1 0 0 0 RAMBleedによるOpenSSLの秘密情報の回復
DRAM(Dynamic Random Access Memory)の一つのアドレスにアクセスを繰り返して,その近隣でビット反転を誘発することをRowhammer という.RAMBleed は Rowhammer を利用したサイドチャネル攻撃であり,一般ユーザのアクセス権限がない秘密情報を読み取り可能である.本論文では,OpenSSL により TLS 通信が実装された Apache Web サーバに対して,RAMBleed を用いてサーバの秘密情報の回復できることを明らかにする.まず,OpenSSL および Apache の挙動を解析し,TLS ハンドシェイクを実行する際に,RSA の秘密鍵生成に用いられる 2 つの素数がメモリ上の特定の位置に展開されることがわかった.これらの秘密情報の RAMBleed による読み取り結果には一部に誤りが含まれるが,RSA 暗号の解析手法を用いることで誤りのない秘密情報を回復可能である.我々は,OpenSSL で用いられる RSA 秘密鍵を回復するまでの RAMBleed を含む一連の攻撃を実装し,高い確率で秘密情報を取得できることを示した.