Migrazione graduale dalla crittografia classica a quella ibrida/post-quantum.

Fase 1          Fase 2          Fase 3          Fase 4
Classic    →    Hybrid     →    Hybrid+    →    PostQuantum
(solo RSA)      (RSA+ML-DSA)    (Validazione)   (solo ML-DSA)

Obiettivo: Installare la libreria, rimanere in modalita Classic.

// Nessuna modifica al comportamento esistente
CryptoConfig.DefaultMode = CryptoMode.Classic;

• Installare pacchetto NuGet
• Distribuire OpenSSL 3.6 → Installazione
• Eseguire test esistenti (devono continuare a passare)

Obiettivo: I nuovi certificati sono protetti PQ, quelli vecchi continuano a funzionare.

// Attivare modalita Hybrid
CryptoConfig.DefaultMode = CryptoMode.Hybrid;

Cosa succede:

• Nuovi certificati: Firma RSA + Firma ML-DSA (estensione X.509)
• Vecchi certificati: Continuano ad essere accettati
• Client legacy: Ignorano estensione PQ, validano solo RSA

Obiettivo: Le firme PQ vengono attivamente verificate (non solo generate).

// Costruire catena con validazione PQ
var chain = new X509Chain();
bool valid = chain.Build(cert, CryptoMode.Hybrid);
 
// Verificare se firma PQ presente
if (cert.HasPqSignature())
{
    bool pqValid = cert.VerifyPqSignature();
}

Obiettivo: Solo algoritmi PQ, massima sicurezza.

CryptoConfig.DefaultMode = CryptoMode.PostQuantum;

• Strategia – Pianificazione e valutazione rischi
• Sicurezza – Modello di minaccia

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional