====== 4.3 Migration ======

Schrittweise Migration von klassischer zu hybrider/post-quantischer Kryptographie.

----

===== Migrationspfad =====

<code>
Phase 1          Phase 2          Phase 3          Phase 4
Classic    →    Hybrid     →    Hybrid+    →    PostQuantum
(nur RSA)       (RSA+ML-DSA)    (Validierung)   (nur ML-DSA)
</code>

----

===== Phase 1: Vorbereitung =====

**Ziel:** Bibliothek installieren, im Classic-Modus bleiben.

<code csharp>
// Keine Änderung am bestehenden Verhalten
CryptoConfig.DefaultMode = CryptoMode.Classic;
</code>

  * NuGet-Paket installieren
  * OpenSSL 3.6 bereitstellen → [[de:int:pqcrypt:administrator:installation|Installation]]
  * Bestehende Tests ausführen (müssen weiterhin bestehen)

----

===== Phase 2: Hybrid aktivieren =====

**Ziel:** Neue Zertifikate sind PQ-geschützt, alte funktionieren weiterhin.

<code csharp>
// Hybrid-Modus aktivieren
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
</code>

**Was passiert:**
  * Neue Zertifikate: RSA-Signatur + ML-DSA-Signatur (X.509-Extension)
  * Alte Zertifikate: Werden weiterhin akzeptiert
  * Legacy-Clients: Ignorieren PQ-Extension, validieren nur RSA

----

===== Phase 3: Validierung aktivieren =====

**Ziel:** PQ-Signaturen werden aktiv geprüft (nicht nur erzeugt).

<code csharp>
// Kette mit PQ-Validierung bauen
var chain = new X509Chain();
bool valid = chain.Build(cert, CryptoMode.Hybrid);

// Prüfen ob PQ-Signatur vorhanden
if (cert.HasPqSignature())
{
    bool pqValid = cert.VerifyPqSignature();
}
</code>

----

===== Phase 4: Vollständig PostQuantum (optional) =====

**Ziel:** Nur noch PQ-Algorithmen, maximale Sicherheit.

<WRAP warning>
Nur wenn **alle** Clients PQ-fähig sind!
</WRAP>

<code csharp>
CryptoConfig.DefaultMode = CryptoMode.PostQuantum;
</code>

----

===== Kompatibilitätsmatrix =====

^  Erzeuger-Modus  ^  Validierer-Modus  ^  Ergebnis  ^
| Classic | Classic | ✓ Funktioniert |
| Classic | Hybrid | ✓ Funktioniert (nur RSA validiert) |
| Hybrid | Classic | ✓ Funktioniert (PQ-Extension ignoriert) |
| Hybrid | Hybrid | ✓ Funktioniert (beide validiert) |
| PostQuantum | Classic | ✗ Fehler (keine RSA-Signatur) |
| PostQuantum | Hybrid | ✗ Fehler (keine RSA-Signatur) |
| PostQuantum | PostQuantum | ✓ Funktioniert |

----

===== Weiterführend =====

  * [[de:int:pqcrypt:business:migration-roadmap|Strategie]] – Zeitplanung und Risikobewertung
  * [[de:int:pqcrypt:konzepte:sicherheit|Sicherheit]] – Bedrohungsmodell

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>migration hybrid classic postquantum}}