Для российского софта создадут замену западным сертификатам подписи кода
Опубликовал: FIELD LINE, Вчера, 22:45, В России / Железо / Технологии, 5, 0
Российские IT-игроки создают систему защиты софта на случай, если западные центры начнут отзывать сертификаты подписи кода. В июне эти центры уже начали отзывать сертификаты для сайтов
Крупнейшие российские разработчики создают систему защиты отечественного софта, которая сможет обеспечить защиту в условиях массового отзыва сертификатов для подписи программного кода западными удостоверяющими центрами. Это следует из презентации рабочей группы «Единое пространство доверия», которая действует на базе Национального технологического центра цифровой криптографии во взаимодействии с ФСБ, Минцифры и ФСТЭК. Копия документа есть у РБК, его подлинность подтвердили два источника на IT-рынке.
В состав рабочей группы входят «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех» («дочка» «Сбера»), «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и др.
Эта рабочая группа разрабатывает Отраслевой технологический удостоверяющий центр (ОТУЦ), который должен будет выдавать российским разработчикам сертификаты подписи кода вместо ушедших западных. По словам одного из руководителей рабочей группы, гендиректора «КриптоПро» Станислава Смышляева, ОТУЦ уже функционирует в тестовом режиме. С ноября 2025 года построенную вокруг него систему протестировали «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики операционных систем Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора». Они получили сертификаты в центре, подписали свои программные продукты и обменялись ими для взаимной проверки.
Цифровая подпись программного кода — это электронная метка, подтверждающая, что программа выпущена конкретным разработчиком и ее код не был изменен, например хакерами. Такую метку российские компании в основном получают с использованием сертификатов, выдаваемых в западных удостоверяющих центрах.
Ранее в июне японская компания GlobalSign начала массово отзывать сертификаты безопасности у российских сайтов. Это заставило отрасль ускорить поиск решения также для проблемы подписи кода, говорит один из собеседников РБК. «Разработка системы защиты софта, начатая в конце 2025 года, теперь рассматривается как основной способ сохранить безопасность российских программ, если западные удостоверяющие центры начнут отзывать сертификаты подписи кода», — указал он.
Когда сертификат отозван, операционная система перестает доверять подписи и либо полностью блокирует запуск программы, либо выводит предупреждение о небезопасном издателе, продолжает этот собеседник. У разработчика остается только два способа сохранить работоспособность программы: вообще убрать подпись кода, чтобы системе было нечего проверять, или использовать сертификаты небольших иностранных компаний, которые пока не соблюдают санкции. «В случае отсутствия подписи программу зачастую можно запустить, но гарантий ее подлинности уже не будет: хакеры могут внедрить в нее вредоносный код, и это останется незамеченным», — дополнил он.
Есть ли проблема
По данным ирландской аналитической компании Statcounter, к маю 2026 года доля Windows среди настольных компьютеров в России составляла 83,2%, еще 7,4% занимала macOS от Apple. На российские ОС на базе Linux — Astra Linux, ALT Linux, РЕД ОС и др. — приходится лишь около 3%. Директор по консалтингу и аналитике компании «Квадрант Технологий» Петр Городецкий говорит, что по итогам 2025 года 80% российских компаний использовали Windows на десктопах, у 70% компаний Windows использовалась как серверная операционная система. Доля Windows в деньгах в прошлом году составила около 20%.
Крупнейшими зарубежными провайдерами сертификатов подписи кода являются американские Sectigo и DigiCert, а также японская GlobalSign. Sectigo и DigiCert прекратили взаимодействие с российскими компаниями еще в 2022 году: перестали выдавать новые сертификаты подписи кода и продлевать срок службы действующих.
Главная трудность, по словам Станислава Смышляева, — в том, что в зарубежных операционных системах нет единых российских «корней доверия» (главных сертификатов, которым операционная система доверяет по умолчанию и от которых выстраивается цепочка проверки всех остальных). «Наиболее прямой способ обеспечить доверие к российским сертификатам — чтобы их добавил разработчик операционной системы, но если российские разработчики могут пойти на это, то Microsoft (владеет Windows. — РБК) или Apple (iOS) — вряд ли. Для них необходимо будет разработать иные механизмы обеспечения доверия к программному обеспечению», — пояснил он.
