====== 3.4 Troubleshooting ======

Risoluzione dei problemi comuni con l'infrastruttura crittografica PQ.

----

===== Diagnosi rapida =====

Eseguire questi comandi per verificare lo stato del sistema:

<code bash>
# 1. Versione OpenSSL
openssl version
# Atteso: OpenSSL 3.6.0 o superiore

# 2. Algoritmi PQ disponibili?
openssl list -signature-algorithms | grep -i "ml-dsa"
openssl list -kem-algorithms | grep -i "ml-kem"

# 3. Provider attivo?
openssl list -providers

# 4. .NET Runtime
dotnet --list-runtimes | grep "NETCore.App 8"
</code>

----

===== Errori OpenSSL =====

==== libcrypto non trovato ====

**Sintomo:**
<code>
Unable to load DLL 'libcrypto-3-x64.dll'
</code>

**Diagnosi:**
<code bash>
# Windows - Cercare DLL
where libcrypto-3-x64.dll

# Linux - Cercare Shared Library
ldconfig -p | grep libcrypto

# macOS - Cercare Dylib
ls /usr/local/lib/libcrypto*
</code>

**Soluzione Windows (PowerShell come amministratore):**
<code powershell>
# Verificare PATH
$env:PATH -split ";" | Select-String "OpenSSL"

# Estendere PATH (se non presente)
[Environment]::SetEnvironmentVariable("Path", $env:Path + ";C:\Program Files\OpenSSL\bin", "Machine")

# Oppure impostare OPENSSL_PATH
[Environment]::SetEnvironmentVariable("OPENSSL_PATH", "C:\Program Files\OpenSSL\bin", "Machine")
</code>

**Soluzione Linux:**
<code bash>
# Aggiornare ldconfig
echo "/usr/local/openssl/lib64" | sudo tee /etc/ld.so.conf.d/openssl.conf
sudo ldconfig

# Verificare
ldconfig -p | grep libcrypto
</code>

----

==== Versione OpenSSL troppo vecchia ====

**Sintomo:**
<code>
OpenSSL version 3.6.0+ required for ML-DSA
</code>

**Diagnosi:**
<code bash>
# Versione completa e info build
openssl version -a

# Trovare versioni installate (Linux)
find /usr -name "openssl" -type f 2>/dev/null

# Trovare versioni installate (Windows)
where /r C:\ openssl.exe 2>nul
</code>

**Soluzione:**
Aggiornare a OpenSSL 3.6.0+ → [[.:installation|Installazione]]

----

==== Algoritmi PQ non disponibili ====

**Sintomo:**
<code bash>
openssl list -signature-algorithms | grep -i "ml-dsa"
# Nessun output
</code>

**Diagnosi:**
<code bash>
# Verificare stato provider
openssl list -providers

# Tutti gli algoritmi di firma disponibili
openssl list -signature-algorithms

# Tutti gli algoritmi KEM disponibili
openssl list -kem-algorithms
</code>

**Possibili cause:**
  * OpenSSL < 3.6.0 (ML-DSA/ML-KEM solo da 3.6)
  * Provider non caricato
  * Build custom senza supporto PQ

----

===== Errori certificato =====

==== Mostrare dettagli certificato ====

<code bash>
# Analizzare certificato in formato PEM
openssl x509 -in cert.pem -text -noout

# Verificare algoritmo di firma
openssl x509 -in cert.pem -text -noout | grep "Signature Algorithm"

# Per certificati PQ atteso:
# Signature Algorithm: ML-DSA-65 o ML-DSA-87

# Dettagli chiave pubblica
openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -text -noout
</code>

==== Verificare catena certificati ====

<code bash>
# Verifica semplice
openssl verify -CAfile root-ca.crt -untrusted intermediate.crt server.crt

# Verbose con dettagli errore
openssl verify -verbose -CAfile root-ca.crt -untrusted intermediate.crt server.crt

# Output atteso in caso di successo:
# server.crt: OK
</code>

**Errori di verifica comuni:**

^  Errore  ^  Significato  ^  Soluzione  ^
| ''unable to get local issuer certificate'' | Certificato CA mancante | Aggiungere Root/Intermediate CA |
| ''certificate has expired'' | Certificato scaduto | Rinnovare certificato |
| ''certificate signature failure'' | Firma non valida | Certificato danneggiato/manipolato |
| ''self signed certificate in chain'' | Self-signed non fidato | Aggiungere Root CA al Trust Store |

