====== Migrazione ======

<WRAP round tip>
**Priorità 3** – Per infrastrutture PKI esistenti \\
**Destinatari:** Amministratori PKI, Architetti Security
</WRAP>

Strategie e runbook per la migrazione da infrastrutture PKI classiche a infrastrutture abilitate Post-Quantum.

----

===== Panoramica =====

<mermaid>
flowchart LR
    subgraph CLASSIC["🔐 CLASSICO"]
        C1[RSA-2048]
        C2[ECDSA P-256]
    end

    subgraph HYBRID["🔄 IBRIDO"]
        H1[RSA + ML-DSA]
        H2[ECDSA + ML-DSA]
    end

    subgraph PQ["🚀 POST-QUANTUM"]
        P1[ML-DSA-65]
        P2[ML-DSA-87]
    end

    C1 --> H1 --> P1
    C2 --> H2 --> P2

    style CLASSIC fill:#ffebee
    style HYBRID fill:#fff3e0
    style PQ fill:#e8f5e9
</mermaid>

----

===== Percorsi di migrazione =====

| Percorso | Descrizione | Rischio | Durata |
|----------|-------------|---------|--------|
| **Classic → Hybrid** | Migrazione graduale con retrocompatibilità | Basso | 6-12 mesi |
| **Funzionamento parallelo** | Due PKI simultaneamente | Medio | 3-6 mesi |
| **Big Bang** | Passaggio completo | Alto | 1-3 mesi |

----

===== Scenari =====

^  Scenario  ^  Descrizione  ^  Rischio  ^
| [[.:classic-to-hybrid|Classic → Hybrid]] | Migrazione da RSA/ECDSA a modalità ibrida | Medio |
| [[.:parallel-betrieb|Funzionamento parallelo]] | Classico + PQ in funzionamento simultaneo | Basso |
| [[.:rollback-strategie|Strategia di rollback]] | Pianificare e testare il fallback di emergenza | - |
| [[.:inventur|Inventario certificati]] | Rilevamento di tutti i certificati | Basso |

----

===== Fasi di migrazione =====

<mermaid>
gantt
    title Timeline migrazione PKI
    dateFormat  YYYY-MM
    section Preparazione
    Inventario           :a1, 2024-01, 1M
    Analisi rischi       :a2, after a1, 1M
    Ambiente test        :a3, after a2, 2M
    section Pilota
    Gruppo pilota        :b1, after a3, 2M
    Valutazione          :b2, after b1, 1M
    section Rollout
    Infrastruttura       :c1, after b2, 2M
    Cert server          :c2, after c1, 3M
    Cert client          :c3, after c2, 3M
    section Conclusione
    Monitoraggio         :d1, after c3, 1M
    Disattiv. Classic    :d2, after d1, 1M
</mermaid>

----

===== Albero decisionale =====

<mermaid>
flowchart TD
    A[Avviare migrazione] --> B{Nuova PKI o esistente?}
    B -->|Nuova| C[Direttamente PQ/Hybrid]
    B -->|Esistente| D{Requisiti compatibilità?}
    D -->|Alti| E[Funzionamento parallelo]
    D -->|Medi| F[Migrazione ibrida]
    D -->|Bassi| G[Big Bang]
    E --> H[Gestire entrambe le PKI]
    F --> I[Upgrade graduale]
    G --> J[Sostituzione completa]

    style C fill:#e8f5e9
    style F fill:#fff3e0
    style G fill:#ffebee
</mermaid>

----

===== Prerequisiti =====

| Componente | Requisito |
|------------|-----------|
| OpenSSL | 3.6+ (Supporto PQ) |
| Client | Stack TLS compatibili ibridi |
| HSM | Supporto algoritmi PQ |
| Monitoraggio | Alerting Dual-Mode |

----

===== Documentazione correlata =====

  * [[it:int:pqcrypt:business:migration-roadmap|Roadmap migrazione Business]] – Pianificazione strategica
  * [[it:int:pqcrypt:developer:migration|Migrazione Developer]] – Adattamenti codice
  * [[it:int:pqcrypt:konzepte:start|Modalità crypto]] – Hybrid vs. PQ

----

<< [[..:start|← Scenari per operatori]] | [[.:classic-to-hybrid|→ Classic → Hybrid]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>operator migrazione hybrid pq legacy}}