Postupna migracija od klasične do hibridne/post-kvantne kriptografije.

Faza 1          Faza 2          Faza 3          Faza 4
Classic    →    Hybrid     →    Hybrid+    →    PostQuantum
(samo RSA)      (RSA+ML-DSA)    (Validacija)   (samo ML-DSA)

Cilj: Instalirati biblioteku, ostati u Classic modu.

// Bez promjene postojećeg ponašanja
CryptoConfig.DefaultMode = CryptoMode.Classic;

• Instalirati NuGet paket
• Pripremiti OpenSSL 3.6 → Instalacija
• Pokrenuti postojeće testove (moraju i dalje prolaziti)

Cilj: Novi certifikati su PQ-zaštićeni, stari i dalje rade.

// Aktiviranje Hybrid moda
CryptoConfig.DefaultMode = CryptoMode.Hybrid;

Što se događa:

• Novi certifikati: RSA-potpis + ML-DSA-potpis (X.509-proširenje)
• Stari certifikati: I dalje se prihvaćaju
• Legacy klijenti: Ignoriraju PQ-proširenje, validiraju samo RSA

Cilj: PQ-potpisi se aktivno provjeravaju (ne samo generiraju).

// Izgradnja lanca s PQ-validacijom
var chain = new X509Chain();
bool valid = chain.Build(cert, CryptoMode.Hybrid);
 
// Provjera ima li PQ-potpis
if (cert.HasPqSignature())
{
    bool pqValid = cert.VerifyPqSignature();
}

Cilj: Samo još PQ-algoritmi, maksimalna sigurnost.

CryptoConfig.DefaultMode = CryptoMode.PostQuantum;

• Strategija - Vremensko planiranje i procjena rizika
• Sigurnost - Model prijetnji

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional