«КриптоПро», «ИнфоТеКС» и «Код Безопасности» провели эксперимент по реализации подписи ПО с использованием централизованного доверенного УЦ

Современная ситуация с угрозами информационной безопасности и инцидентами, связанными с атаками на цепочки поставок, заставляет уделять серьезное внимание вопросам разработки и эксплуатации отечественного безопасного ПО. Обеспечение доверенного распространения ПО, его целостности и подлинности при распространении и обновлении невозможно осуществить без применения криптографических механизмов.

Проведенный эксперимент позволил проработать частный подход к обеспечению целостности и подлинности дистрибутивов разрабатываемого ПО, протестировать использование централизованного доверенного УЦ для организации единого пространства доверия и выстроить процессы взаимодействия между вендорами. В качестве централизованного доверенного УЦ использовалась система отраслевого технологического удостоверяющего центра (ОТУЦ), реализацию которой обеспечила АНО НТЦ ЦК. На момент проведения эксперимента указанная система находилась в режиме тестовой эксплуатации. В ходе эксперимента вендоры обратились в ОТУЦ, получили сертификаты подписи дистрибутивов ПО и подписали свои объекты защиты, в качестве которых компанией «КриптоПро» был выбран криптопровайдер КриптоПро CSP версии 5.0, «ИнфоТеКС» – ViPNet PKI Client 2.1 и «Код Безопасности» – СЗИ Secret Net Studio (for Linux, v 8.0-302). Все вендоры выполнили подписание дистрибутива выбранного ПО с использованием полученного сертификата и механизмами своего средства электронной подписи (ЭП). После этого вендоры обменялись подписанными дистрибутивами ПО и выполнили проверку подписи с использованием собственных средств проверки ЭП.

Результаты эксперимента были представлены на открытой конференции ИСП РАН в секции «Использование сертификатов безопасности в доверенном ПО, ПАК и ИС. Построение единого пространства доверия в РФ». Участники секции отметили, что невозможно организовать системную безопасность продуктов на рынке силами одной компании, а для организации единого пространства доверия в стране необходимо наличие централизованного доверенного технологического УЦ как корня доверия, а также подчиненных ему доверенных УЦ. Также для организации системного подхода по разработке безопасного ПО (РБПО) необходимо решить вопросы встраивания криптографических механизмов в сами процессы РБПО (расширяя регламентацию процессов на взаимодействия между компаниями на рынке), требований к используемым форматам и механизмам обеспечения целостности и подлинности объектов защиты, организации инфраструктуры разработки и типовых рекомендуемых интеграций инфраструктуры с централизованными доверенными УЦ.

Конечной целью диалога участников профессионального сообщества по заявленной теме секции является формирование технического, организационного и нормативно-правового облика единого пространства доверия в Российской Федерации, определяющего общий свод правил, требований, практических рекомендаций и готовых решений для всех участников рынка для обеспечения надежной и безопасной среды цифровой России и ее экономики данных. Эксперимент проводился, в том числе, для апробации подхода, позволяющего обеспечить технологическую независимость в вопросах разработки, распространения и эксплуатации доверенного ПО.