====== 3.4 Odpravljanje napak ======

Odpravljanje pogostih težav z infrastrukturo PQ-kriptografije.

----

===== Hitra diagnostika =====

Zaženite te ukaze za preverjanje stanja sistema:

<code bash>
# 1. Različica OpenSSL
openssl version
# Pričakovano: OpenSSL 3.6.0 ali novejši

# 2. Ali so PQ-algoritmi na voljo?
openssl list -signature-algorithms | grep -i "ml-dsa"
openssl list -kem-algorithms | grep -i "ml-kem"

# 3. Ali je ponudnik aktiven?
openssl list -providers

# 4. .NET Runtime
dotnet --list-runtimes | grep "NETCore.App 8"
</code>

----

===== Napake OpenSSL =====

==== libcrypto ni najdena ====

**Simptom:**
<code>
Unable to load DLL 'libcrypto-3-x64.dll'
</code>

**Diagnostika:**
<code bash>
# Windows - iskanje DLL
where libcrypto-3-x64.dll

# Linux - iskanje deljene knjižnice
ldconfig -p | grep libcrypto

# macOS - iskanje dylib
ls /usr/local/lib/libcrypto*
</code>

**Rešitev Windows (PowerShell kot administrator):**
<code powershell>
# Preverite PATH
$env:PATH -split ";" | Select-String "OpenSSL"

# Razširite PATH (če ni prisoten)
[Environment]::SetEnvironmentVariable("Path", $env:Path + ";C:\Program Files\OpenSSL\bin", "Machine")

# Ali nastavite OPENSSL_PATH
[Environment]::SetEnvironmentVariable("OPENSSL_PATH", "C:\Program Files\OpenSSL\bin", "Machine")
</code>

**Rešitev Linux:**
<code bash>
# Posodobite ldconfig
echo "/usr/local/openssl/lib64" | sudo tee /etc/ld.so.conf.d/openssl.conf
sudo ldconfig

# Preverite
ldconfig -p | grep libcrypto
</code>

----

==== Prestara različica OpenSSL ====

**Simptom:**
<code>
OpenSSL version 3.6.0+ required for ML-DSA
</code>

**Diagnostika:**
<code bash>
# Celotna različica in informacije o gradnji
openssl version -a

# Poišči nameščene različice (Linux)
find /usr -name "openssl" -type f 2>/dev/null

# Poišči nameščene različice (Windows)
where /r C:\ openssl.exe 2>nul
</code>

**Rešitev:**
Posodobite na OpenSSL 3.6.0+ → [[.:installation|Namestitev]]

----

==== PQ-algoritmi niso na voljo ====

**Simptom:**
<code bash>
openssl list -signature-algorithms | grep -i "ml-dsa"
# Ni izhoda
</code>

**Diagnostika:**
<code bash>
# Preverite stanje ponudnika
openssl list -providers

# Vsi razpoložljivi algoritmi za podpise
openssl list -signature-algorithms

# Vsi razpoložljivi KEM-algoritmi
openssl list -kem-algorithms
</code>

**Možni vzroki:**
  * OpenSSL < 3.6.0 (ML-DSA/ML-KEM šele od 3.6)
  * Ponudnik ni naložen
  * Gradnja po meri brez podpore PQ

----

===== Napake certifikatov =====

==== Prikaz podrobnosti certifikata ====

<code bash>
# Analiziraj certifikat v formatu PEM
openssl x509 -in cert.pem -text -noout

# Preverite algoritem podpisa
openssl x509 -in cert.pem -text -noout | grep "Signature Algorithm"

# Pri PQ-certifikatih pričakovano:
# Signature Algorithm: ML-DSA-65 ali ML-DSA-87

# Podrobnosti javnega ključa
openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -text -noout
</code>

==== Preverjanje verige certifikatov ====

<code bash>
# Enostavno preverjanje
openssl verify -CAfile root-ca.crt -untrusted intermediate.crt server.crt

# Podrobno s podrobnostmi napak
openssl verify -verbose -CAfile root-ca.crt -untrusted intermediate.crt server.crt

# Pričakovani izhod pri uspehu:
# server.crt: OK
</code>

**Pogoste napake pri preverjanju:**

^  Napaka  ^  Pomen  ^  Rešitev  ^
| ''unable to get local issuer certificate'' | Manjka CA certifikat | Dodajte korenski/vmesni CA |
| ''certificate has expired'' | Certifikat je potekel | Obnovite certifikat |
| ''certificate signature failure'' | Neveljaven podpis | Certifikat poškodovan/spremenjen |
| ''self signed certificate in chain'' | Samopodpisani ni zaupan | Dodajte korenski CA v Trust Store |

