Российская ИТ-отрасль готовится к сценарию, который ещё недавно казался маловероятным: западные удостоверяющие центры могут начать массово отзывать сертификаты подписи программного кода у российских разработчиков. Чтобы не остаться без работающего софта, крупнейшие игроки рынка уже создают собственную систему доверия.
Как выяснил РБК, на базе Национального технологического центра цифровой криптографии работает группа «Единое пространство доверия», в которую входят «Астра», «Сбертех», «Базальт СПО», «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и другие компании.
Они разрабатывают Отраслевой технологический удостоверяющий центр (ОТУЦ), который должен заменить ушедшие западные сервисы выдачи сертификатов подписи кода.
Проект уже вышел за рамки теории. По словам главы «КриптоПро» Станислава Смышляева, центр работает в тестовом режиме, а разработчики Astra Linux, «Альт», РЕД ОС, ROSA, «Авроры» и ряда ИБ-продуктов уже протестировали выпуск сертификатов и проверку подписанного программного обеспечения.
Проблема стала особенно актуальной после того, как в июне японская GlobalSign начала отзывать сертификаты безопасности у российских сайтов. В отрасли опасаются, что следующим шагом могут стать сертификаты для подписи программ.
Если такой сценарий реализуется, последствия будут серьезными. Операционные системы перестанут доверять программам с отозванными сертификатами: где-то появятся предупреждения, а где-то запуск может быть полностью заблокирован. Для разработчиков это означает риск остановки поставок обновлений и новых версий продуктов.
Особенно болезненной ситуация может стать для компаний, чьи решения работают в Windows и других зарубежных операционных системах. По данным рынка, Windows до сих пор используется более чем в 80% российских организаций.
В Минцифры утверждают, что на случай проблем уже есть резервный план. Национальный удостоверяющий центр получил право выпускать отечественные сертификаты подписи кода, а параллельно тестируется использование российских криптографических алгоритмов ГОСТ в Linux и Android.
По сути, отрасль строит собственный аналог национальной платежной системы, только для программного обеспечения. Логика простая: если зарубежная инфраструктура доверия однажды отключится, российский софт должен продолжить работать без сбоев и риска подмены кода злоумышленниками.
