Inhaltsverzeichnis

Migration

Priorität 3 – Für bestehende PKI-Infrastrukturen
Zielgruppe: PKI-Administratoren, Security-Architekten

Strategien und Runbooks für die Migration von klassischen zu Post-Quantum-fähigen PKI-Infrastrukturen.

Übersicht

flowchart LR subgraph CLASSIC["🔐 KLASSISCH"] C1[RSA-2048] C2[ECDSA P-256] end subgraph HYBRID["🔄 HYBRID"] H1[RSA + ML-DSA] H2[ECDSA + ML-DSA] end subgraph PQ["🚀 POST-QUANTUM"] P1[ML-DSA-65] P2[ML-DSA-87] end C1 --> H1 --> P1 C2 --> H2 --> P2 style CLASSIC fill:#ffebee style HYBRID fill:#fff3e0 style PQ fill:#e8f5e9

Migrationspfade

Pfad Beschreibung Risiko Dauer
——————–——–——-
Classic → Hybrid Schrittweise Migration mit Rückwärtskompatibilität Niedrig 6-12 Monate
Parallel-Betrieb Zwei PKIs gleichzeitig Mittel 3-6 Monate
Big Bang Kompletter Umstieg Hoch 1-3 Monate

Szenarien

Szenario Beschreibung Risiko
Classic → Hybrid RSA/ECDSA zu Hybrid-Modus migrieren Mittel
Parallel-Betrieb Klassisch + PQ gleichzeitig betreiben Niedrig
Rollback-Strategie Notfall-Rückfall planen und testen -
Zertifikats-Inventur Bestandsaufnahme aller Zertifikate Niedrig

Migrationsphasen

gantt title PKI Migration Timeline dateFormat YYYY-MM section Vorbereitung Inventur :a1, 2024-01, 1M Risikoanalyse :a2, after a1, 1M Testumgebung :a3, after a2, 2M section Pilot Pilot-Gruppe :b1, after a3, 2M Evaluation :b2, after b1, 1M section Rollout Infrastruktur :c1, after b2, 2M Server-Certs :c2, after c1, 3M Client-Certs :c3, after c2, 3M section Abschluss Monitoring :d1, after c3, 1M Classic deaktiv. :d2, after d1, 1M

Entscheidungsbaum

flowchart TD A[Migration starten] --> B{Neue PKI oder bestehende?} B -->|Neu| C[Direkt PQ/Hybrid] B -->|Bestehend| D{Kompatibilitäts-Anforderung?} D -->|Hoch| E[Parallel-Betrieb] D -->|Mittel| F[Hybrid-Migration] D -->|Niedrig| G[Big Bang] E --> H[Beide PKIs betreiben] F --> I[Schrittweise Upgrade] G --> J[Kompletter Ersatz] style C fill:#e8f5e9 style F fill:#fff3e0 style G fill:#ffebee

Voraussetzungen

Komponente Anforderung
————————-
OpenSSL 3.6+ (PQ-Support)
Clients Hybrid-fähige TLS-Stacks
HSM PQ-Algorithmen unterstützt
Monitoring Dual-Mode Alerting

Verwandte Dokumentation

« ← Operator-Szenarien | → Classic → Hybrid »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , ,