@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00214403,
 author = {冨田, 千尋 and 瀧田, 愼 and 福島, 和英 and 仲野, 有登 and 白石, 善明 and 森井, 昌克 and Chihiro, Tomita and Makoto, Takita and Kazuhide, Fukushima and Yuto, Nakano and Yoshiaki, Shiraishi and Masakatu, Morii},
 book = {コンピュータセキュリティシンポジウム2021論文集},
 month = {Oct},
 note = {DRAM（Dynamic Random Access Memory）の一つのアドレスにアクセスを繰り返して，その近隣でビット反転を誘発することをRowhammer という．RAMBleed は Rowhammer を利用したサイドチャネル攻撃であり，一般ユーザのアクセス権限がない秘密情報を読み取り可能である．本論文では，OpenSSL により TLS 通信が実装された Apache Web サーバに対して，RAMBleed を用いてサーバの秘密情報の回復できることを明らかにする．まず，OpenSSL および Apache の挙動を解析し，TLS ハンドシェイクを実行する際に，RSA の秘密鍵生成に用いられる 2 つの素数がメモリ上の特定の位置に展開されることがわかった．これらの秘密情報の RAMBleed による読み取り結果には一部に誤りが含まれるが，RSA 暗号の解析手法を用いることで誤りのない秘密情報を回復可能である．我々は，OpenSSL で用いられる RSA 秘密鍵を回復するまでの RAMBleed を含む一連の攻撃を実装し，高い確率で秘密情報を取得できることを示した．, There exists an attack called Rowhammer, in which repeated accesses to rows of DRAM induce bit flipping within its neighboring rows. A side-channel attack called RAMBleed, which is based on the Rowhammer attack, can extract secrets that the attacker cannot access, and has been reported to be applicable to OpenSSH. In this paper, we apply RAMBleed to the Apache Web server, which implements TLS using OpenSSL. As a result of analyzing the behavior of OpenSSL and Apache, we found that when a newly created child process executes the TLS handshake, the two prime numbers used to generate the RSA secret key are placed in memory and are located at the same offset in the memory page. Using this behavior, we show that an attacker can force the server to spawn a child process to induce the secrets in an arbitrary memory location and recover the secrets with high probability.},
 pages = {25--32},
 publisher = {情報処理学会},
 title = {RAMBleedによるOpenSSLの秘密情報の回復},
 year = {2021}
}