Ряд ведущих российских разработчиков средств защиты информации и криптографических средств, включая компании «КриптоПро», «ИнфоТеКС» и «Код Безопасности», совместно с АНО «Национальный технологический центр цифровой криптографии» (НТЦ ЦК) осуществили пилотный проект. Его целью стала проверка возможности обеспечения подлинности и целостности дистрибутивов программных продуктов с привлечением централизованного доверенного удостоверяющего центра в качестве единого источника доверия для всех участников. Данная информация была предоставлена CNews представителями «ИнфоТеКС».
Практическая часть работы была построена вокруг сценария подписания дистрибутивов программного обеспечения от различных вендоров. Это исследование направлено на изучение перспектив формирования единой доверенной экосистемы.
Актуальные вызовы в сфере информационной безопасности, в частности растущее число инцидентов, связанных с атаками на цепочки поставок, требуют повышенного внимания к вопросам создания и использования отечественного защищенного программного обеспечения. Гарантировать доверенное распространение ПО, подтверждение его целостности и аутентичности при распространении и обновлении возможно только благодаря применению криптографических методов.
Реализованный эксперимент позволил детально изучить один из подходов к подтверждению подлинности и целостности дистрибутивов разрабатываемого ПО, апробировать применение централизованного доверенного УЦ для создания общего пространства доверия и отладить процедуры взаимодействия между компаниями-разработчиками. В роли такого центра использовалась система отраслевого технологического удостоверяющего центра (ОТУЦ), развернутая АНО НТЦ ЦК. На момент проведения испытаний данная система функционировала в тестовом режиме. В рамках проекта вендоры обратились в ОТУЦ, получили сертификаты для подписи дистрибутивов и подписали свои продукты. Компания «КриптоПро» выбрала для этого криптопровайдер КриптоПро CSP версии 5.0, «ИнфоТеКС» – ViPNet PKI Client 2.1, а «Код Безопасности» – СЗИ Secret Net Studio (for Linux, v 8.0-302). Каждый участник выполнил подписание дистрибутива выбранного продукта с использованием полученного сертификата и собственных средств электронной подписи. Затем вендоры обменялись подписанными дистрибутивами и провели взаимную проверку подписей с помощью своих инструментов верификации ЭП.
Итоги исследования были озвучены на публичной сессии ИСП РАН под названием «Применение защитных сертификатов в доверенном программном обеспечении, средствах криптозащиты и информационных системах. Создание целостной среды доверия в Российской Федерации». Участники дискуссии подчеркнули, что обеспечить комплексную безопасность рыночных продуктов усилиями отдельной организации невозможно, а для формирования общенационального пространства доверия требуется централизованный доверенный удостоверяющий центр как основа доверия, а также подконтрольные ему доверенные УЦ. Кроме того, для внедрения системного подхода к созданию защищённого ПО необходимо решить задачи интеграции криптографических методов в сами процессы разработки (расширяя регламенты на взаимодействие между рыночными игроками), установить стандарты для применяемых форматов и способов гарантии целостности и аутентичности защищаемых объектов, а также выстроить инфраструктуру разработки и типовые варианты её интеграции с централизованными доверенными удостоверяющими центрами.
Главной задачей обсуждения экспертного сообщества в рамках данной темы является определение технических, организационных и нормативно-правовых контуров единой среды доверия в России, которая установит общий набор правил, стандартов, практических советов и готовых инструментов для всех участников рынка с целью создания устойчивой и защищённой цифровой экосистемы России и её экономики данных. Проведённый эксперимент, в частности, служил проверке подхода, способного гарантировать технологический суверенитет в сферах создания, распространения и использования доверенного программного обеспечения. Разработчики приглашают специалистов из IT и сферы информационной безопасности присоединиться на дальнейших этапах к работе по построению общегосударственного пространства доверия.
