Подписать документ электронной подписью с флешки — задача, которая требует правильной настройки рабочего места. USB-токен (Рутокен, JaCarta) хранит закрытый ключ в защищенной памяти, и для работы с ним нужен криптопровайдер.
Эта статья — часть материала про электронную подпись и сервисы подписания. Здесь разберем подписание с USB-носителя: какое ПО установить, как настроить считыватели, как избежать ошибок. В этом материале: подготовка компьютера к работе с ЭЦП, пошаговая инструкция подписания через КриптоПро, разница между типами подписи, 6 ошибок, которые приводят к компрометации ключа.
Автор статьи — Мария Ж., кофаундер сервиса электронного документооборота Добыто. Юрист с 20-летней практикой. В 2008 году получила красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО.
Как подписать документ в сервисе Добыто Подпись
Если нет времени на установку ПО — документ можно подписать онлайн. Сервис Добыто Подпись работает в браузере: загружаете файл, выбираете сертификат с токена, нажимаете Подписать — получаете sig-файл.
Два типа подписи: открепленная (sig отдельно от документа) и присоединенная (в одном файле). С 1 марта 2026 года доступен визуальный штамп в PDF. Форматы: PDF, DOC, DOCX, TXT, XLS, JPEG, PNG и более 100 других.
Сервис в реестре Российского ПО, документы не сохраняются на сервере.
Полезные документы для скачивания
«Онлайн-сервис удобен для разовых задач. Для регулярной работы рекомендую настроить рабочее место — это быстрее и не требует интернета.»
Подготовка компьютера к работе с ЭЦП
Для работы с USB-токеном потребуется установить несколько компонентов: криптопровайдер КриптоПро CSP 5.0, драйверы для вашей модели токена и плагин для браузера (если планируете работать с госпорталами). Порядок установки имеет значение — сначала криптопровайдер, потом драйверы.
Установка КриптоПро CSP
Скачайте дистрибутив с официального сайта cryptopro.ru. Потребуется регистрация. Программа работает 90 дней в демо-режиме, после чего нужна лицензия — около 2000 рублей за бессрочную версию на одно рабочее место. После установки обязательно перезагрузите компьютер — без этого криптопровайдер не увидит токен.
Установка драйверов токена
Драйверы зависят от модели носителя. Для Рутокен — скачайте с rutoken.ru/support/download. Для JaCarta — с aladdin-rd.ru/support/downloads. Для eSmart — esmart.ru/download. Установите драйвер до подключения токена к компьютеру. После установки вставьте токен — система должна распознать устройство.
Настройка считывателей
Вставьте токен в USB-порт. Откройте КриптоПро CSP через Панель управления, перейдите на вкладку Оборудование — Настроить считыватели. В списке должен отображаться ваш токен (Aktiv Co. ruToken или Aladdin JaCarta). Если токена нет — проверьте драйверы. Для проверки сертификата: вкладка Сервис — Посмотреть сертификаты в контейнере — выберите токен из списка.
«Частая ошибка — ставят драйверы после КриптоПро или забывают перезагрузить компьютер. В итоге токен не определяется. Порядок: КриптоПро — перезагрузка — драйверы — подключение токена.»
Пошаговая инструкция подписания
Как подписать документ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Убедитесь, что документ в окончательной редакции. После подписания изменить его нельзя.
- Шаг 2. Вставьте USB-токен в компьютер.
- Шаг 3. Откройте Инструменты КриптоПро через Пуск. Нажмите Показать расширенные — Создание подписи.
- Шаг 4. Выберите файл и сертификат с токена. Введите PIN-код.
- Шаг 5. Выберите тип подписи: CAdES-BES или CAdES-X Long Type 1. Нажмите Подписать.
- Шаг 6. В папке появится файл .p7s или .sig.
Уточните у контрагента формат подписи. Открепленная — файл отдельно от документа, для госэкспертизы. Присоединенная — подпись в файле.
«Многие путают штамп подписи и саму подпись. Штамп — визуализация для удобства. Проверять нужно криптографическую подпись через специальные сервисы.»
Разница между токеном и флешкой
USB-токен внешне похож на флешку, но принцип работы принципиально отличается. На обычную флешку ключ записывается как файл — его можно скопировать, переслать по почте или украсть вирусом. Токен хранит ключ в защищенной памяти, доступ к которой защищен PIN-кодом.
Типы токенов
Пассивные токены (Рутокен Lite, JaCarta LT) — просто защищенное хранилище. Криптографические операции выполняет компьютер, ключ на время копируется в оперативную память. Дешевле, но менее безопасно.
Активные токены (Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ) — выполняют криптографию внутри устройства. Закрытый ключ никогда не покидает токен, даже в момент подписания. Стоят дороже, но обеспечивают максимальную защиту.
С 1 июня 2024 года генерировать новые ключи на устаревших моделях Рутокен ЭЦП 2.0 нельзя — только на версии 3.0 и выше. Если у вас старый токен, при перевыпуске сертификата придется купить новый носитель.
Типичные ошибки при работе с ЭЦП
Передача токена третьим лицам
Закрытый ключ — ваша цифровая идентичность. Если кто-то получит токен и PIN-код, он подпишет документы от вашего имени. Юридически они будут иметь силу.
Использование просроченного сертификата
Сертификат действует 12-15 месяцев. После истечения подписать документ не получится. Продлевайте заранее — процедура занимает 1-3 дня.
Хранение сканов паспорта в облаке
Злоумышленник с паспортными данными и токеном выпустит новый сертификат на ваше имя. Храните документы в защищенном месте.
Игнорирование уведомлений от УЦ
УЦ отправляет уведомления об истечении сертификата и изменении требований. Не читая письма, можете пропустить важную информацию.
Неправильная установка корневых сертификатов
Для проверки подписи компьютер должен доверять УЦ. Скачивайте корневые сертификаты только с официального сайта вашего УЦ.
Подписание через публичный Wi-Fi
На чужом компьютере может быть вредоносное ПО. Публичные сети легко прослушиваются. Используйте мобильный интернет или VPN.
«Был случай — сотрудник дал токен коллеге подписать один документ. Через месяц выяснилось, что с токена подписали еще 15 договоров. Доказать, что подписывал не владелец ЭЦП, практически нереально.»
Проверка подписи
После подписания обязательно проверьте результат — убедитесь, что подпись сформирована корректно. Это займет минуту, но избавит от проблем при отправке документа контрагенту или в госорган.
Бесплатная проверка доступна на портале Госуслуг. Загрузите документ и файл подписи (.sig или .p7s) — сервис покажет, кем и когда подписан документ, действителен ли сертификат. Если подпись невалидна, система укажет причину ошибки.
Для локальной проверки без интернета используйте КриптоПро: правый клик на sig-файле — Проверить подпись.
Вывод
Подписание с USB-токена занимает пару минут при настроенном рабочем месте. Установите КриптоПро, настройте считыватели, не передавайте токен третьим лицам. Для разовых задач используйте онлайн-сервис Добыто Подпись — без установки ПО.
Использованные источники
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»
- Документация КриптоПро CSP 5.0
- Приказ ФСБ России от 27.12.2011 № 795