4.3 Migracija

Postopna migracija od klasične do hibridne/post-kvantne kriptografije.

Pot migracije

Faza 1          Faza 2          Faza 3          Faza 4
Classic    →    Hybrid     →    Hybrid+    →    PostQuantum
(samo RSA)      (RSA+ML-DSA)    (Validacija)    (samo ML-DSA)

Faza 1: Priprava

Cilj: Namestitev knjižnice, ostati v klasičnem načinu.

// Brez sprememb obstoječega obnašanja
CryptoConfig.DefaultMode = CryptoMode.Classic;

Namestitev NuGet-paketa
Namestitev OpenSSL 3.6 → Namestitev
Izvedba obstoječih testov (morajo še naprej uspeti)

Faza 2: Aktivacija hibridnega načina

Cilj: Novi certifikati so PQ-zaščiteni, stari še naprej delujejo.

// Aktivacija hibridnega načina
CryptoConfig.DefaultMode = CryptoMode.Hybrid;

Kaj se zgodi:

Novi certifikati: RSA-podpis + ML-DSA-podpis (X.509-razširitev)
Stari certifikati: Se še naprej sprejemajo
Legacy odjemalci: Ignorirajo PQ-razširitev, validirajo samo RSA

Faza 3: Aktivacija validacije

Cilj: PQ-podpisi se aktivno preverjajo (ne samo ustvarjajo).

// Gradnja verige s PQ-validacijo
var chain = new X509Chain();
bool valid = chain.Build(cert, CryptoMode.Hybrid);
 
// Preverjanje ali je PQ-podpis prisoten
if (cert.HasPqSignature())
{
    bool pqValid = cert.VerifyPqSignature();
}

Faza 4: Popolnoma PostQuantum (opcijsko)

Cilj: Samo še PQ-algoritmi, maksimalna varnost.

Samo če so vsi odjemalci PQ-zmožni!

CryptoConfig.DefaultMode = CryptoMode.PostQuantum;

Matrika združljivosti

Način ustvarjanja	Način validacije	Rezultat
Classic	Classic	✓ Deluje
Classic	Hybrid	✓ Deluje (samo RSA validiran)
Hybrid	Classic	✓ Deluje (PQ-razširitev ignorirana)
Hybrid	Hybrid	✓ Deluje (oba validirana)
PostQuantum	Classic	✗ Napaka (ni RSA-podpisa)
PostQuantum	Hybrid	✗ Napaka (ni RSA-podpisa)
PostQuantum	PostQuantum	✓ Deluje

Nadaljnje branje

Strategija – Časovni načrt in ocena tveganja
Varnost – Model groženj

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

migration, hybrid, classic, postquantum