Sie befinden sich hier: start » hr » Interna dokumentacija » WvdS Kripto-biblioteka » 1. Koncepti » 1.2 Sigurnost

Inhaltsverzeichnis

1.2 Sigurnost

Model prijetnji i sigurnosni aspekti post-kvantne kriptografije.

Kvantna prijetnja

Harvest Now, Decrypt Later (HNDL)

Scenarij:

  1. Napadač danas presreće šifrirane podatke
  2. Pohranjuje ih godinama/desetljećima
  3. Dešifrira ih s budućim kvantnim računalom

Ugroženi algoritmi:

  • RSA (sve duljine ključeva)
  • ECDSA / ECDH (sve krivulje)
  • DSA

Vremenski okvir:

  • Procjene: 10-20 godina do kriptografski relevantnih kvantnih računala
  • BSI1): Migracija do 2030. preporučena

Zašto Hybrid?

Hibridna kriptografija nudi:

  • Povratna kompatibilnost: Legacy sustavi mogu validirati klasični potpis
  • Sigurnost za budućnost: PQ-potpis štiti od kvantnih napada
  • Sigurnosna margina: Sigurno ako je barem jedan algoritam siguran
Hibridni certifikat:
├── RSA-4096 potpis (klasično)
└── ML-DSA-65 potpis (PQ, u X.509-proširenju)

Validacija:
├── Legacy klijent: Provjerava samo RSA ✓
└── Moderni klijent: Provjerava RSA + ML-DSA ✓✓

Najbolje prakse

Za programere

  • CryptoMode.Hybrid koristiti kao standard
  • Validirati oba potpisa kada je moguće
  • Privatne ključeve nikad ne hardcodirati
  • using-naredbe za kripto-objekte
  • OpenSSL putanju postaviti jednom na početku

Za administratore

  • OpenSSL 3.6+ održavati ažurnim
  • PQ-pohranu ključeva osigurati (%LOCALAPPDATA%\WvdS.Crypto\PqKeys\)
  • Obnovu certifikata planirati prije isteka
  • Monitoring za greške validacije uspostaviti

Za tvrtke

  • Migraciju planirati sada (ne kad kvantna računala postanu dostupna)
  • Prioritizirati dugotrajne podatke (ugovori, zdravstveni podaci, državne tajne)
  • Hibridne certifikate za sve nove sustave

Poznata ograničenja

Ograničenje Opis Zaobilaznica
Windows Store Bez nativnih PQ-ključeva Koristi se Side-Store
Argon2id OpenSSL 3.6 eksperimentalno Fallback na PBKDF2
Custom OID-ovi Još nisu IANA-registrirani Ažurirat će se pri standardizaciji
WASM performanse 10-100x sporije od nativnog Prikladno za interaktivnu upotrebu

Sigurnosne napomene

Rizik DLL-Sideloading: Osigurajte da OpenSSL DLL-ovi dolaze iz pouzdanog izvora i da je putanja ispravno konfigurirana.

Backup PQ-ključeva: Pohrana PQ-ključeva nije uključena u Windows Certificate Store Backup. Potrebna je zasebna sigurnosna kopija!

Daljnje informacije

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , ,
1)
BSI: https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kryptografie/Post-Quanten-Kryptografie/post-quanten-kryptografie_node.html
Zuletzt geändert: 30.01.2026. u 08:51

Seiten-Werkzeuge