Inhaltsverzeichnis
Migration
Priorität 3 – Für bestehende PKI-Infrastrukturen
Zielgruppe: PKI-Administratoren, Security-Architekten
Strategien und Runbooks für die Migration von klassischen zu Post-Quantum-fähigen PKI-Infrastrukturen.
Übersicht
flowchart LR
subgraph CLASSIC["🔐 KLASSISCH"]
C1[RSA-2048]
C2[ECDSA P-256]
end
subgraph HYBRID["🔄 HYBRID"]
H1[RSA + ML-DSA]
H2[ECDSA + ML-DSA]
end
subgraph PQ["🚀 POST-QUANTUM"]
P1[ML-DSA-65]
P2[ML-DSA-87]
end
C1 --> H1 --> P1
C2 --> H2 --> P2
style CLASSIC fill:#ffebee
style HYBRID fill:#fff3e0
style PQ fill:#e8f5e9
Migrationspfade
| Pfad | Beschreibung | Risiko | Dauer |
| —— | ————– | ——– | ——- |
| Classic → Hybrid | Schrittweise Migration mit Rückwärtskompatibilität | Niedrig | 6-12 Monate |
| Parallel-Betrieb | Zwei PKIs gleichzeitig | Mittel | 3-6 Monate |
| Big Bang | Kompletter Umstieg | Hoch | 1-3 Monate |
Szenarien
| Szenario | Beschreibung | Risiko |
|---|---|---|
| Classic → Hybrid | RSA/ECDSA zu Hybrid-Modus migrieren | Mittel |
| Parallel-Betrieb | Klassisch + PQ gleichzeitig betreiben | Niedrig |
| Rollback-Strategie | Notfall-Rückfall planen und testen | - |
| Zertifikats-Inventur | Bestandsaufnahme aller Zertifikate | Niedrig |
Migrationsphasen
gantt
title PKI Migration Timeline
dateFormat YYYY-MM
section Vorbereitung
Inventur :a1, 2024-01, 1M
Risikoanalyse :a2, after a1, 1M
Testumgebung :a3, after a2, 2M
section Pilot
Pilot-Gruppe :b1, after a3, 2M
Evaluation :b2, after b1, 1M
section Rollout
Infrastruktur :c1, after b2, 2M
Server-Certs :c2, after c1, 3M
Client-Certs :c3, after c2, 3M
section Abschluss
Monitoring :d1, after c3, 1M
Classic deaktiv. :d2, after d1, 1M
Entscheidungsbaum
flowchart TD
A[Migration starten] --> B{Neue PKI oder bestehende?}
B -->|Neu| C[Direkt PQ/Hybrid]
B -->|Bestehend| D{Kompatibilitäts-Anforderung?}
D -->|Hoch| E[Parallel-Betrieb]
D -->|Mittel| F[Hybrid-Migration]
D -->|Niedrig| G[Big Bang]
E --> H[Beide PKIs betreiben]
F --> I[Schrittweise Upgrade]
G --> J[Kompletter Ersatz]
style C fill:#e8f5e9
style F fill:#fff3e0
style G fill:#ffebee
Voraussetzungen
| Komponente | Anforderung |
| ———— | ————- |
| OpenSSL | 3.6+ (PQ-Support) |
| Clients | Hybrid-fähige TLS-Stacks |
| HSM | PQ-Algorithmen unterstützt |
| Monitoring | Dual-Mode Alerting |
Verwandte Dokumentation
- Business Migration-Roadmap – Strategische Planung
- Developer Migration – Code-Anpassungen
- Krypto-Modi – Hybrid vs. PQ
« ← Operator-Szenarien | → Classic → Hybrid »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: den 29.01.2026 um 15:13
