Крупнейшие российские IT-компании при координации ФСБ, Минцифры и ФСТЭК работают над созданием национальной системы подписи программного кода. Проект призван защитить софт от возможных кибератак в ситуации, когда западные центры сертификации начнут массово отзывать цифровые сертификаты не только у сайтов, но и у программных продуктов. Эту инициативу описал телеканал РБК.

Суть проблемы заключается в том, что цифровая подпись кода — это механизм, позволяющий операционной системе убедиться, что программа не была изменена злоумышленниками. Когда сертификат отзывает центр сертификации, ОС теряет возможность проверить подлинность файла и может либо заблокировать его запуск, либо пропустить потенциально вредоносную версию. Распространенное решение — переход на отечественные операционные системы, однако их доля на российском рынке остаётся крайне малой: по различным оценкам, она не превышает нескольких процентов. Абсолютное большинство пользователей и организаций продолжают работать на Windows и macOS.

Историческая аналогия — история с TLS-сертификатами для сайтов. После 2022 года многие российские веб-ресурсы столкнулись с тем, что западные удостоверяющие центры стали отзывать их HTTPS-сертификаты. Это привело к появлению отечественного удостоверяющего центра, подконтрольного Минцифры, который специализируется именно на сайтах. Теперь логичным продолжением стала аналогичная инициатива, но уже для исполняемых файлов и программ.

Положительная сторона проекта в том, что он снижает зависимость от зарубежной инфраструктуры и создаёт запас прочности на случай дальнейшего ужесточения санкций. Система может быть полезна для государственных структур, критической инфраструктуры и бизнеса, работающего с чувствительными данными.

Однако есть и серьёзные сложности. Во-первых, Windows и macOS по умолчанию доверяют встроенным корневым центрам сертификации — Microsoft, Apple и другим западным. Заставить эти системы доверять российским корневым сертификатам на миллионах устройств без участия самих вендоров крайне затруднительно. Во-вторых, разработчикам софта придётся выпускать отдельные сборки с российской подписью, что создаёт дополнительные расходы и логистические сложности. В-третьих, интеграция с существующими системами обновления и магазинами приложений потребует значительных усилий.

По словам специалистов в области кибербезопасности, национальная система подписи — это важный элемент цифрового суверенитета, но она не является панацеей. Без широкого распространения отечественных ОС и глубокой системной инеграции её эффективность на массовом рынке останется ограниченной. Специалисты отмечают, что наиболее реалистичный сценарий — использование российской подписи параллельно с международной, чтобы при отказе западных центров сохранить работоспособность критически важного софта.

Если вам интересны темы цифровой безопасности и технологического суверенитета, на сайте aigenda.ru вы можете углубиться в эти вопросы с помощью искусственного интеллекта: разобраться в принципах криптографии, подготовить аналитический обзор по отечественным IT-решениям или составить план повышения цифровой грамотности.

Данный текст подготовлен искусственным интеллектом. Материал носит информационный характер.