Крупные российские разработчики ПО создают систему защиты на случай массового отзыва зарубежных сертификатов подписи кода. Ключевым элементом станет отраслевой удостоверяющий центр, который позволит сохранить доверие к отечественному софту и снизить зависимость от иностранных поставщиков.
Российские разработчики ПО — «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех», «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и др. —занимаются созданием механизма защиты отечественного софта на случай массового отзыва сертификатов, используемых для подписи программного кода и выдаваемых зарубежными удостоверяющими центрами. Об этом говорится в материалах рабочей группы «Единое пространство доверия», действующей на базе Национального технологического центра цифровой криптографии при участии ФСБ, Минцифры и ФСТЭК.
Одним из ключевых проектов рабочей группы стало создание Отраслевого технологического удостоверяющего центра (ОТУЦ), который должен обеспечить российских разработчиков сертификатами для подписи программного кода взамен решений западных удостоверяющих центров, прекративших работу с российскими компаниями. Гендиректор «КриптоПро» Станислав Смышляев, участвующий в руководстве рабочей группой, сообщил, что центр уже работает в тестовом режиме. С конца 2025 года построенная вокруг него инфраструктура проходила испытания с участием компаний «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчиков ОС Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора». В рамках тестирования участники получали сертификаты в новом центре, подписывали ими свои программные продукты и затем обменивались ими для проверки корректности работы системы.
Подпись программного кода представляет собой цифровой идентификатор, который подтверждает происхождение программы от конкретного разработчика и гарантирует, что ее содержимое не подвергалось изменениям, например вследствие действий злоумышленников. В настоящее время большинство российских компаний используют для этих целей сертификаты, выданные иностранными удостоверяющими центрами.
Напомним, в июне начался массовый отзыв сертификатов безопасности для российских сайтов со стороны японской компании GlobalSign. Именно после этого участники рынка активизировали поиск решения и для проблемы подписания программного кода. Разработка системы защиты ПО стартовала еще в конце 2025 года, однако теперь ее рассматривают как основной инструмент обеспечения безопасности отечественного софта в случае, если зарубежные удостоверяющие центры начнут массово отзывать сертификаты подписи кода. После отзыва сертификата ОС перестает считать подпись доверенной. В такой ситуации программа либо блокируется для запуска, либо пользователь получает предупреждение о том, что издатель не является надежным. Разработчики фактически оказываются перед выбором между двумя вариантами: отказаться от использования подписи кода вообще или воспользоваться сертификатами небольших зарубежных организаций, которые пока не присоединились к санкционным ограничениям. При этом отсутствие подписи позволяет запускать программу, но лишает пользователей гарантии ее подлинности. В таком случае внедрение вредоносных изменений в программный код может остаться незамеченным.
К маю 2026 года Windows занимала 83,2% российского рынка настольных компьютеров, по данным Statcounter. На macOS приходилось еще 7,4%. Совокупная доля российских ОС на базе Linux, включая Astra Linux, ALT Linux, РЕД ОС и другие решения, составляла около 3%. По итогам 2025 года Windows использовалась на рабочих компьютерах в 80% российских компаний, а в качестве серверной платформы — примерно в 70% организаций. В денежном выражении доля Windows на рынке составляла около 20%.
Среди крупнейших зарубежных поставщиков сертификатов для подписи программного кода —американские Sectigo и DigiCert, японская GlobalSign. Первые две прекратили сотрудничество с российскими клиентами в 2022 году, остановив как выдачу новых сертификатов, так и продление уже существующих.
Основной проблемой остается отсутствие российских «корней доверия» в зарубежных ОС, рассказал Станислав Смышляев. Именно такие сертификаты лежат в основе всей системы проверки цифровой подписи и по умолчанию признаются ОС надежными. Самым простым решением было бы включение российских корневых сертификатов в состав ОС их разработчиками. Однако если отечественные производители программных платформ способны реализовать такой подход, то со стороны Microsoft или Apple подобного шага ожидать не приходится. Поэтому для работы российских сертификатов в иностранных ОС потребуется разработка других механизмов формирования доверия. ОТУЦ способна защитить код от подмены для тех, кто решит убрать подпись при отзыве зарубежного сертификата.
В Минцифры заявили, что в случае отзыва иностранных сертификатов существует техническая возможность организовать выпуск отечественных аналогов. Совфед одобрил второй пакет мер по противодействию кибермошенничеству, который предусматривает присвоение НУЦ Минцифры статуса ГИС, а также расширяет перечень типов сертификатов, которые он может выдавать. В частности, теперь центр получает возможность выпускать сертификаты для подписи программного кода.
Одновременно министерство проводит пилотные проекты по внедрению сертификатов подписи кода на основе российских криптографических алгоритмов ГОСТ в отечественных настольных ОС семейства Linux. Кроме того, представители ведомства сообщили об успешных результатах интеграции стандарта ГОСТ для подписания установочных файлов в ОС Android без нарушения существующей экосистемы. В Минцифры поддерживают постоянный контакт с участниками отрасли и на данный момент не располагают сведениями о подготовке массового отзыва иностранных сертификатов подписи кода либо о возможном запрете на добавление новых доверенных сертификатов в Windows.
В министерстве также сообщили, что при переходе на отечественные сертификаты пользователи смогут самостоятельно добавить их в перечень доверенных сертификатов на своих устройствах под управлением зарубежных ОС. Источник РБК уточнил, что это относится прежде всего к относительно открытым платформам, таким как Windows и Android. В случае с iOS и macOS установка приложения, подписанного неизвестным системе сертификатом, возможна через режим разработчика. При этом предупреждение отображается только в момент установки, а дальнейшая работа приложения осуществляется в обычном режиме. ИИ сделал ненужными 12 тыс. программ в вузах КНР Цифровые двойники в промышленности. Как виртуальные модели создают конкурентное преимущество Кредитка для дипфейка
Зависимость российских разработчиков от иностранных сертификатов подписи кода создает серьезные риски для отрасли, подчеркивают эксперты. В случае их массового отзыва могут возникнуть проблемы с запуском программ в зарубежных ОС, распространением обновлений, публикацией приложений в официальных магазинах и тестированием на устройствах пользователей.
Отказ от цифровой подписи не является полноценным решением, поскольку снижает уровень доверия к программам и повышает риск распространения вредоносного кода. Поэтому создание отечественной системы удостоверяющих центров и собственных сертификатов рассматривается как необходимая мера для обеспечения независимости и безопасности российского программного обеспечения.
При этом представители российских разработчиков отмечают, что для отечественных ОС последствия возможного отзыва зарубежных сертификатов будут ограниченными, поскольку уже используются собственные механизмы доверия и национальные криптографические решения.
Источник: www.it-world.ru