Migracija

Prioriteta 3 – Za obstoječe PKI infrastrukture
Ciljna skupina: PKI administratorji, varnostni arhitekti

Strategije in navodila za migracijo s klasičnih na post-kvantno zmožne PKI infrastrukture.

Pregled

flowchart LR subgraph CLASSIC["KLASICNO"] C1[RSA-2048] C2[ECDSA P-256] end subgraph HYBRID["HIBRIDNO"] H1[RSA + ML-DSA] H2[ECDSA + ML-DSA] end subgraph PQ["POST-KVANTNO"] P1[ML-DSA-65] P2[ML-DSA-87] end C1 --> H1 --> P1 C2 --> H2 --> P2 style CLASSIC fill:#ffebee style HYBRID fill:#fff3e0 style PQ fill:#e8f5e9

Poti migracije

Pot	Opis	Tveganje	Trajanje
—–	——	———-	———-
Klasicno → Hibridno	Postopna migracija z združljivostjo nazaj	Nizko	6-12 mesecev
Vzporedna operacija	Dva PKI-ja hkrati	Srednje	3-6 mesecev
Big Bang	Celoten prehod	Visoko	1-3 mesece

Scenariji

Scenarij	Opis	Tveganje
Klasicno → Hibridno	Migracija RSA/ECDSA na hibridni nacin	Srednje
Vzporedna operacija	Hkratno izvajanje klasicnega + PQ	Nizko
Strategija povrnitve	Nacrtovanje in testiranje povrnitve v sili	-
Inventura certifikatov	Popis vseh certifikatov	Nizko

Faze migracije

gantt title Casovnica migracije PKI dateFormat YYYY-MM section Priprava Inventura :a1, 2024-01, 1M Analiza tveganja :a2, after a1, 1M Testno okolje :a3, after a2, 2M section Pilot Pilotna skupina :b1, after a3, 2M Evalvacija :b2, after b1, 1M section Uvedba Infrastruktura :c1, after b2, 2M Strezniski cert. :c2, after c1, 3M Odjemalski cert. :c3, after c2, 3M section Zakljucek Nadzor :d1, after c3, 1M Deaktiv. klasic. :d2, after d1, 1M

Drevo odlocitev

flowchart TD A[Zacetek migracije] --> B{Nov PKI ali obstojec?} B -->|Nov| C[Neposredno PQ/Hibridno] B -->|Obstojec| D{Zahteva po zdruzljivosti?} D -->|Visoka| E[Vzporedna operacija] D -->|Srednja| F[Hibridna migracija] D -->|Nizka| G[Big Bang] E --> H[Upravljanje obeh PKI] F --> I[Postopna nadgradnja] G --> J[Popolna zamenjava] style C fill:#e8f5e9 style F fill:#fff3e0 style G fill:#ffebee

Predpogoji

Komponenta	Zahteva
————	———
OpenSSL	3.6+ (PQ podpora)
Odjemalci	Hibridno zmozni TLS skladi
HSM	Podpora za PQ algoritme
Nadzor	Opozarjanje v dvojnem nacinu

Povezana dokumentacija

Poslovna migracija – Stratesko nacrtovanje
Razvojna migracija – Prilagoditve kode
Kriptografski nacini – Hibridno vs. PQ

« ← Scenariji za operaterje | → Klasicno → Hibridno »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

operator, migration, hybrid, pq, legacy