Schrittweise Migration von klassischer zu hybrider/post-quantischer Kryptographie.

Phase 1          Phase 2          Phase 3          Phase 4
Classic    →    Hybrid     →    Hybrid+    →    PostQuantum
(nur RSA)       (RSA+ML-DSA)    (Validierung)   (nur ML-DSA)

Ziel: Bibliothek installieren, im Classic-Modus bleiben.

// Keine Änderung am bestehenden Verhalten
CryptoConfig.DefaultMode = CryptoMode.Classic;

• NuGet-Paket installieren
• OpenSSL 3.6 bereitstellen → Installation
• Bestehende Tests ausführen (müssen weiterhin bestehen)

Ziel: Neue Zertifikate sind PQ-geschützt, alte funktionieren weiterhin.

// Hybrid-Modus aktivieren
CryptoConfig.DefaultMode = CryptoMode.Hybrid;

Was passiert:

• Neue Zertifikate: RSA-Signatur + ML-DSA-Signatur (X.509-Extension)
• Alte Zertifikate: Werden weiterhin akzeptiert
• Legacy-Clients: Ignorieren PQ-Extension, validieren nur RSA

Ziel: PQ-Signaturen werden aktiv geprüft (nicht nur erzeugt).

// Kette mit PQ-Validierung bauen
var chain = new X509Chain();
bool valid = chain.Build(cert, CryptoMode.Hybrid);
 
// Prüfen ob PQ-Signatur vorhanden
if (cert.HasPqSignature())
{
    bool pqValid = cert.VerifyPqSignature();
}

Ziel: Nur noch PQ-Algorithmen, maximale Sicherheit.

CryptoConfig.DefaultMode = CryptoMode.PostQuantum;

• Strategie – Zeitplanung und Risikobewertung
• Sicherheit – Bedrohungsmodell

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional