====== 2.3 Strategija i tehnologija ====== Stratesko planiranje i tehnoloske odluke za post-kvantnu kriptografiju. ---- ===== Faze migracije ===== Faza 1 Faza 2 Faza 3 Faza 4 ------ ------ ------ ------ Priprema Hibrid Validacija Samo-PQ Danas --------------------------------------------------------> Buducnost Instalirati Novi cert. Obje sig. Samo PQ biblioteku hibridni validirati (opcionalno) ---- ===== Faza 1: Priprema ===== **Aktivnosti:** * Evaluacija NuGet paketa * Implementacija OpenSSL 3.6 u testno okruzenje * Inventar: Koji sustavi koriste kriptografiju? * Procjena rizika: Koji podaci imaju dugorocnu potrebu za zastitom? **Rezultat:** Biblioteka instalirana, u Classic-nacinu rada (bez promjene ponasanja) ---- ===== Faza 2: Aktivacija hibridnog nacina ===== **Aktivnosti:** * Aktiviranje CryptoMode.Hybrid u pilotnom projektu * Kreiranje novih certifikata (automatski hibridni) * Testovi kompatibilnosti s naslijedenim klijentima * Postupno uvodenje na ostale sustave **Rezultat:** Novi certifikati su PQ-zasticeni, stari nastavljaju raditi ---- ===== Faza 3: Validacija ===== **Aktivnosti:** * Aktiviranje validacije PQ-potpisa * Postavljanje monitoringa za greske validacije * Postupna zamjena naslijedenih certifikata * Dokumentacija i edukacija **Rezultat:** Potpuna hibridna validacija aktivna ---- ===== Faza 4: Samo-PQ (opcionalno) ===== **Preduvjet:** Svi sustavi PQ-sposobni **Aktivnosti:** * Aktiviranje CryptoMode.PostQuantum * Uklanjanje podrske za naslijedene sustave * Potpuna PQ-sigurnost **Napomena:** Za vecinu organizacija Faza 3 je dovoljna. ---- ===== Prioritizacija ===== ^ Prioritet ^ Sustavi ^ Obrazlozenje ^ | 1 (odmah) | Dugorocne arhive, ugovori | Najveca potreba za zastitom | | 2 (kratkorocno) | PKI, certifikatna infrastruktura | Osnova za ostale sustave | | 3 (srednjorocno) | API-ji, web servisi | Tekuca komunikacija | | 4 (naknadno) | Interni sustavi | Manji rizik presretanja | ---- ===== Tehnoloske odluke ===== ==== Zasto OpenSSL 3.6? ==== ^ Kriterij ^ OpenSSL 3.6 ^ Alternative ^ | **FIPS-validacija** | FIPS 140-3 validabilno | Bouncy Castle: Bez FIPS | | **PQ-algoritmi** | ML-DSA, ML-KEM nativno | liboqs: Eksperimentalno | | **Odrzavanje** | OpenSSL Foundation, dugorocno | Mali timovi, nesigurno | | **Performanse** | Hardverski optimizirano (AES-NI, AVX) | Cesto cisti softver | ==== Zasto AES-256-GCM? ==== ^ Kriterij ^ AES-256-GCM ^ ChaCha20-Poly1305 ^ | **FIPS-certifikacija** | FIPS 197 (standard) | Nije FIPS-certificirano | | **Hardverska podrska** | AES-NI na svim CPU-ima | Bez hardverske akceleracije | | **PQ-sigurnost** | 128-bit post-kvantno | 128-bit post-kvantno | ==== Zasto hibrid umjesto samo-PQ? ==== ^ Aspekt ^ Hibrid (preporuceno) ^ Samo-PQ ^ | **Rizik** | Minimalan - dva sloja sigurnosti | Veci - samo PQ-algoritmi | | **Kompatibilnost** | Naslijedeni sustavi rade | Prekida s naslijedenim | | **NIST-preporuka** | Preporuceno za prijelazno razdoblje | Tek nakon migracije | ---- ===== Sazetak za revizije ===== ^ Odluka ^ Obrazlozenje ^ Referenca ^ | OpenSSL 3.6 | FIPS-validabilno, industrijski standard | OpenSSL Foundation | | AES-256-GCM | FIPS 197 certificirano, hardverski ubrzano | NIST FIPS 197 | | ML-DSA/ML-KEM | NIST-standardizirano (FIPS 203/204) | NIST PQC Project | | Hibridni nacin | NIST/BSI preporuceno, defenzivno | NIST SP 800-227 | ---- ===== Faktori uspjeha ===== * **Executive Sponsorship:** Podrska uprave * **Rani pocetak:** Ne cekajte kvantna racunala * **Postupno uvodenje:** Minimizacija rizika kroz faze * **Monitoring:** Prepoznavanje i ispravljanje gresaka validacije * **Dokumentacija:** Za revizije i prijenos znanja ---- ===== Daljnje informacije ===== * [[..:developer:migration|Migracija (tehnicka)]] - Detaljni koraci * [[.:compliance|Uskladenost]] - Regulatorni zahtjevi * [[..:administrator:start|Administrator]] - Operativna provedba ---- //Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional// {{tag>strategie migration planung technologie audit}}