====== Migration ======

<WRAP round tip>
**Priorität 3** – Für bestehende PKI-Infrastrukturen \\
**Zielgruppe:** PKI-Administratoren, Security-Architekten
</WRAP>

Strategien und Runbooks für die Migration von klassischen zu Post-Quantum-fähigen PKI-Infrastrukturen.

----

===== Übersicht =====

<mermaid>
flowchart LR
    subgraph CLASSIC["🔐 KLASSISCH"]
        C1[RSA-2048]
        C2[ECDSA P-256]
    end

    subgraph HYBRID["🔄 HYBRID"]
        H1[RSA + ML-DSA]
        H2[ECDSA + ML-DSA]
    end

    subgraph PQ["🚀 POST-QUANTUM"]
        P1[ML-DSA-65]
        P2[ML-DSA-87]
    end

    C1 --> H1 --> P1
    C2 --> H2 --> P2

    style CLASSIC fill:#ffebee
    style HYBRID fill:#fff3e0
    style PQ fill:#e8f5e9
</mermaid>

----

===== Migrationspfade =====

| Pfad | Beschreibung | Risiko | Dauer |
|------|--------------|--------|-------|
| **Classic → Hybrid** | Schrittweise Migration mit Rückwärtskompatibilität | Niedrig | 6-12 Monate |
| **Parallel-Betrieb** | Zwei PKIs gleichzeitig | Mittel | 3-6 Monate |
| **Big Bang** | Kompletter Umstieg | Hoch | 1-3 Monate |

----

===== Szenarien =====

^  Szenario  ^  Beschreibung  ^  Risiko  ^
| [[.:classic-to-hybrid|Classic → Hybrid]] | RSA/ECDSA zu Hybrid-Modus migrieren | Mittel |
| [[.:parallel-betrieb|Parallel-Betrieb]] | Klassisch + PQ gleichzeitig betreiben | Niedrig |
| [[.:rollback-strategie|Rollback-Strategie]] | Notfall-Rückfall planen und testen | - |
| [[.:inventur|Zertifikats-Inventur]] | Bestandsaufnahme aller Zertifikate | Niedrig |

----

===== Migrationsphasen =====

<mermaid>
gantt
    title PKI Migration Timeline
    dateFormat  YYYY-MM
    section Vorbereitung
    Inventur           :a1, 2024-01, 1M
    Risikoanalyse      :a2, after a1, 1M
    Testumgebung       :a3, after a2, 2M
    section Pilot
    Pilot-Gruppe       :b1, after a3, 2M
    Evaluation         :b2, after b1, 1M
    section Rollout
    Infrastruktur      :c1, after b2, 2M
    Server-Certs       :c2, after c1, 3M
    Client-Certs       :c3, after c2, 3M
    section Abschluss
    Monitoring         :d1, after c3, 1M
    Classic deaktiv.   :d2, after d1, 1M
</mermaid>

----

===== Entscheidungsbaum =====

<mermaid>
flowchart TD
    A[Migration starten] --> B{Neue PKI oder bestehende?}
    B -->|Neu| C[Direkt PQ/Hybrid]
    B -->|Bestehend| D{Kompatibilitäts-Anforderung?}
    D -->|Hoch| E[Parallel-Betrieb]
    D -->|Mittel| F[Hybrid-Migration]
    D -->|Niedrig| G[Big Bang]
    E --> H[Beide PKIs betreiben]
    F --> I[Schrittweise Upgrade]
    G --> J[Kompletter Ersatz]

    style C fill:#e8f5e9
    style F fill:#fff3e0
    style G fill:#ffebee
</mermaid>

----

===== Voraussetzungen =====

| Komponente | Anforderung |
|------------|-------------|
| OpenSSL | 3.6+ (PQ-Support) |
| Clients | Hybrid-fähige TLS-Stacks |
| HSM | PQ-Algorithmen unterstützt |
| Monitoring | Dual-Mode Alerting |

----

===== Verwandte Dokumentation =====

  * [[de:int:pqcrypt:business:migration-roadmap|Business Migration-Roadmap]] – Strategische Planung
  * [[de:int:pqcrypt:developer:migration|Developer Migration]] – Code-Anpassungen
  * [[de:int:pqcrypt:konzepte:start|Krypto-Modi]] – Hybrid vs. PQ

----

<< [[..:start|← Operator-Szenarien]] | [[.:classic-to-hybrid|→ Classic → Hybrid]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>operator migration hybrid pq legacy}}