分析は十分に理解されており、複数のオープンソースで数値的に厳密なプライバシー アカウンタウンタが利用可能です。
これにより、実際にはシャッフル ベースの DP-SGD を使用するが、対応するポアソン サブサンプリング バージョンのプライバシー分析を使用するという一般的な方法が生まれました。
私たちの結果は、2 種類のバッチ サンプリングを使用した場合、プライバシー分析の間に大きなギャップが存在する可能性があることを示しており、したがって、DP-SGD のプライバシー パラメーターを報告する際には注意する必要があります。

要約(オリジナル)

We demonstrate a substantial gap between the privacy guarantees of the Adaptive Batch Linear Queries (ABLQ) mechanism under different types of batch sampling: (i) Shuffling, and (ii) Poisson subsampling; the typical analysis of Differentially Private Stochastic Gradient Descent (DP-SGD) follows by interpreting it as a post-processing of ABLQ. While shuffling-based DP-SGD is more commonly used in practical implementations, it has not been amenable to easy privacy analysis, either analytically or even numerically. On the other hand, Poisson subsampling-based DP-SGD is challenging to scalably implement, but has a well-understood privacy analysis, with multiple open-source numerically tight privacy accountants available. This has led to a common practice of using shuffling-based DP-SGD in practice, but using the privacy analysis for the corresponding Poisson subsampling version. Our result shows that there can be a substantial gap between the privacy analysis when using the two types of batch sampling, and thus advises caution in reporting privacy parameters for DP-SGD.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google