----

===== Errori storage chiavi =====

==== Chiave PQ non trovata ====

**Sintomo:**
<code>
PQ private key not found for certificate thumbprint: ABC123...
</code>

**Diagnosi:**

**Windows (PowerShell):**
<code powershell>
# Percorso storage chiavi PQ
$pqKeyStore = "$env:LOCALAPPDATA\WvdS.Crypto\PqKeys"

# Verificare esistenza
Test-Path $pqKeyStore

# Elencare contenuto
Get-ChildItem $pqKeyStore -ErrorAction SilentlyContinue

# Verificare permessi
Get-Acl $pqKeyStore | Format-List
</code>

**Linux:**
<code bash>
# Percorso storage chiavi PQ
PQ_KEYSTORE=~/.local/share/wvds-crypto/pqkeys

# Verificare esistenza
ls -la $PQ_KEYSTORE

# Verificare permessi (dovrebbe essere 700)
stat $PQ_KEYSTORE
</code>

**Soluzione:**
  - Ripristinare backup
  - Se nessun backup: Ricreare certificato con nuova coppia di chiavi

----

===== Errori modalita FIPS =====

==== FIPS Provider non attivo ====

**Diagnosi:**
<code bash>
# Elencare provider
openssl list -providers

# Dovrebbe contenere:
#   fips
#     name: OpenSSL FIPS Provider
#     status: active
</code>

**Soluzione:**
Attivare FIPS Provider in ''openssl.cnf'' → [[.:konfiguration#fips-modus_openssl|Configurazione FIPS]]

----

==== Algoritmo non conforme FIPS ====

**Sintomo:**
<code>
error:0308010C:digital envelope routines::unsupported
</code>

**Causa:** Algoritmo non consentito in modalita FIPS.

**Algoritmi approvati FIPS 140-3:**

^  Tipo  ^  Consentiti  ^  Non consentiti  ^
| Firma | ML-DSA-44/65/87, RSA >=2048, ECDSA | Ed25519, Ed448 |
| KEM | ML-KEM-512/768/1024 | X25519, X448 |
| Hash | SHA-256, SHA-384, SHA-512 | MD5, SHA-1 |
| Cipher | AES-GCM | ChaCha20 |

----

===== Diagnosi di rete =====

==== Testare connessione TLS ====

<code bash>
# Handshake TLS e verifica certificato
openssl s_client -connect server.example.com:443 -showcerts

# Con bundle CA specifico
openssl s_client -connect server.example.com:443 -CAfile /path/to/ca-bundle.crt

# Forzare TLS 1.3
openssl s_client -connect server.example.com:443 -tls1_3
</code>

==== Recuperare certificato da server ====

<code bash>
# Scaricare e salvare certificato
openssl s_client -connect server.example.com:443 < /dev/null 2>/dev/null | \
    openssl x509 -outform PEM > server.crt

# Analizzare certificato
openssl x509 -in server.crt -text -noout
</code>

----

===== Analisi log =====

==== Codici errore OpenSSL ====

<code bash>
# Cercare codice errore
openssl errstr 0308010C

# Mostrare tutti gli errori recenti (se in modalita debug)
openssl errstr
</code>

==== Verificare Event Log Windows ====

<code powershell>
# Eventi relativi a crittografia
Get-EventLog -LogName Application -Source "*Crypto*" -Newest 20

# Errori .NET Runtime
Get-EventLog -LogName Application -Source ".NET Runtime" -Newest 10 -EntryType Error
</code>

==== Verificare Syslog Linux ====

<code bash>
# Voci relative a OpenSSL
journalctl | grep -i openssl | tail -20

# Errori .NET Runtime
journalctl | grep -i dotnet | tail -20
</code>

----

===== Approfondimenti =====

  * [[.:installation|Installazione]] – Configurazione corretta
  * [[.:konfiguration|Configurazione]] – Modalita FIPS, percorsi
  * [[.:betrieb|Operazioni]] – Health Check, certificati

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>troubleshooting fehler diagnose openssl}}