ToonWebToken — modern auth tokens, post-quantum ready
ToonWebToken

Roadmap

Sei track (A–F) che coprono parità, crittografia post-quantum real, hardening, conformità e standardizzazione IETF. Stato al 2026-05-15.

Chiuso Consegnato In corso Pianificato

  1. Track A — Parità tra SDK

    2026-Q1
    Chiuso

    SecureTOONParser, SecurityLogger, RevocationService, RateLimiter, URLValidator, ConfigLoader (TWT-A5: TOML canonico, YAML deprecato in modo soft, TOON legacy). 6/6 SDK di produzione.

    • A1 — SecureTOONParser irrobustito su 6 SDK
    • A2 — Logging di sicurezza nativo ed eventi SIEM
    • A3 — Servizio di revoca con cache di replay
    • A4 — Rate limiter + corpus avversariale (64 fuzz test)
    • A5 — ConfigLoader multi-formato, TOML canonico

  2. Track B — Vera crittografia post-quantum

    2026-Q2 → Q4
    In corso

    B3+B3.1 chiusi: ML-DSA-65 real (FIPS 204) keygen, sign, verify attivi su 14 SDK tramite liboqs, circl, BouncyCastle e noble-post-quantum. B3.2 chiuso: formato wire TOON real. B4 (gerarchia PKI) e B5 (OCSP/CRL) in attesa.

    • B1 — Materiale di chiave produttivo ML-DSA-65
    • B2 — Vettori di test cross-SDK Dilithium3
    • B3 — ML-DSA-65 real su 14 SDK (chiuso 2026-05-15)
    • B3.1 — Corpus PQC avversariale cross-SDK (chiuso 2026-05-15)
    • B3.2 — Formato wire TOON real v2 (chiuso 2026-05-15)
    • B4 — Gerarchia PKI e rotazione delle chiavi (in attesa)
    • B5 — Stato certificato OCSP/CRL (in attesa)

  3. Track C — Hardening & benchmark

    2026-Q1
    Chiuso

    ConfigGuard (TWT-C3), HoneypotDetector (TWT-C4), benchmark sotto i 30 ms su 12 SDK con benchmark. 108+ benchmark, margine nel caso peggiore 5× (TypeScript).

    • C1 — Benchmark cross-SDK sotto i 30 ms — 108+ benchmark su 12 SDK
    • C2 — Corpus avversariale (64+ fuzz test, cron CI mensile)
    • C3 — ConfigGuard: integrità della configurazione protetta da HMAC
    • C4 — HoneypotDetector: claim trappola con eventi SIEM

  4. Track D — Conformità & audit

    2026-Q2 → Q3
    In corso

    81/81 elementi di remediation AppSec chiusi (Tiers 0–6). D2 + D4 consegnati. D1 (attestazione HTTP) e D3 (workflow di violazione) in attesa.

    • D1 — Header di attestazione HTTP (in corso)
    • D2 — Mappatura dei profili regolatori: FINMA, nFADP, GDPR, EU AI Act, HIPAA (consegnato)
    • D3 — Workflow di violazione (in corso)
    • D4 — AuditTrail con catena HMAC su 6/6 SDK (consegnato)

  5. Track E — Standardizzazione IETF

    2026-Q3
    In corso

    Internet-Draft v2 (draft-02): MLDSA65 promosso da `reserved` a `optional`. 14 implementazioni elencate. Doppia licenza MIT/Apache-2.0 su tutti gli SDK. Registri IANA consegnati.

    • E1 — Crate Rust 1.5.0, doppia licenza MIT/Apache-2.0 (consegnato)
    • E2 — Allineamento della superficie canonica su 16 SDK (consegnato)
    • E3 — Internet-Draft v2 (HS256 + MLDSA65) con vettori di test riproducibili (consegnato)
    • E4 — Registri IANA; MLDSA65 promosso a optional (consegnato)
    • E5 — Pubblicazione multi-registro: crates.io, npm, PyPI, Maven Central, NuGet (parziale)
    • E6 — Adozione terze parti e revisione della comunità (in attesa)

  6. Track F — Prospettive future

    2027
    Pianificato

    Trasferimento ad Apache Software Foundation, validazione FIPS 140-3, rilevamento anomalie basato su ML, macaroon, privacy differenziale.

    • F1 — Validazione del modulo FIPS 140-3
    • F2 — Rilevamento anomalie sugli eventi del ciclo di vita dei token
    • F3 — Macaroon (attenuazione e caveat)
    • F4 — Privacy differenziale per l'analisi degli audit
    • F5 — SDK client aggiuntivi (Kotlin)