Завершён эксперимент по подписи ПО через доверенный удостоверяющий центр
«КриптоПро», «ИнфоТеКС» и «Код Безопасности» совместно с АНО «Национальный технологический центр цифровой криптографии» (НТЦ ЦК) завершили эксперимент по использованию централизованного доверенного удостоверяющего центра (УЦ) для обеспечения целостности и подлинности дистрибутивов ПО. Цель — отработка подходов к созданию единого пространства доверия между разными производителями.
Эксперимент проводился на примере подписи дистрибутивов программного обеспечения каждого вендора. В качестве централизованного УЦ использовалась система отраслевого технологического удостоверяющего центра (ОТУЦ), реализованная АНО НТЦ ЦК и находившаяся на момент испытаний в режиме тестовой эксплуатации.
Компании получили в ОТУЦ сертификаты и подписали выбранные продукты: «КриптоПро» — криптопровайдер КриптоПро CSP версии 5.0, «ИнфоТеКС» — ViPNet PKI Client 2.1 и «Код Безопасности» — СЗИ Secret Net Studio (for Linux, v 8.0-302). После обмена подписанными дистрибутивами участники проверили подписи с использованием собственных средств проверки ЭП.
Результаты эксперимента были представлены на открытой конференции ИСП РАН. Как отмечается в материале, для построения единого пространства доверия в стране необходима инфраструктура с централизованным доверенным технологическим УЦ в качестве корня доверия и подчиненными ему УЦ. Также, по мнению участников, требуется встраивание криптографических механизмов в процессы разработки безопасного ПО и стандартизация форматов обеспечения целостности.
Конечной целью работы является формирование технического, организационного и нормативно-правового облика единого пространства доверия в РФ. Эксперимент также был направлен на апробацию подхода, обеспечивающего технологическую независимость в разработке, распространении и эксплуатации доверенного ПО.
