====== 4.3 Migrazione ======

Migrazione graduale dalla crittografia classica a quella ibrida/post-quantum.

----

===== Percorso di migrazione =====

<code>
Fase 1          Fase 2          Fase 3          Fase 4
Classic    →    Hybrid     →    Hybrid+    →    PostQuantum
(solo RSA)      (RSA+ML-DSA)    (Validazione)   (solo ML-DSA)
</code>

----

===== Fase 1: Preparazione =====

**Obiettivo:** Installare la libreria, rimanere in modalita Classic.

<code csharp>
// Nessuna modifica al comportamento esistente
CryptoConfig.DefaultMode = CryptoMode.Classic;
</code>

  * Installare pacchetto NuGet
  * Distribuire OpenSSL 3.6 → [[..:..:administrator:installation|Installazione]]
  * Eseguire test esistenti (devono continuare a passare)

----

===== Fase 2: Attivare Hybrid =====

**Obiettivo:** I nuovi certificati sono protetti PQ, quelli vecchi continuano a funzionare.

<code csharp>
// Attivare modalita Hybrid
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
</code>

**Cosa succede:**
  * Nuovi certificati: Firma RSA + Firma ML-DSA (estensione X.509)
  * Vecchi certificati: Continuano ad essere accettati
  * Client legacy: Ignorano estensione PQ, validano solo RSA

----

===== Fase 3: Attivare validazione =====

**Obiettivo:** Le firme PQ vengono attivamente verificate (non solo generate).

<code csharp>
// Costruire catena con validazione PQ
var chain = new X509Chain();
bool valid = chain.Build(cert, CryptoMode.Hybrid);

// Verificare se firma PQ presente
if (cert.HasPqSignature())
{
    bool pqValid = cert.VerifyPqSignature();
}
</code>

----

===== Fase 4: Completamente PostQuantum (opzionale) =====

**Obiettivo:** Solo algoritmi PQ, massima sicurezza.

<WRAP warning>
Solo se **tutti** i client sono PQ-capable!
</WRAP>

<code csharp>
CryptoConfig.DefaultMode = CryptoMode.PostQuantum;
</code>

----

===== Matrice di compatibilita =====

^  Modalita generatore  ^  Modalita validatore  ^  Risultato  ^
| Classic | Classic | ✓ Funziona |
| Classic | Hybrid | ✓ Funziona (solo RSA validato) |
| Hybrid | Classic | ✓ Funziona (estensione PQ ignorata) |
| Hybrid | Hybrid | ✓ Funziona (entrambi validati) |
| PostQuantum | Classic | ✗ Errore (nessuna firma RSA) |
| PostQuantum | Hybrid | ✗ Errore (nessuna firma RSA) |
| PostQuantum | PostQuantum | ✓ Funziona |

----

===== Approfondimenti =====

  * [[..:..:business:migration-roadmap|Strategia]] – Pianificazione e valutazione rischi
  * [[..:..:konzepte:sicherheit|Sicurezza]] – Modello di minaccia

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>migration hybrid classic postquantum}}