Rússia Desenvolve Alternativa Nacional para Certificados de Assinatura de Código
Grandes empresas russas estão testando uma nova infraestrutura para assinar software nacional sem depender de certificados de autoridades certificadoras ocidentais. A iniciativa visa manter a confiança no software russo diante da possibilidade de revogação em massa de certificados estrangeiros.
MundiX News·24 de junho de 2026·6 min de leitura·👁 1 views
Grandes empresas russas estão em fase de testes de uma infraestrutura que permitirá a assinatura de software nacional sem a necessidade de certificados de autoridades certificadoras ocidentais. Essa medida estratégica visa garantir a integridade e a confiança no software russo, especialmente em um cenário onde provedores internacionais poderiam revogar em massa os certificados previamente emitidos.
O projeto é liderado por um grupo de trabalho denominado "Espaço de Confiança Unificado", estabelecido com base no Centro Nacional de Tecnologia de Criptografia Digital, com a participação ativa de órgãos governamentais como o Serviço Federal de Segurança (FSB), o Ministério do Desenvolvimento Digital, Comunicações e Meios de Comunicação de Massa (Mintsifry) e o Serviço Federal de Controle Técnico e de Exportação (FSTEC). Entre as empresas que compõem este grupo estão nomes proeminentes como "RusBITech-Astra", "Sbertech", "Basalt SPO", "Open Mobile Platform", "CryptoPro", "InfoTeCS" e "Kaspersky Lab", entre outras.
O cerne desta nova arquitetura de confiança será o Centro de Certificação Tecnológica Setorial (OTUTs), responsável pela emissão de certificados para assinatura de código a desenvolvedores russos. Segundo Stanislav Smyshlyaev, CEO da "CryptoPro", o centro já opera em modo de testes. Desde novembro de 2025, empresas como "CryptoPro", "InfoTeKS", "Security Code", "Kaspersky Lab", "Sbertech", juntamente com os desenvolvedores de sistemas operacionais como Astra Linux, Alt, RED OS, ROSA e Aurora, têm participado ativamente dos testes. Essas empresas receberam certificados, os aplicaram em seus produtos e realizaram trocas de software para validação mútua.
Paralelamente, o Centro Nacional de Certificação do Mintsifry também está desenvolvendo seus próprios certificados de assinatura de código. O ministério tem realizado testes de assinatura baseada em padrões GOST em sistemas Linux russos e relatou a integração bem-sucedida da assinatura GOST em arquivos de instalação para Android. Um dos fatores que impulsionaram o desenvolvimento desta alternativa russa foi a revogação de certificados SSL/TLS da GlobalSign para organizações russas em junho, motivada por novas exigências do consórcio internacional CA/Browser Forum. Essas novas regras tornaram obrigatória a verificação de clientes em listas de sanções dos EUA e da União Europeia para as autoridades certificadoras.
A situação para os certificados de assinatura de código é ainda mais complexa, pois empresas como Sectigo e DigiCert já haviam interrompido a emissão e renovação desses certificados para companhias russas em 2022. Em 2023, a própria autoridade certificadora da Apple também revogou certificados de várias organizações sancionadas. Especialistas consultados pela publicação apontam que o principal desafio reside na capacidade dos desenvolvedores de sistemas operacionais russos de incluir os certificados do OTUTs como confiáveis por padrão. No entanto, a expectativa de que Microsoft ou Apple adotem uma medida semelhante é baixa, o que exigirá mecanismos de verificação adicionais para Windows, macOS e iOS. Em plataformas como Windows e Android, os usuários poderão adicionar certificados manualmente, enquanto em sistemas Apple, a instalação de aplicativos assinados por fontes desconhecidas poderá requerer o modo de desenvolvedor.
De acordo com dados da Statcounter, em maio de 2026, o Windows detinha 83,2% do mercado de desktops russo, seguido pelo macOS com 7,4%. As distribuições Linux nacionais representavam cerca de 3%. Especialistas alertam que a revogação em massa de certificados estrangeiros pode impedir a distribuição de novas versões de software e patches de segurança, além de bloquear o acesso de desenvolvedores russos a lojas de aplicativos oficiais. Por outro lado, a ausência de verificação de assinatura pode facilitar ataques de phishing, a disseminação de instaladores falsos e malware, comprometendo a segurança geral do ecossistema digital.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Grandes empresas russas estão em fase de testes de uma infraestrutura que permitirá a assinatura de software nacional sem a necessidade de certificados de autoridades certificadoras ocidentais. Essa medida estratégica visa garantir a integridade e a confiança no software russo, especialmente em um cenário onde provedores internacionais poderiam revogar em massa os certificados previamente emitidos.
O projeto é liderado por um grupo de trabalho denominado "Espaço de Confiança Unificado", estabelecido com base no Centro Nacional de Tecnologia de Criptografia Digital, com a participação ativa de órgãos governamentais como o Serviço Federal de Segurança (FSB), o Ministério do Desenvolvimento Digital, Comunicações e Meios de Comunicação de Massa (Mintsifry) e o Serviço Federal de Controle Técnico e de Exportação (FSTEC). Entre as empresas que compõem este grupo estão nomes proeminentes como "RusBITech-Astra", "Sbertech", "Basalt SPO", "Open Mobile Platform", "CryptoPro", "InfoTeCS" e "Kaspersky Lab", entre outras.
O cerne desta nova arquitetura de confiança será o Centro de Certificação Tecnológica Setorial (OTUTs), responsável pela emissão de certificados para assinatura de código a desenvolvedores russos. Segundo Stanislav Smyshlyaev, CEO da "CryptoPro", o centro já opera em modo de testes. Desde novembro de 2025, empresas como "CryptoPro", "InfoTeKS", "Security Code", "Kaspersky Lab", "Sbertech", juntamente com os desenvolvedores de sistemas operacionais como Astra Linux, Alt, RED OS, ROSA e Aurora, têm participado ativamente dos testes. Essas empresas receberam certificados, os aplicaram em seus produtos e realizaram trocas de software para validação mútua.
Paralelamente, o Centro Nacional de Certificação do Mintsifry também está desenvolvendo seus próprios certificados de assinatura de código. O ministério tem realizado testes de assinatura baseada em padrões GOST em sistemas Linux russos e relatou a integração bem-sucedida da assinatura GOST em arquivos de instalação para Android. Um dos fatores que impulsionaram o desenvolvimento desta alternativa russa foi a revogação de certificados SSL/TLS da GlobalSign para organizações russas em junho, motivada por novas exigências do consórcio internacional CA/Browser Forum. Essas novas regras tornaram obrigatória a verificação de clientes em listas de sanções dos EUA e da União Europeia para as autoridades certificadoras.
A situação para os certificados de assinatura de código é ainda mais complexa, pois empresas como Sectigo e DigiCert já haviam interrompido a emissão e renovação desses certificados para companhias russas em 2022. Em 2023, a própria autoridade certificadora da Apple também revogou certificados de várias organizações sancionadas. Especialistas consultados pela publicação apontam que o principal desafio reside na capacidade dos desenvolvedores de sistemas operacionais russos de incluir os certificados do OTUTs como confiáveis por padrão. No entanto, a expectativa de que Microsoft ou Apple adotem uma medida semelhante é baixa, o que exigirá mecanismos de verificação adicionais para Windows, macOS e iOS. Em plataformas como Windows e Android, os usuários poderão adicionar certificados manualmente, enquanto em sistemas Apple, a instalação de aplicativos assinados por fontes desconhecidas poderá requerer o modo de desenvolvedor.
De acordo com dados da Statcounter, em maio de 2026, o Windows detinha 83,2% do mercado de desktops russo, seguido pelo macOS com 7,4%. As distribuições Linux nacionais representavam cerca de 3%. Especialistas alertam que a revogação em massa de certificados estrangeiros pode impedir a distribuição de novas versões de software e patches de segurança, além de bloquear o acesso de desenvolvedores russos a lojas de aplicativos oficiais. Por outro lado, a ausência de verificação de assinatura pode facilitar ataques de phishing, a disseminação de instaladores falsos e malware, comprometendo a segurança geral do ecossistema digital.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
