Inhaltsverzeichnis
Migrazione
Priorità 3 – Per infrastrutture PKI esistenti
Destinatari: Amministratori PKI, Architetti Security
Strategie e runbook per la migrazione da infrastrutture PKI classiche a infrastrutture abilitate Post-Quantum.
Panoramica
flowchart LR
subgraph CLASSIC["🔐 CLASSICO"]
C1[RSA-2048]
C2[ECDSA P-256]
end
subgraph HYBRID["🔄 IBRIDO"]
H1[RSA + ML-DSA]
H2[ECDSA + ML-DSA]
end
subgraph PQ["🚀 POST-QUANTUM"]
P1[ML-DSA-65]
P2[ML-DSA-87]
end
C1 --> H1 --> P1
C2 --> H2 --> P2
style CLASSIC fill:#ffebee
style HYBRID fill:#fff3e0
style PQ fill:#e8f5e9
Percorsi di migrazione
| Percorso | Descrizione | Rischio | Durata |
| ———- | ————- | ——— | ——– |
| Classic → Hybrid | Migrazione graduale con retrocompatibilità | Basso | 6-12 mesi |
| Funzionamento parallelo | Due PKI simultaneamente | Medio | 3-6 mesi |
| Big Bang | Passaggio completo | Alto | 1-3 mesi |
Scenari
| Scenario | Descrizione | Rischio |
|---|---|---|
| Classic → Hybrid | Migrazione da RSA/ECDSA a modalità ibrida | Medio |
| Funzionamento parallelo | Classico + PQ in funzionamento simultaneo | Basso |
| Strategia di rollback | Pianificare e testare il fallback di emergenza | - |
| Inventario certificati | Rilevamento di tutti i certificati | Basso |
Fasi di migrazione
gantt
title Timeline migrazione PKI
dateFormat YYYY-MM
section Preparazione
Inventario :a1, 2024-01, 1M
Analisi rischi :a2, after a1, 1M
Ambiente test :a3, after a2, 2M
section Pilota
Gruppo pilota :b1, after a3, 2M
Valutazione :b2, after b1, 1M
section Rollout
Infrastruttura :c1, after b2, 2M
Cert server :c2, after c1, 3M
Cert client :c3, after c2, 3M
section Conclusione
Monitoraggio :d1, after c3, 1M
Disattiv. Classic :d2, after d1, 1M
Albero decisionale
flowchart TD
A[Avviare migrazione] --> B{Nuova PKI o esistente?}
B -->|Nuova| C[Direttamente PQ/Hybrid]
B -->|Esistente| D{Requisiti compatibilità?}
D -->|Alti| E[Funzionamento parallelo]
D -->|Medi| F[Migrazione ibrida]
D -->|Bassi| G[Big Bang]
E --> H[Gestire entrambe le PKI]
F --> I[Upgrade graduale]
G --> J[Sostituzione completa]
style C fill:#e8f5e9
style F fill:#fff3e0
style G fill:#ffebee
Prerequisiti
| Componente | Requisito |
| ———— | ———– |
| OpenSSL | 3.6+ (Supporto PQ) |
| Client | Stack TLS compatibili ibridi |
| HSM | Supporto algoritmi PQ |
| Monitoraggio | Alerting Dual-Mode |
Documentazione correlata
- Roadmap migrazione Business – Pianificazione strategica
- Migrazione Developer – Adattamenti codice
- Modalità crypto – Hybrid vs. PQ
« ← Scenari per operatori | → Classic → Hybrid »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: il 30/01/2026 alle 01:35