Случаи отзыва сертификатов для подписи программного кода уже были в 2023 году со стороны Apple, рассказал один из источников РБК. По его словам, собственный удостоверяющий центр Apple тогда точечно отзывал сертификаты у некоторых подсанкционных компаний. Последним пришлось убрать подпись кода, оставив свой софт открытым для злоумышленников. Разрабатываемая рабочей группой на базе ОТУЦ система защиты призвана решить эту проблему и защитить код от подмены для тех, кто решит убрать подпись при отзыве зарубежного сертификата, уточнил он.
Представитель Минцифры заверил, что в случае отзыва иностранных сертификатов подписи кода «есть техническая возможность выпуска отечественных». Он напомнил, что 13 июня Совфед одобрил второй пакет мер по борьбе с кибермошенничеством, который среди прочего наделяет Национальный удостоверяющий центр (НУЦ) Минцифры статусом госинформсистемы и расширяет число типов выпускаемых сертификатов. Теперь НУЦ сможет выдавать в том числе сертификаты подписи программного кода, указал представитель.
Параллельно при министерстве идет пилотирование сертификатов подписи кода на российском криптографическом стандарте ГОСТ в отечественных десктопных операционных системах семейства Linux. «Также есть успешные результаты встраивания стандарта ГОСТ для подписания установочных файлов в операционной системе Android c сохранением текущей экосистемы», — рассказал представитель Минцифры. Он подчеркнул, что Минцифры «находится в тесном взаимодействии с отраслью и на данный момент нет информации о проработке планов по отзыву иностранных сертификатов подписи кода или по запрету добавления новых сертификатов в качестве доверенных в ОС Windows».
Представитель министерства также сообщил, что в случае перехода на отечественные сертификаты подписи кода пользователь сможет добавить их в число доверенных в иностранную операционную систему своего устройства самостоятельно. Собеседник РБК, близкий к отрасли, пояснил, что речь идет про условно открытые мобильные и десктопные системы (Windows и Android). В iOS и macOS можно установить приложение с неизвестным системе сертификатом подписи кода через режим разработчика. Система показывает предупреждение в момент установки один раз. Далее все работает стандартно, рассказал он.
Какие риски
Если сертификаты подписи кода отзовут, последствия для разработчиков софта могут быть критическими — по сути, будет остановлен конвейер его поставки пользователям, говорит директор по направлению информационной безопасности IT-экосистемы «Лукоморье» (входит в «Ростелеком») Станислав Воскресенский. «В результате пользователи потеряют возможность получать как новые бизнес-функции, так и обновления безопасности», — пояснил он. Если разработчик софта хочет размещать свои решения в официальных магазинах, например App Store, то это станет невозможным. Также могут быть проблемы с тестированием на реальных устройствах, уточнил Воскресенский. При этом отказ от проверки кода в случае отзыва сертификата для разработчиков будет «шагом назад»: «Это плодотворная почва для распространения подделок — фишингового и вредоносного программного обеспечения, а также нарушения целостности кода».
«Если Microsoft или иные западные компании отзовут сертификаты для подписи кода, может возникнуть проблема запуска российского софта в экосистеме Windows и других иностранных операционных систем», — подтвердил РБК представитель ГК «Астра». Именно поэтому, по его словам, задача подписи программ отечественными сертификатами и создания единого пространства доверия является крайне актуальной. Он отметил, что компания использует сертификаты от «КриптоПро».
Воскресенский сравнил ситуацию с национальной платежной системой. «Суть проблемы схожа — зарубежные платежные системы перестали предоставлять услуги в России. Очевидно, что в случае массового отзыва иностранных сертификатов для подписи программного кода необходимо иметь собственные, национальные удостоверяющие центры», — считает он.
Начальник отдела разработки программного обеспечения «Базальт СПО» Антон Мидюков сообщил РБК, что компания не пользуется зарубежными сертификатами, поэтому для отечественных операционных систем никаких последствий от их отзыва не будет. «Сейчас есть инициатива сделать национальный сертификационный центр для подписи софта для отечественных операционных систем. Он устроен аналогично сертификационным центрам для сайтов: идея в том, чтобы использовать отечественную криптографию и цепочку доверия от сертификационного центра к разработчикам, а при установке программного обеспечения проверять подпись и статус сертификата», — сообщил Мидюков.
