4.3 Migracija

Postupna migracija od klasične do hibridne/post-kvantne kriptografije.

Put migracije

Faza 1          Faza 2          Faza 3          Faza 4
Classic    →    Hybrid     →    Hybrid+    →    PostQuantum
(samo RSA)      (RSA+ML-DSA)    (Validacija)   (samo ML-DSA)

Faza 1: Priprema

Cilj: Instalirati biblioteku, ostati u Classic modu.

// Bez promjene postojećeg ponašanja
CryptoConfig.DefaultMode = CryptoMode.Classic;

Instalirati NuGet paket
Pripremiti OpenSSL 3.6 → Instalacija
Pokrenuti postojeće testove (moraju i dalje prolaziti)

Faza 2: Aktiviranje Hybrid moda

Cilj: Novi certifikati su PQ-zaštićeni, stari i dalje rade.

// Aktiviranje Hybrid moda
CryptoConfig.DefaultMode = CryptoMode.Hybrid;

Što se događa:

Novi certifikati: RSA-potpis + ML-DSA-potpis (X.509-proširenje)
Stari certifikati: I dalje se prihvaćaju
Legacy klijenti: Ignoriraju PQ-proširenje, validiraju samo RSA

Faza 3: Aktiviranje validacije

Cilj: PQ-potpisi se aktivno provjeravaju (ne samo generiraju).

// Izgradnja lanca s PQ-validacijom
var chain = new X509Chain();
bool valid = chain.Build(cert, CryptoMode.Hybrid);
 
// Provjera ima li PQ-potpis
if (cert.HasPqSignature())
{
    bool pqValid = cert.VerifyPqSignature();
}

Faza 4: Potpuno PostQuantum (opcionalno)

Cilj: Samo još PQ-algoritmi, maksimalna sigurnost.

Samo ako su svi klijenti PQ-sposobni!

CryptoConfig.DefaultMode = CryptoMode.PostQuantum;

Matrica kompatibilnosti

Mod generatora	Mod validatora	Rezultat
Classic	Classic	✓ Funkcionira
Classic	Hybrid	✓ Funkcionira (samo RSA se validira)
Hybrid	Classic	✓ Funkcionira (PQ-proširenje se ignorira)
Hybrid	Hybrid	✓ Funkcionira (oba se validiraju)
PostQuantum	Classic	✗ Greška (nema RSA-potpisa)
PostQuantum	Hybrid	✗ Greška (nema RSA-potpisa)
PostQuantum	PostQuantum	✓ Funkcionira

Daljnje informacije

Strategija - Vremensko planiranje i procjena rizika
Sigurnost - Model prijetnji

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

migration, hybrid, classic, postquantum