Поделиться
«КриптоПро», «ИнфоТеКС» и «Код Безопасности» провели эксперимент по реализации подписи ПО с использованием централизованного доверенного УЦ
Инициативная группа российских вендоров СЗИ/СКЗИ в составе компаний «КриптоПро», «ИнфоТеКС» и «Код Безопасности» совместно с автономной некоммерческой организацией «Национальный технологический центр цифровой криптографии» (АНО НТЦ ЦК) провели эксперимент по обеспечению целостности и подлинности дистрибутивов разрабатываемых продуктов с использованием примера централизованного доверенного удостоверяющего центра (УЦ) как единого корня доверия между вендорами. Об этом CNews сообщили представители «ИнфоТеКС».
Эксперимент проводился на примере сценария подписи дистрибутивов программного обеспечения (ПО) разных компаний в рамках исследований возможности построения единого пространства доверия.
Современная ситуация с угрозами информационной безопасности и инцидентами, связанными с атаками на цепочки поставок, заставляет уделять серьезное внимание вопросам разработки и эксплуатации отечественного безопасного ПО. Обеспечение доверенного распространения ПО, его целостности и подлинности при распространении и обновлении невозможно осуществить без применения криптографических механизмов.
Проведенный эксперимент позволил проработать частный подход к обеспечению целостности и подлинности дистрибутивов разрабатываемого ПО, протестировать использование централизованного доверенного УЦ для организации единого пространства доверия и выстроить процессы взаимодействия между вендорами. В качестве централизованного доверенного УЦ использовалась система отраслевого технологического удостоверяющего центра (ОТУЦ), реализацию которой обеспечила АНО НТЦ ЦК. На момент проведения эксперимента указанная система находилась в режиме тестовой эксплуатации. В ходе эксперимента вендоры обратились в ОТУЦ, получили сертификаты подписи дистрибутивов ПО и подписали свои объекты защиты, в качестве которых компанией «КриптоПро» был выбран криптопровайдер КриптоПро CSP версии 5.0, «ИнфоТеКС» – ViPNet PKI Client 2.1 и «Код Безопасности» – СЗИ Secret Net Studio (for Linux, v 8.0-302). Все вендоры выполнили подписание дистрибутива выбранного ПО с использованием полученного сертификата и механизмами своего средства электронной подписи (ЭП). После этого вендоры обменялись подписанными дистрибутивами ПО и выполнили проверку подписи с использованием собственных средств проверки ЭП.
Результаты эксперимента были представлены на открытой конференции ИСП РАН в секции «Использование сертификатов безопасности в доверенном ПО, ПАК и ИС. Построение единого пространства доверия в РФ». Участники секции отметили, что невозможно организовать системную безопасность продуктов на рынке силами одной компании, а для организации единого пространства доверия в стране необходимо наличие централизованного доверенного технологического УЦ как корня доверия, а также подчиненных ему доверенных УЦ. Также для организации системного подхода по разработке безопасного ПО (РБПО) необходимо решить вопросы встраивания криптографических механизмов в сами процессы РБПО (расширяя регламентацию процессов на взаимодействия между компаниями на рынке), требований к используемым форматам и механизмам обеспечения целостности и подлинности объектов защиты, организации инфраструктуры разработки и типовых рекомендуемых интеграций инфраструктуры с централизованными доверенными УЦ.
Конечной целью диалога участников профессионального сообщества по заявленной теме секции является формирование технического, организационного и нормативно-правового облика единого пространства доверия в России, определяющего общий свод правил, требований, практических рекомендаций и готовых решений для всех участников рынка для обеспечения надежной и безопасной среды цифровой России и ее экономики данных. Эксперимент проводился, в том числе, для апробации подхода, позволяющего обеспечить технологическую независимость в вопросах разработки, распространения и эксплуатации доверенного ПО. Вендоры приглашают коллег из ИТ и ИБ отраслей подключиться на следующих этапах к процессу формирования единого пространства доверия в масштабах всей страны.
Короткая ссылка
