22 декабря 2025 г. / Москва — Инициативная группа российских вендоров СЗИ/СКЗИ в составе компаний «КриптоПро», «ИнфоТеКС» и «Код Безопасности» совместно с автономной некоммерческой организацией «Национальный технологический центр цифровой криптографии» (АНО НТЦ ЦК) успешно провели эксперимент по обеспечению целостности и подлинности дистрибутивов разрабатываемых продуктов с использованием примера централизованного доверенного удостоверяющего центра (УЦ) как единого корня доверия между вендорами. Эксперимент проводился на примере сценария подписи дистрибутивов программного обеспечения (ПО) разных компаний в рамках исследований возможности построения единого пространства доверия.

Современная ситуация с угрозами информационной безопасности и инцидентами, связанными с атаками на цепочки поставок, заставляет уделять серьёзное внимание вопросам разработки и эксплуатации отечественного безопасного ПО. Обеспечение доверенного распространения ПО, его целостности и подлинности при распространении и обновлении невозможно осуществить без применения криптографических механизмов.

Проведённый эксперимент позволил проработать частный подход к обеспечению целостности и подлинности дистрибутивов разрабатываемого ПО, протестировать использование централизованного доверенного УЦ для организации единого пространства доверия и выстроить процессы взаимодействия между вендорами. В качестве централизованного доверенного УЦ использовалась система отраслевого технологического удостоверяющего центра (ОТУЦ), реализацию которой обеспечила АНО НТЦ ЦК. На момент проведения эксперимента указанная система находилась в режиме тестовой эксплуатации. В ходе эксперимента вендоры обратились в ОТУЦ, получили сертификаты подписи дистрибутивов ПО и подписали свои объекты защиты, в качестве которых компанией «КриптоПро» был выбран криптопровайдер КриптоПро CSP версии 5.0, «ИнфоТеКС» – ViPNet PKI Client 2.1 и «Код Безопасности» – СЗИ Secret Net Studio (for Linux, v 8.0-302). Все вендоры выполнили подписание дистрибутива выбранного ПО с использованием полученного сертификата и механизмами своего средства электронной подписи (ЭП). После этого вендоры обменялись подписанными дистрибутивами ПО и выполнили проверку подписи с использованием собственных средств проверки ЭП.

Результаты эксперимента были представлены на открытой конференции ИСП РАН в секции «Использование сертификатов безопасности в доверенном ПО, ПАК и ИС. Построение единого пространства доверия в РФ». Участники секции отметили, что невозможно организовать системную безопасность продуктов на рынке силами одной компании, а для организации единого пространства доверия в стране необходимо наличие централизованного доверенного технологического УЦ как корня доверия, а также подчинённых ему доверенных УЦ. Также для организации системного подхода по разработке безопасного ПО (РБПО) необходимо решить вопросы встраивания криптографических механизмов в сами процессы РБПО (расширяя регламентацию процессов на взаимодействия между компаниями на рынке), требований к используемым форматам и механизмам обеспечения целостности и подлинности объектов защиты, организации инфраструктуры разработки и типовых рекомендуемых интеграций инфраструктуры с централизованными доверенными УЦ.

Конечной целью диалога участников профессионального сообщества по заявленной теме секции является формирование технического, организационного и нормативно-правового облика единого пространства доверия в Российской Федерации, определяющего общий свод правил, требований, практических рекомендаций и готовых решений для всех участников рынка для обеспечения надёжной и безопасной среды цифровой России и её экономики данных. Эксперимент проводился, в том числе, для апробации подхода, позволяющего обеспечить технологическую независимость в вопросах разработки, распространения и эксплуатации доверенного ПО. Вендоры приглашают коллег из ИТ и ИБ отраслей подключиться на следующих этапах к процессу формирования единого пространства доверия в масштабах всей страны. По вопросам работы инициативной группы обращайтесь в АНО НТЦ ЦК по адресу электронной почты info@ntc-cc.ru.