Suitability of hardware security modules for securing remote access in high-performance environments

Abstract

A Virtual Private Network (VPN) enables encrypted access to private networks.In environments with particularly high security requirements, it may be necessary to protect the secret keys required for VPN operation from physical access to an exceptional degree.By storing the secret keys in a Hardware Security Module (HSM), these keys can be protected from physical attacks, but all cryptographic operations using these keys must take place within the HSM.Depending on the deployment environment, this may mean that the HSM has to perform several hundred to several thousand calculations per second.This thesis examines the suitability of HSMs for physically securing VPNs in high-performance environments.As part of this thesis, a prototype of a performance testing environment was developed. Through laboratory experiments using the prototype, various theoretical test scenarios were tested in practice.The results of this thesis show that HSMs are suitable for improving the physical protection of VPNs.Although this leads to performance losses compared to a VPN without any special physical protection, the tested prototype was able to handle several thousand VPN clients without interruption.This demonstrates that HSMs are powerful enough to secure a VPN even in high-performance environments.

In Umgebungen mit besonders hohen Anforderungen an die Sicherheit kann es notwendig sein, die geheimen Schlüssel, die für den Betrieb von VPNs erforderlich sind, in besonderem Maße vor physischen Zugriffen zu schützen. Durch das Speichern der geheimen Schlüssel in einem Hardware-Sicherheitsmodul (HSM) können diese zwar vor physischen Angriffen geschützt werden, jedoch müssen alle kryptografischen Operationen, die diese Schlüssel nutzen, innerhalb des HSM durchgeführt werden. Dies kann je nach Einsatzumgebung bedeuten, dass im HSM wenige Hundert bis zu einigen Tausend Berechnungen pro Sekunde durchgeführt werden müssen. Diese Diplomarbeit untersucht die Eignung von HSMs zur physischen Absicherung von VPNs in Hochleistungsumgebungen. Im Rahmen dieser Diplomarbeit wurde ein Prototyp einer Leistungstestumgebung entwickelt. Anhand von Laborexperimenten mithilfe des Prototyps konnten verschiedene theoretische Testszenarien in der Praxis getestet werden. Die Resultate dieser Arbeit zeigen, dass HSMs geeignet sind, den physischen Schutz von VPNs zu verbessern. Obwohl sich dadurch Leistungseinbußen im Vergleich zu einem VPN ohne besonderen physischen Schutz ergeben, war der getestete Prototyp in der Lage, mehrere tausend VPN-Clients ohne Störung zu bedienen. Dies zeigt, dass HSMs auch in Hochleistungsumgebungen performant genug sind, um ein VPN abzusichern.