Migrazione

Priorità 3 – Per infrastrutture PKI esistenti
Destinatari: Amministratori PKI, Architetti Security

Strategie e runbook per la migrazione da infrastrutture PKI classiche a infrastrutture abilitate Post-Quantum.

Panoramica

flowchart LR subgraph CLASSIC["🔐 CLASSICO"] C1[RSA-2048] C2[ECDSA P-256] end subgraph HYBRID["🔄 IBRIDO"] H1[RSA + ML-DSA] H2[ECDSA + ML-DSA] end subgraph PQ["🚀 POST-QUANTUM"] P1[ML-DSA-65] P2[ML-DSA-87] end C1 --> H1 --> P1 C2 --> H2 --> P2 style CLASSIC fill:#ffebee style HYBRID fill:#fff3e0 style PQ fill:#e8f5e9

Percorsi di migrazione

Percorso	Descrizione	Rischio	Durata
———-	————-	———	——–
Classic → Hybrid	Migrazione graduale con retrocompatibilità	Basso	6-12 mesi
Funzionamento parallelo	Due PKI simultaneamente	Medio	3-6 mesi
Big Bang	Passaggio completo	Alto	1-3 mesi

Scenari

Scenario	Descrizione	Rischio
Classic → Hybrid	Migrazione da RSA/ECDSA a modalità ibrida	Medio
Funzionamento parallelo	Classico + PQ in funzionamento simultaneo	Basso
Strategia di rollback	Pianificare e testare il fallback di emergenza	-
Inventario certificati	Rilevamento di tutti i certificati	Basso

Fasi di migrazione

gantt title Timeline migrazione PKI dateFormat YYYY-MM section Preparazione Inventario :a1, 2024-01, 1M Analisi rischi :a2, after a1, 1M Ambiente test :a3, after a2, 2M section Pilota Gruppo pilota :b1, after a3, 2M Valutazione :b2, after b1, 1M section Rollout Infrastruttura :c1, after b2, 2M Cert server :c2, after c1, 3M Cert client :c3, after c2, 3M section Conclusione Monitoraggio :d1, after c3, 1M Disattiv. Classic :d2, after d1, 1M

Albero decisionale

flowchart TD A[Avviare migrazione] --> B{Nuova PKI o esistente?} B -->|Nuova| C[Direttamente PQ/Hybrid] B -->|Esistente| D{Requisiti compatibilità?} D -->|Alti| E[Funzionamento parallelo] D -->|Medi| F[Migrazione ibrida] D -->|Bassi| G[Big Bang] E --> H[Gestire entrambe le PKI] F --> I[Upgrade graduale] G --> J[Sostituzione completa] style C fill:#e8f5e9 style F fill:#fff3e0 style G fill:#ffebee

Prerequisiti

Componente	Requisito
————	———–
OpenSSL	3.6+ (Supporto PQ)
Client	Stack TLS compatibili ibridi
HSM	Supporto algoritmi PQ
Monitoraggio	Alerting Dual-Mode

Documentazione correlata

Roadmap migrazione Business – Pianificazione strategica
Migrazione Developer – Adattamenti codice
Modalità crypto – Hybrid vs. PQ

« ← Scenari per operatori | → Classic → Hybrid »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

operator, migrazione, hybrid, pq, legacy