Источник
Крупнейшие российские разработчики создают систему защиты отечественного софта, которая сможет обеспечить защиту в условиях массового отзыва сертификатов для подписи программного кода западными удостоверяющими центрами. Это следует из презентации рабочей группы «Единое пространство доверия», которая действует на базе Национального технологического центра цифровой криптографии во взаимодействии с ФСБ, Минцифры и ФСТЭК. Копия документа есть у РБК, его подлинность подтвердили два источника на IT-рынке.
В состав рабочей группы входят «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех» («дочка» «Сбера»), «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и др.
Эта рабочая группа разрабатывает Отраслевой технологический удостоверяющий центр (ОТУЦ), который должен будет выдавать российским разработчикам сертификаты подписи кода вместо ушедших западных. По словам одного из руководителей рабочей группы, гендиректора «КриптоПро» Станислава Смышляева, ОТУЦ уже функционирует в тестовом режиме. С ноября 2025 года построенную вокруг него систему протестировали «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики операционных систем Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора». Они получили сертификаты в центре, подписали свои программные продукты и обменялись ими для взаимной проверки.
Цифровая подпись программного кода — это электронная метка, подтверждающая, что программа выпущена конкретным разработчиком и ее код не был изменен, например хакерами. Такую метку российские компании в основном получают с использованием сертификатов, выдаваемых в западных удостоверяющих центрах.
Ранее в июне японская компания GlobalSign начала массово отзывать сертификаты безопасности у российских сайтов. Это заставило отрасль ускорить поиск решения также для проблемы подписи кода, говорит один из собеседников РБК. «Разработка системы защиты софта, начатая в конце 2025 года, теперь рассматривается как основной способ сохранить безопасность российских программ, если западные удостоверяющие центры начнут отзывать сертификаты подписи кода», — указал он.
Когда сертификат отозван, операционная система перестает доверять подписи и либо полностью блокирует запуск программы, либо выводит предупреждение о небезопасном издателе, продолжает этот собеседник. У разработчика остается только два способа сохранить работоспособность программы: вообще убрать подпись кода, чтобы системе было нечего проверять, или использовать сертификаты небольших иностранных компаний, которые пока не соблюдают санкции. «В случае отсутствия подписи программу зачастую можно запустить, но гарантий ее подлинности уже не будет: хакеры могут внедрить в нее вредоносный код, и это останется незамеченным», — дополнил он.
Есть ли проблема
По данным ирландской аналитической компании Statcounter, к маю 2026 года доля Windows среди настольных компьютеров в России составляла 83,2%, еще 7,4% занимала macOS от Apple. На российские ОС на базе Linux — Astra Linux, ALT Linux, РЕД ОС и др. — приходится лишь около 3%. Директор по консалтингу и аналитике компании «Квадрант Технологий» Петр Городецкий говорит, что по итогам 2025 года 80% российских компаний использовали Windows на десктопах, у 70% компаний Windows использовалась как серверная операционная система. Доля Windows в деньгах в прошлом году составила около 20%.
Крупнейшими зарубежными провайдерами сертификатов подписи кода являются американские Sectigo и DigiCert, а также японская GlobalSign. Sectigo и DigiCert прекратили взаимодействие с российскими компаниями еще в 2022 году: перестали выдавать новые сертификаты подписи кода и продлевать срок службы действующих.
Главная трудность, по словам Станислава Смышляева, — в том, что в зарубежных операционных системах нет единых российских «корней доверия» (главных сертификатов, которым операционная система доверяет по умолчанию и от которых выстраивается цепочка проверки всех остальных). «Наиболее прямой способ обеспечить доверие к российским сертификатам — чтобы их добавил разработчик операционной системы, но если российские разработчики могут пойти на это, то Microsoft (владеет Windows. — РБК) или Apple (iOS) — вряд ли. Для них необходимо будет разработать иные механизмы обеспечения доверия к программному обеспечению», — пояснил он.