----

===== Napake shrambe ključev =====

==== PQ-ključ ni najden ====

**Simptom:**
<code>
PQ private key not found for certificate thumbprint: ABC123...
</code>

**Diagnostika:**

**Windows (PowerShell):**
<code powershell>
# Pot do shrambe PQ-ključev
$pqKeyStore = "$env:LOCALAPPDATA\WvdS.Crypto\PqKeys"

# Preverite obstoj
Test-Path $pqKeyStore

# Seznam vsebine
Get-ChildItem $pqKeyStore -ErrorAction SilentlyContinue

# Preverite dovoljenja
Get-Acl $pqKeyStore | Format-List
</code>

**Linux:**
<code bash>
# Pot do shrambe PQ-ključev
PQ_KEYSTORE=~/.local/share/wvds-crypto/pqkeys

# Preverite obstoj
ls -la $PQ_KEYSTORE

# Preverite dovoljenja (mora biti 700)
stat $PQ_KEYSTORE
</code>

**Rešitev:**
  - Obnovite iz varnostne kopije
  - Če ni varnostne kopije: Ponovno ustvarite certifikat z novim parom ključev

----

===== Napake FIPS-načina =====

==== FIPS Provider ni aktiven ====

**Diagnostika:**
<code bash>
# Seznam ponudnikov
openssl list -providers

# Mora vsebovati:
#   fips
#     name: OpenSSL FIPS Provider
#     status: active
</code>

**Rešitev:**
Aktivirajte FIPS Provider v ''openssl.cnf'' → [[.:konfiguration#fips-modus_openssl|Konfiguracija FIPS]]

----

==== Algoritem ni skladen s FIPS ====

**Simptom:**
<code>
error:0308010C:digital envelope routines::unsupported
</code>

**Vzrok:** Algoritem ni dovoljen v FIPS-načinu.

**Algoritmi, odobreni za FIPS 140-3:**

^  Tip  ^  Dovoljeni  ^  Nedovoljeni  ^
| Podpis | ML-DSA-44/65/87, RSA ≥2048, ECDSA | Ed25519, Ed448 |
| KEM | ML-KEM-512/768/1024 | X25519, X448 |
| Zgoščevanje | SHA-256, SHA-384, SHA-512 | MD5, SHA-1 |
| Šifriranje | AES-GCM | ChaCha20 |

----

===== Omrežna diagnostika =====

==== Testiranje TLS-povezave ====

<code bash>
# Preverite TLS-rokovanje in certifikat
openssl s_client -connect server.example.com:443 -showcerts

# S specifičnim CA-paketom
openssl s_client -connect server.example.com:443 -CAfile /pot/do/ca-bundle.crt

# Prisili TLS 1.3
openssl s_client -connect server.example.com:443 -tls1_3
</code>

==== Prenos certifikata s strežnika ====

<code bash>
# Prenesi in shrani certifikat
openssl s_client -connect server.example.com:443 < /dev/null 2>/dev/null | \
    openssl x509 -outform PEM > server.crt

# Analiziraj certifikat
openssl x509 -in server.crt -text -noout
</code>

----

===== Analiza dnevnikov =====

==== Kode napak OpenSSL ====

<code bash>
# Poišči kodo napake
openssl errstr 0308010C

# Prikaži vse nedavne napake (če je v načinu za razhroščevanje)
openssl errstr
</code>

==== Preverjanje dnevnika dogodkov Windows ====

<code powershell>
# Dogodki, povezani s kriptografijo
Get-EventLog -LogName Application -Source "*Crypto*" -Newest 20

# Napake .NET Runtime
Get-EventLog -LogName Application -Source ".NET Runtime" -Newest 10 -EntryType Error
</code>

==== Preverjanje sistemskega dnevnika Linux ====

<code bash>
# Vnosi, povezani z OpenSSL
journalctl | grep -i openssl | tail -20

# Napake .NET Runtime
journalctl | grep -i dotnet | tail -20
</code>

----

===== Nadaljnje branje =====

  * [[.:installation|Namestitev]] – Pravilna nastavitev
  * [[.:konfiguration|Konfiguracija]] – FIPS-način, poti
  * [[.:betrieb|Obratovanje]] – Zdravstveni pregledi, certifikati

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>troubleshooting fehler diagnose openssl}}