Sie befinden sich hier: start » sl » Interna dokumentacija » Kriptografska knjižnica WvdS » 1. Koncepti » 1.2 Varnost

Inhaltsverzeichnis

1.2 Varnost

Model groženj in varnostni vidiki post-kvantne kriptografije.

Kvantna grožnja

Harvest Now, Decrypt Later (HNDL)

Scenarij:

  1. Napadalec danes prestreže šifrirane podatke
  2. Jih shrani za leta/desetletja
  3. Jih dešifrira s prihodnjim kvantnim računalnikom

Prizadeti algoritmi:

  • RSA (vse dolžine ključev)
  • ECDSA / ECDH (vse krivulje)
  • DSA

Časovni okvir:

  • Ocene: 10-20 let do kriptografsko relevantnih kvantnih računalnikov
  • BSI1): Priporočena migracija do 2030

Zakaj hibridno?

Hibridna kriptografija nudi:

  • Povratno združljivost: Legacy sistemi lahko validirajo klasični podpis
  • Pripravljenost na prihodnost: PQ-podpis ščiti pred kvantnimi napadi
  • Varnostno rezervo: Varen, dokler je vsaj eden algoritem varen
Hibridni certifikat:
├── RSA-4096 podpis (klasično)
└── ML-DSA-65 podpis (PQ, v X.509-razširitvi)

Validacija:
├── Legacy odjemalec: Preveri samo RSA ✓
└── Sodoben odjemalec: Preveri RSA + ML-DSA ✓✓

Dobre prakse

Za razvijalce

  • Uporabljajte CryptoMode.Hybrid kot privzeto
  • Validirajte oba podpisa, kadar je mogoče
  • Nikoli ne hardkodirajte zasebnih ključev
  • Uporabljajte using-stavke za kripto-objekte
  • Nastavite pot OpenSSL enkrat ob zagonu

Za administratorje

  • Imejte OpenSSL 3.6+ posodobljen
  • Varnostno kopirajte PQ-shrambo ključev (%LOCALAPPDATA%\WvdS.Crypto\PqKeys\)
  • Načrtujte obnovo certifikatov pred iztekom
  • Vzpostavite nadzor za napake pri validaciji

Za podjetja

  • Načrtujte migracijo zdaj (ne ko bodo kvantni računalniki na voljo)
  • Dajte prednost dolgoživim podatkom (pogodbe, zdravstveni podatki, državne skrivnosti)
  • Hibridni certifikati za vse nove sisteme

Znane omejitve

Omejitev Opis Obhod
Windows Store Ni nativnih PQ-ključev Uporablja se stranski store
Argon2id OpenSSL 3.6 eksperimentalno Povratek na PBKDF2
Custom OID-ji Še niso IANA-registrirani Posodobitev ob standardizaciji
WASM zmogljivost 10-100x počasneje od nativnega Primerno za interaktivno uporabo

Varnostna opozorila

Tveganje DLL-sideloading: Zagotovite, da DLL-ji OpenSSL izvirajo iz zaupanja vrednega vira in da je pot pravilno konfigurirana.

Varnostna kopija PQ-ključev: Shramba PQ-ključev ni vključena v varnostno kopijo Windows Certificate Store. Potrebna je ločena varnostna kopija!

Nadaljnje branje

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , ,
1)
BSI: https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kryptografie/Post-Quanten-Kryptografie/post-quanten-kryptografie_node.html
Zuletzt geändert: dne 30.01.2026 ob 08:24

Seiten-Werkzeuge