Stfw.Ru
Florian Olivo/unsplash.com
В состав рабочей группы вошли «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех» («дочка» «Сбера»), «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и др. Ей поставлена задача разработать Отраслевой технологический удостоверяющий центр (ОТУЦ), который должен будет выдавать российским разработчикам сертификаты подписи кода вместо ушедших западных.
В группе отметили, что ОТУЦ уже функционирует в тестовом режиме. С ноября 2025 года систему на её базе протестировали «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики операционных систем Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора», которые получили в центре сертификаты, подписали свои программные продукты и обменялись ими для взаимной проверки.
Ранее в июне японская компания GlobalSign запустила массовый отзыв сертификатов безопасности у российских сайтов, находящихся под санкциями. В связи с этим разработка системы защиты софта, начатая в конце 2025 года, теперь рассматривается как основной способ сохранить безопасность российских программ, сообщил источник РБК.
В случае отзыва сертификата операционная система перестаёт доверять подписи и либо полностью блокирует запуск программы, либо выводит предупреждение о небезопасном издателе, рассказал собеседник РБК, отметив, что у разработчика есть только два способа сохранить работоспособность программы: либо убрать подпись кода, чтобы системе было нечего проверять, или использовать сертификаты небольших иностранных компаний, которые пока не соблюдают санкции. В случае отсутствия подписи программу зачастую можно запустить, но тогда хакеры смогут внедрить в нее вредоносный код, и это останется незамеченным, добавил он.
Крупнейшими зарубежными провайдерами сертификатов подписи кода являются американские Sectigo и DigiCert, прекратившие ещё в 2022 году выдавать российским компаниям новые сертификаты подписи кода и продлевать срок службы действующих, а также японская GlobalSign.
По словам источника, со стороны Apple случаи отзыва сертификатов для подписи программного кода были отмечены ещё в 2023 году. В связи с этим подсанкционным компаниям пришлось убрать подпись кода, оставив свой софт незащищённым для злоумышленников.
В Минцифры сообщили, что в случае отзыва иностранных сертификатов подписи кода «есть техническая возможность выпуска отечественных». Также проводится пилотирование сертификатов подписи кода на российском криптографическом стандарте ГОСТ в отечественных десктопных операционных системах семейства Linux. «Также есть успешные результаты встраивания стандарта ГОСТ для подписания установочных файлов в операционной системе Android c сохранением текущей экосистемы», — сообщил представитель Минцифры. Он также рассказал, что «на данный момент нет информации о проработке планов по отзыву иностранных сертификатов подписи кода или по запрету добавления новых сертификатов в качестве доверенных в ОС Windows».
Представитель министерства также сообщил, что при переходе на отечественные сертификаты подписи пользователь сможет добавить их в число доверенных в иностранную операционную систему своего устройства самостоятельно. По словам источника РБК, речь идёт об условно открытых мобильных и десктопных ОС (Windows и Android). Что касается iOS и macOS, то в этом случае можно будет установить приложение с неизвестным системе сертификатом подписи кода через режим разработчика.