Случаи отзыва сертификатов для подписи программного кода уже были в 2023 году со стороны Apple, рассказал один из источников РБК. По его словам, собственный удостоверяющий центр Apple тогда точечно отзывал сертификаты у некоторых подсанкционных компаний. Последним пришлось убрать подпись кода, оставив свой софт открытым для злоумышленников. Разрабатываемая рабочей группой на базе ОТУЦ система защиты призвана решить эту проблему и защитить код от подмены для тех, кто решит убрать подпись при отзыве зарубежного сертификата, уточнил он.
Представитель Минцифры заверил, что в случае отзыва иностранных сертификатов подписи кода «есть техническая возможность выпуска отечественных». Он напомнил, что 13 июня Совфед одобрил второй пакет мер по борьбе с кибермошенничеством, который среди прочего наделяет Национальный удостоверяющий центр (НУЦ) Минцифры статусом госинформсистемы и расширяет число типов выпускаемых сертификатов. Теперь НУЦ сможет выдавать в том числе сертификаты подписи программного кода, указал представитель.
Параллельно при министерстве идет пилотирование сертификатов подписи кода на российском криптографическом стандарте ГОСТ в отечественных десктопных операционных системах семейства Linux. «Также есть успешные результаты встраивания стандарта ГОСТ для подписания установочных файлов в операционной системе Android c сохранением текущей экосистемы», — рассказал представитель Минцифры. Он подчеркнул, что Минцифры «находится в тесном взаимодействии с отраслью и на данный момент нет информации о проработке планов по отзыву иностранных сертификатов подписи кода или по запрету добавления новых сертификатов в качестве доверенных в ОС Windows».
Представитель министерства также сообщил, что в случае перехода на отечественные сертификаты подписи кода пользователь сможет добавить их в число доверенных в иностранную операционную систему своего устройства самостоятельно. Собеседник РБК, близкий к отрасли, пояснил, что речь идет про условно открытые мобильные и десктопные системы (Windows и Android). В iOS и macOS можно установить приложение с неизвестным системе сертификатом подписи кода через режим разработчика. Система показывает предупреждение в момент установки один раз. Далее все работает стандартно, рассказал он.
Какие риски
Если сертификаты подписи кода отзовут, последствия для разработчиков софта могут быть критическими — по сути, будет остановлен конвейер его поставки пользователям, говорит директор по направлению информационной безопасности IT-экосистемы «Лукоморье» (входит в «Ростелеком») Станислав Воскресенский. «В результате пользователи потеряют возможность получать как новые бизнес-функции, так и обновления безопасности», — пояснил он. Если разработчик софта хочет размещать свои решения в официальных магазинах, например App Store, то это станет невозможным. Также могут быть проблемы с тестированием на реальных устройствах, уточнил Воскресенский. При этом отказ от проверки кода в случае отзыва сертификата для разработчиков будет «шагом назад»: «Это плодотворная почва для распространения подделок — фишингового и вредоносного программного обеспечения, а также нарушения целостности кода».
«Если Microsoft или иные западные компании отзовут сертификаты для подписи кода, может возникнуть проблема запуска российского софта в экосистеме Windows и других иностранных операционных систем», — подтвердил РБК представитель ГК «Астра». Именно поэтому, по его словам, задача подписи программ отечественными сертификатами и создания единого пространства доверия является крайне актуальной. Он отметил, что компания использует сертификаты от «КриптоПро».
Воскресенский сравнил ситуацию с национальной платежной системой. «Суть проблемы схожа — зарубежные платежные системы перестали предоставлять услуги в России. Очевидно, что в случае массового отзыва иностранных сертификатов для подписи программного кода необходимо иметь собственные, национальные удостоверяющие центры», — считает он.
Начальник отдела разработки программного обеспечения «Базальт СПО» Антон Мидюков сообщил РБК, что компания не пользуется зарубежными сертификатами, поэтому для отечественных операционных систем никаких последствий от их отзыва не будет. «Сейчас есть инициатива сделать национальный сертификационный центр для подписи софта для отечественных операционных систем. Он устроен аналогично сертификационным центрам для сайтов: идея в том, чтобы использовать отечественную криптографию и цепочку доверия от сертификационного центра к разработчикам, а при установке программного обеспечения проверять подпись и статус сертификата», — сообщил Мидюков.
Источник
