В России создадут защиту отечественного ПО на случай массового отзыва сертификатов
Российские разработчики создают систему защиты отечественного софта на случай массового отзыва сертификатов для подписи программного кода западными удостоверяющими центрами, сообщил ресурс РБК со ссылкой на презентацию рабочей группы «Единое пространство доверия», сформированной на базе Национального технологического центра цифровой криптографии во взаимодействии с ФСБ, Минцифры и ФСТЭК.
В состав рабочей группы вошли «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех» («дочка» «Сбера»), «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и др. Ей поставлена задача разработать Отраслевой технологический удостоверяющий центр (ОТУЦ), который должен будет выдавать российским разработчикам сертификаты подписи кода вместо ушедших западных.
В группе отметили, что ОТУЦ уже функционирует в тестовом режиме. С ноября 2025 года систему на её базе протестировали «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики операционных систем Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора», которые получили в центре сертификаты, подписали свои программные продукты и обменялись ими для взаимной проверки.
Ранее в июне японская компания GlobalSign запустила массовый отзыв сертификатов безопасности у российских сайтов, находящихся под санкциями. В связи с этим разработка системы защиты софта, начатая в конце 2025 года, теперь рассматривается как основной способ сохранить безопасность российских программ, сообщил источник РБК.
В случае отзыва сертификата операционная система перестаёт доверять подписи и либо полностью блокирует запуск программы, либо выводит предупреждение о небезопасном издателе, рассказал собеседник РБК, отметив, что у разработчика есть только два способа сохранить работоспособность программы: либо убрать подпись кода, чтобы системе было нечего проверять, или использовать сертификаты небольших иностранных компаний, которые пока не соблюдают санкции. В случае отсутствия подписи программу зачастую можно запустить, но тогда хакеры смогут внедрить в нее вредоносный код, и это останется незамеченным, добавил он.
Крупнейшими зарубежными провайдерами сертификатов подписи кода являются американские Sectigo и DigiCert, прекратившие ещё в 2022 году выдавать российским компаниям новые сертификаты подписи кода и продлевать срок службы действующих, а также японская GlobalSign.
По словам источника, со стороны Apple случаи отзыва сертификатов для подписи программного кода были отмечены ещё в 2023 году. В связи с этим подсанкционным компаниям пришлось убрать подпись кода, оставив свой софт незащищённым для злоумышленников.
В Минцифры сообщили, что в случае отзыва иностранных сертификатов подписи кода «есть техническая возможность выпуска отечественных». Также проводится пилотирование сертификатов подписи кода на российском криптографическом стандарте ГОСТ в отечественных десктопных операционных системах семейства Linux. «Также есть успешные результаты встраивания стандарта ГОСТ для подписания установочных файлов в операционной системе Android c сохранением текущей экосистемы», — сообщил представитель Минцифры. Он также рассказал, что «на данный момент нет информации о проработке планов по отзыву иностранных сертификатов подписи кода или по запрету добавления новых сертификатов в качестве доверенных в ОС Windows».
Представитель министерства также сообщил, что при переходе на отечественные сертификаты подписи пользователь сможет добавить их в число доверенных в иностранную операционную систему своего устройства самостоятельно. По словам источника РБК, речь идёт об условно открытых мобильных и десктопных ОС (Windows и Android). Что касается iOS и macOS, то в этом случае можно будет установить приложение с неизвестным системе сертификатом подписи кода через режим разработчика.
