Российские IT-компании создают отечественную систему подписи программного кода

Российские IT-компании создают отечественную систему подписи программного кода

Ведущие российские ИТ-разработчики объединились для создания Отраслевого технологического удостоверяющего центра (ОТУЦ). Новая структура призвана защитить отечественный софт от потенциального массового отзыва сертификатов подписи кода западными организациями. Проект реализуется на базе Национального технологического центра цифровой криптографии при содействии Минцифры, ФСБ и ФСТЭК. Об этом сообщает издание РБК со ссылкой на презентацию рабочей группы «Единое пространство доверия».

В состав профильной рабочей группы вошли крупнейшие игроки ИТ-рынка: «РусБИТех-Астра» (разработчик Astra Linux), «Сбертех», «Базальт СПО», «Открытая мобильная платформа» (создатель ОС «Аврора»), «КриптоПро», «ИнфоТеКС» и «Лаборатория Касперского».

Разрабатываемый ОТУЦ уже функционирует в тестовом режиме. С ноября 2025 года систему всесторонне проверили ИБ-компании и разработчики операционных систем Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора». Участники успешно получили внутренние сертификаты, подписали ими свои программные продукты и обменялись файлами для взаимной проверки совместимости.

Почему это важно сейчас

Цифровая подпись программного кода — это электронная метка, гарантирующая, что утилита или приложение выпущены легальным разработчиком и их код не был модифицирован хакерами. До последнего времени российские компании закупали эти маркеры у зарубежных удостоверяющих центров — американских Sectigo и DigiCert, а также японской GlobalSign.

Американские провайдеры прекратили сотрудничество с РФ еще в 2022 году. В июне 2026 года GlobalSign начала массово отзывать SSL-сертификаты безопасности у российских сайтов, что вынудило отечественную ИТ-индустрию форсировать разработку аналогичного защитного решения для программного софта.

При отзыве сертификата операционная система блокирует запуск софта или выдает предупреждение о небезопасном издателе. Если разработчик полностью уберет подпись, программа запустится, но пользователи потеряют гарантию ее подлинности: злоумышленники смогут скрытно внедрить в нее вредоносный код. Полноценная блокировка способна остановить конвейер обновлений софта, лишив клиентов актуальных бизнес-функций и патчей безопасности.

Доминирование Windows и технические барьеры

Главная сложность заключается в интеграции отечественных сертификатов в зарубежные операционные системы, которые преобладают в инфраструктуре российского бизнеса и у обычных граждан.

- Рынок настольных ПК (данные Statcounter на май 2026 года): Windows занимает 83,2% рынка в России, macOS от Apple — 7,4%, а отечественные ОС на базе Linux — около 3%.

- Корпоративный сектор (оценка «Квадрант Технологий» за 2025 год): Windows использовали 80%компаний на рабочих станциях и 70% на серверах.

Зарубежные ОС не содержат российских «корней доверия» — главных сертификатов, одобряющих всю цепочку подписей по умолчанию. Очевидно, что Microsoft или Apple не станут добавлять российские центры в свои списки. Соответственно, обеспечивать работоспособность программ придется иными методами.

«В случае перехода на отечественные сертификаты подписи кода пользователь сможет добавить их в число доверенных в операционную систему своего устройства самостоятельно», — пояснили в Минцифры.

В относительно открытых системах (Windows, Android) интеграция сертификата выполняется вручную через настройки. В закрытых iOS и macOS софт с неизвестным сертификатом подписи кода можно будет установить через режим разработчика — ОС покажет предупреждение только один раз при инсталляции.

Позиция Минцифры

В Минцифры заверяют, что техническая база для импортозамещения готова. В июне 2026 года Совет Федерации одобрил поправки к законодательству, которые наделили Национальный удостоверяющий центр (НУЦ) Минцифры статусом государственной информационной системы. Теперь НУЦ законодательно имеет право выпускать сертификаты подписи программного кода.

Параллельно ведомство тестирует подписи на базе российского криптографического стандарта ГОСТ в отечественных Linux-системах и на платформе Android. В министерстве подчеркивают, что пока официальной информации о планах полной блокировки подписей кода со стороны Microsoft нет, но индустрия готовит резервные контуры управления ИТ-рисками.

Читайте также: «Спецлаб» оцифровывает аналоговые манометры через видеокамеры и ИИ

Был ли вам полезен данный материал?

Да Нет

|| ←Мошенники начали захватывать аккаунты в Telegram под видом бронирования бензина на АЗС
Завод «НХПТ» получил лицензию на оборудование для АЭС 1 класса безопасности →

Предыдущий материал: Мошенники начали захватывать аккаунты в Telegram под видом бронирования бензина на АЗС

Следующий материал: Завод «НХПТ» получил лицензию на оборудование для АЭС 1 класса безопасности

Журнал RUБЕЖ собрал рекомендации экспертов по обеспечению безопасности ЦОД: оценка рисков для пожарного страхования, критерии защищенности дата-центров, обзоры нормативных актов и инвестпроекты.

Подписывайся на наши каналы в Telegram: