В рамках «PKI-Форума — 2023» прошёл круглый стол «TLS-сертификаты и сертификаты подписи кода».
Его участники обсудили потенциальную готовность инфраструктуры и средств криптографической защиты информации к внедрению сертификатов безопасности с ГОСТ, работу с отечественными поставщиками и провайдерами сертификатов безопасности и поддержку услуг доверия технологии Certificate transparency (RFC 9162).
Открыл дискуссию Игорь Качалин из АНО НТЦ ЦК, который рассказал о целях создания «Национального технологического центра цифровой криптографии» и планах на ближайшую перспективу.
Он отметил, что в числе задач, поставленных перед НТЦ ЦК, — массовое использование российских криптографических механизмов в экономической деятельности государства. Центр равноудалён от вендоров и ставит задачи использовать решения всех поставщиков на рынке.
«На сегодня у нас много кирпичей, заложенных полезных решений, которые апробированы и прошли сертификацию, из которых надо создавать систему, — констатировал Качалин. — НТЦ ЦК запланировала цикл работы по развитию инфраструктуры по выдаче сертификатов для подтверждения владения доменами и подписи кода. В настоящее время принимаются решения по финансированию этих работ. Во второй половине 2024 года мы получим готовые решения, которые можно будет апробировать и представить отрасли».
«Есть и другой вопрос — упрощение использования СКЗИ со стороны пользователей. Здесь есть ограничения для массового использования. Мы планируем провести эксперимент с регулятором по выдаче сертификатов, хотим найти пути упрощения массового применения СКЗИ», — продолжил глава НТЦ ЦК. Он пообещал сообщить об успехах на следующем PKI-Форуме.
Другие участники круглого стола, в свою очередь, заметили, что уже проведена большая работа по внедрению сертификатов безопасности, имеются российские браузеры и приложения, которые поддерживают отечественные СКЗИ, в также созданы Удостоверяющие центры.
Однако предстоит провести также работу с вендорами, и главная задача здесь — массовое внедрение российских алгоритмов и внедрение СКЗИ, встраивание их в мобильные и облачные решения, переход отечественных доменов на российские сертификаты.
Часть вопросов упирается стандартизацию подходов и популяризацию решений, а также финансовые и технические издержки даже со стороны техгигантов. В отдалённой перспективе встаёт и вопрос признания отечественных сертификатов в мире.
Есть проблема выдачи TLS-сертификатов и подписей для серверов, которые выдают УЦ. При этом могут создаться условия, при которых возникнут угрозы безопасности при подписании.
Разработчики систем отмечают отсутствие структурированных наборов требований при разработке СКЗИ и при их последующем успешном внедрении в решения любых вендоров. Есть вопросы к совместимости и библиотекам, специфике реализации доменов безопасности, реализации ОС. Подход специфический для проприетарных и open-source-решений и в настоящее время требует индивидуального подхода для каждого случая.
Участники дискуссии обсудили различные подходы к инфраструктуре выдачи PKI- и TLS-сертификатов безопасности, ЭП и ключей CSP. Здесь конечное решение зависит от регулятора, заключили докладчики. В настоящее время окончательного решения по этому вопросу нет.
Также возникает схема распространения ключей и проблема масштабируемости сертификатов при массовом их использовании. Плюс риски, связанные с доверием. Для решения этого вопроса было предложено создать единый сервис для всех удостоверяющих центров и использовать опыт иностранных удостоверяющих центров.
Ещё одна тема — стоимость сертификатов в зависимости от их типов — вызвала бурную реакцию собравшихся.
Отдельная задача — стандартизация сертификатов и распространение решений с использованием СКЗИ на основе ГОСТ на международных рынках. Здесь возможны разные варианты исполнения — для внутреннего и внешнего использования. Можно использовать и уже имеющийся опыт работы компаний со странами СНГ.
Для решения части вопросов по стандартизации можно подключить Технический комитет 26 — это работа в рамках его компетенции, предложил Игорь Качалин.
В рамках обсуждения практических проблем участники круглого стола отметили необходимость стандартизации форматов сертификатов, меток кода и цифровых подписей, оптимизацию систем проверки, поскольку существующие варианты «подвешивают» рабочие станции и приостанавливают иные процессы, а работа по проверке подлинности занимает продолжительное время.
Участники сообщили, что готовы участвовать в разработке и экспертном обсуждении проблем для массового внедрения СКЗИ, повышения доверия к ПО и его защите, формированию нормативно-правовых актов и иных документов для успешной реализации всех обсуждаемых на круглом столе вопросов и поставленных перед сообществом задач.
На следующем PKI-Форуме участники дискуссии планируют вернуться к обсуждению вопросов сертификации и потребностей вендоров с учётом уже реализованных за год решений.