OpenSSLにおけるCREAM脆弱性について

摘要

本稿はBernsteinによって2005年に発表され，後にTony ArcieriによってCREAMと名付けられた攻撃について検討する．この攻撃はキャッシュによって生じる暗号化にかかる時間のばらつきを計測することでAESに対して鍵の解読を行う．攻撃を行う条件のうち，実現が困難とされているものとして，攻撃者が精確な時間を測定することがあげられる．そこで攻撃の稟現性を高めるために，クラウド環境においてVM間でのサイクル数の相互作用を利用することを提案する．また本稿はPOODLE攻撃の実現性を評価する．POODLEはSSLv3.0に対しての中間者攻撃であり，セキュアなクッキーを取得する．POODLEに対して実装を行い，その実現性について確認する．