Inhaltsverzeichnis
2.3 Strategija i tehnologija
Stratesko planiranje i tehnoloske odluke za post-kvantnu kriptografiju.
Faze migracije
Faza 1 Faza 2 Faza 3 Faza 4
------ ------ ------ ------
Priprema Hibrid Validacija Samo-PQ
Danas --------------------------------------------------------> Buducnost
Instalirati Novi cert. Obje sig. Samo PQ
biblioteku hibridni validirati (opcionalno)
Faza 1: Priprema
Aktivnosti:
- Evaluacija NuGet paketa
- Implementacija OpenSSL 3.6 u testno okruzenje
- Inventar: Koji sustavi koriste kriptografiju?
- Procjena rizika: Koji podaci imaju dugorocnu potrebu za zastitom?
Rezultat: Biblioteka instalirana, u Classic-nacinu rada (bez promjene ponasanja)
Faza 2: Aktivacija hibridnog nacina
Aktivnosti:
- Aktiviranje CryptoMode.Hybrid u pilotnom projektu
- Kreiranje novih certifikata (automatski hibridni)
- Testovi kompatibilnosti s naslijedenim klijentima
- Postupno uvodenje na ostale sustave
Rezultat: Novi certifikati su PQ-zasticeni, stari nastavljaju raditi
Faza 3: Validacija
Aktivnosti:
- Aktiviranje validacije PQ-potpisa
- Postavljanje monitoringa za greske validacije
- Postupna zamjena naslijedenih certifikata
- Dokumentacija i edukacija
Rezultat: Potpuna hibridna validacija aktivna
Faza 4: Samo-PQ (opcionalno)
Preduvjet: Svi sustavi PQ-sposobni
Aktivnosti:
- Aktiviranje CryptoMode.PostQuantum
- Uklanjanje podrske za naslijedene sustave
- Potpuna PQ-sigurnost
Napomena: Za vecinu organizacija Faza 3 je dovoljna.
Prioritizacija
| Prioritet | Sustavi | Obrazlozenje |
|---|---|---|
| 1 (odmah) | Dugorocne arhive, ugovori | Najveca potreba za zastitom |
| 2 (kratkorocno) | PKI, certifikatna infrastruktura | Osnova za ostale sustave |
| 3 (srednjorocno) | API-ji, web servisi | Tekuca komunikacija |
| 4 (naknadno) | Interni sustavi | Manji rizik presretanja |
Tehnoloske odluke
Zasto OpenSSL 3.6?
| Kriterij | OpenSSL 3.6 | Alternative |
|---|---|---|
| FIPS-validacija | FIPS 140-3 validabilno | Bouncy Castle: Bez FIPS |
| PQ-algoritmi | ML-DSA, ML-KEM nativno | liboqs: Eksperimentalno |
| Odrzavanje | OpenSSL Foundation, dugorocno | Mali timovi, nesigurno |
| Performanse | Hardverski optimizirano (AES-NI, AVX) | Cesto cisti softver |
Zasto AES-256-GCM?
| Kriterij | AES-256-GCM | ChaCha20-Poly1305 |
|---|---|---|
| FIPS-certifikacija | FIPS 197 (standard) | Nije FIPS-certificirano |
| Hardverska podrska | AES-NI na svim CPU-ima | Bez hardverske akceleracije |
| PQ-sigurnost | 128-bit post-kvantno | 128-bit post-kvantno |
Zasto hibrid umjesto samo-PQ?
| Aspekt | Hibrid (preporuceno) | Samo-PQ |
|---|---|---|
| Rizik | Minimalan - dva sloja sigurnosti | Veci - samo PQ-algoritmi |
| Kompatibilnost | Naslijedeni sustavi rade | Prekida s naslijedenim |
| NIST-preporuka | Preporuceno za prijelazno razdoblje | Tek nakon migracije |
Sazetak za revizije
| Odluka | Obrazlozenje | Referenca |
|---|---|---|
| OpenSSL 3.6 | FIPS-validabilno, industrijski standard | OpenSSL Foundation |
| AES-256-GCM | FIPS 197 certificirano, hardverski ubrzano | NIST FIPS 197 |
| ML-DSA/ML-KEM | NIST-standardizirano (FIPS 203/204) | NIST PQC Project |
| Hibridni nacin | NIST/BSI preporuceno, defenzivno | NIST SP 800-227 |
Faktori uspjeha
- Executive Sponsorship: Podrska uprave
- Rani pocetak: Ne cekajte kvantna racunala
- Postupno uvodenje: Minimizacija rizika kroz faze
- Monitoring: Prepoznavanje i ispravljanje gresaka validacije
- Dokumentacija: Za revizije i prijenos znanja
Daljnje informacije
- Migracija (tehnicka) - Detaljni koraci
- Uskladenost - Regulatorni zahtjevi
- Administrator - Operativna provedba
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: 30.01.2026. u 08:53
