Schrittweise Migration von klassischer zu hybrider/post-quantischer Kryptographie.
Phase 1 Phase 2 Phase 3 Phase 4 Classic → Hybrid → Hybrid+ → PostQuantum (nur RSA) (RSA+ML-DSA) (Validierung) (nur ML-DSA)
Ziel: Bibliothek installieren, im Classic-Modus bleiben.
// Keine Änderung am bestehenden Verhalten CryptoConfig.DefaultMode = CryptoMode.Classic;
Ziel: Neue Zertifikate sind PQ-geschützt, alte funktionieren weiterhin.
// Hybrid-Modus aktivieren CryptoConfig.DefaultMode = CryptoMode.Hybrid;
Was passiert:
Ziel: PQ-Signaturen werden aktiv geprüft (nicht nur erzeugt).
// Kette mit PQ-Validierung bauen var chain = new X509Chain(); bool valid = chain.Build(cert, CryptoMode.Hybrid); // Prüfen ob PQ-Signatur vorhanden if (cert.HasPqSignature()) { bool pqValid = cert.VerifyPqSignature(); }
Ziel: Nur noch PQ-Algorithmen, maximale Sicherheit.
Nur wenn alle Clients PQ-fähig sind!
CryptoConfig.DefaultMode = CryptoMode.PostQuantum;
| Erzeuger-Modus | Validierer-Modus | Ergebnis |
|---|---|---|
| Classic | Classic | ✓ Funktioniert |
| Classic | Hybrid | ✓ Funktioniert (nur RSA validiert) |
| Hybrid | Classic | ✓ Funktioniert (PQ-Extension ignoriert) |
| Hybrid | Hybrid | ✓ Funktioniert (beide validiert) |
| PostQuantum | Classic | ✗ Fehler (keine RSA-Signatur) |
| PostQuantum | Hybrid | ✗ Fehler (keine RSA-Signatur) |
| PostQuantum | PostQuantum | ✓ Funktioniert |
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional