====== 2.1 Compliance ====== Conformita normativa e standard per la crittografia post-quantum. ---- ===== Standard NIST ===== La libreria implementa gli standard NIST finali per la crittografia PQ: ^ Standard ^ Algoritmo ^ Utilizzo ^ Stato ^ | FIPS 203((NIST FIPS 203: https://csrc.nist.gov/pubs/fips/203/final)) | ML-KEM | Incapsulamento chiavi | Finale (2024) | | FIPS 204((NIST FIPS 204: https://csrc.nist.gov/pubs/fips/204/final)) | ML-DSA | Firme digitali | Finale (2024) | Questi standard sono il risultato del progetto di standardizzazione Post-Quantum Cryptography del NIST, durato 8 anni. ---- ===== Raccomandazioni normative ===== ==== BSI (Germania) ==== L'Ufficio federale per la sicurezza informatica((BSI PQC: https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kryptografie/Post-Quanten-Kryptografie/post-quanten-kryptografie_node.html)) raccomanda: * Migrazione alla crittografia PQ entro il 2030 * Soluzioni ibride per il periodo di transizione * Priorita ai dati a lunga conservazione (>10 anni di protezione) ==== ENISA (UE) ==== L'Agenzia europea per la sicurezza informatica((ENISA: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation)) raccomanda: * Valutazione immediata delle soluzioni PQ * Cripto-agilita come principio di design * Inventario degli asset crittografici ---- ===== Requisiti specifici per settore ===== ^ Settore ^ Rilevanza ^ Motivazione ^ | Finanza | Alta | Obblighi a lungo termine, dati transazionali | | Sanita | Alta | Dati pazienti, conservazione 30+ anni | | Pubblica amministrazione | Alta | Segreti di stato, infrastrutture | | Industria | Media | Certificati a lungo termine, dispositivi IoT | ---- ===== Supporto audit ===== **Conformita dimostrabile:** * Algoritmi NIST FIPS 203/204 * OpenSSL 3.6 (base validabile FIPS) * Firme ibride documentate (estensione X.509) * Documentazione API completa -> [[..:..:api:start|Riferimento API]] **Documentazione per audit:** * Scelta degli algoritmi giustificata (standard NIST) * Gestione chiavi documentata * Percorso di migrazione tracciabile ---- ===== Approfondimenti ===== * [[.:risiko|Rischio]] - Perche agire ora * [[.:migration-roadmap|Strategia & Tecnologia]] - Pianificazione implementazione * [[..:..:konzepte:algorithmen|Algoritmi]] - Dettagli tecnici ---- //Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional// {{tag>compliance nist fips bsi enisa}}