Электронная подпись с флешки работает так: токен с записанным закрытым ключом и сертификатом вставляется в USB-порт, а программа-криптопровайдер обращается к нему каждый раз, когда вы заходите на портал, отправляете отчёт или подписываете документ. Тут вы разберётесь, какие драйверы и софт поставить, чем «флешка» отличается от обычной USB-памяти, почему ключ нельзя просто скопировать на рабочий стол и что делать, когда токен не виден системе. Материал входит в большой разбор про программы для подписания документов ЭЦП, где описаны все варианты софта под разные задачи.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое электронная подпись на флешке и почему это не обычная флешка
Начну с терминологии, потому что путаница тут стоит людям нервов и денег. То, что в народе называют «флешкой» или «ЭЦП», — это USB-токен. Рутокен, JaCarta, eSmart. Внешне похож на флешку, разъём тот же. Но внутри не файловая память, а защищённый чип. На нём лежат две вещи: закрытый ключ (закрытка, как её называют) и сертификат с открытым ключом (открытка). Обычная флешка из магазина для подписи не годится. Совсем. Закрытый ключ, записанный на простую USB-память в виде файлового контейнера, доступен любому, кто получил доступ к компьютеру — и тогда подписью может воспользоваться кто угодно.
Сам термин «ЭЦП» формально устарел. После вступления в силу 63-ФЗ «Об электронной подписи» правильно говорить «электронная подпись», ЭП. Но «тройка» (так профи зовут 63-й закон) термин ЭЦП из обихода не выбила, поэтому он живёт до сих пор. В тексте ГОСТа на алгоритм подписи, кстати, тоже написано «электронная цифровая подпись».
Физически подпись — это число, которое вычисляется на основе документа и ключа. Ключ подписи и ключ проверки связаны жёстким математическим соотношением, соответствие однозначное. Сертификат привязывает ключ проверки к конкретному человеку: там ФИО, СНИЛС, реквизиты владельца и подпись удостоверяющего центра. Когда вы вставляете токен и подписываете, сначала вычисляется хэш документа, потом этот хэш подписывается закрытым ключом.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая ошибка новичка — купить в магазине обычную юсби-память и думать, что туда «зальют подпись». Не зальют. Точнее, технически контейнер записать можно, но это «закрытка» нараспашку. Токен потому и стоит денюжки, что внутри у него крипто-ядро или хотя бы защищённое пин-кодом хранилище. Сейф для ключа, а не полка.»
Извлекаемые и неизвлекаемые ключи: чем отличается токен от токена
Это разделение — база, без которой дальше двигаться бессмысленно. Ключи на токене бывают двух категорий: извлекаемые и неизвлекаемые. Разница в том, покидает ли закрытый ключ память токена в момент работы.
Извлекаемые ключи (их ещё называют программными) генерируются криптопровайдером. Токен в этом случае работает как защищённое пин-кодом хранилище. Во время подписания закрытый ключ ненадолго извлекается в оперативную память компьютера — поэтому и «извлекаемые». Подходит любой Рутокен, совместимый с КриптоПро CSP. Извлекаемые делятся на экспортируемые и неэкспортируемые: если стоит флаг экспорта — контейнер можно скопировать на несколько рабочих мест, если неэкспортируемый — копирование запрещено. В удостоверяющем центре ФНС, кстати, выдают только неэкспортируемый контейнер. Так безопаснее.
Неизвлекаемые ключи рождаются внутри криптоядра микроконтроллера токена и наружу не выходят никогда. Их невозможно скопировать. «Закрытка» рождается, живёт и умирает внутри токена после форматирования. Для таких ключей нужна модель с крипто-ядром — Рутокен ЭЦП 3.0, например. Есть удобная аналогия из вебинаров Актива: извлекаемый ключ — это когда под документ подкладываешь специальную бумагу-подложку, чернила сначала попадают на неё, а потом проявляются на документе. Неизвлекаемый — это ручка, в которой чернила никогда не покидают стержень.
Режимы работы криптопровайдера с токеном тоже отличаются. Пассивный — токен отдаёт ключ провайдеру, тот считает подпись у себя. Активный (ФКН, функциональный ключевой носитель) — подпись формируется на борту токена, ключ его не покидает. Есть ещё ФКН с защитой канала по протоколу CAKE: пин-код и хэш передаются между рабочей станцией и токеном в зашифрованном виде. Самый защищённый вариант. КриптоПро CSP версии 5.0 и выше — гибридный провайдер, умеет все три режима. Старые провайдеры (4.0 и младше) работают только с пассивными носителями.
Какой токен и какой объём памяти выбрать
Вариаций «флешек» на рынке много: с обычным USB, с Type-C под мак, с NFC для подписания со смартфона. Если берёте Рутокен 3.0, подбираете интерфейс, размер и корпус под себя. Самая массовая модель — Рутокен Лайт на 64 килобайта, она пассивная, годится для большинства сервисов. Рутокен 3.0 чуть дороже, зато работает с ЕГАИС (Росалкогольрегулирование) и поддерживает неизвлекаемые ключи. Если с алкоголем не работаете — Лайт хватит за глаза.
Объём памяти определяет, сколько сертификатов влезет. Токен на 64 КБ вмещает порядка 15 сертификатов, на 128 КБ (Рутокен 1010, Рутокен 3.0) — до 31. Это для извлекаемых ключей формата ЦСП. Точное число плавает: контейнер с дополнительными цепочками сертификатов может весить порядка 12 килобайт. Токен многоразовый: просроченные серты удаляют и записывают новые. Под каждый новый сертификат покупать новую «флешку» не нужно — распространённое заблуждение, из-за которого люди тратят лишние денежки.
Мария Ж, судебный эксперт по трудовому праву:
«К нам в практике Добыто регулярно приходят с вопросом: «у меня пять юриков, мне пять токенов покупать?» Нет. Один токен на 128 килобайт спокойно держит подписи нескольких организаций — до 31 серта влезает. Драйверы и крипту ставите один раз, дальше только добавляете сертификаты в менеджер. Процентов 90 головняка тут от незнания этой простой вещи.»
Не путайте: встроенная криптография на токене — это не равно установленный КриптоПро CSP. Если информационная система требует именно КриптоПро, его всё равно надо поставить на компьютер и активировать лицензию. В рамках пилота УЦ ФНС лицензия на КриптоПро вшивается внутрь сертификата и действует столько же, сколько сам сертификат подписи.
Образцы документов для работы с электронной подписью и ЭДО
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации (стандарт) | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Приказ о введении КЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
Что установить на компьютер для работы с подписью с флешки
Чтобы токен заработал, нужен комплект софта. Перечислю по порядку — без любого пункта система токен «не увидит» либо откажется подписывать.
Первое — драйвер ключевого носителя. Сначала визуально или по документам определяете тип токена. Дальше качаете установочный пакет под него: для Рутокен — с rutoken.ru, для JaCarta — с сайта Аладдин Р.Д., для eSmart — с esmart.ru. Запускаете, ставите в режиме по умолчанию, жмёте «Далее», в конце «Готово».
Второе — СКЗИ «КриптоПро CSP». Версия 5.0 R2 (сборка 12000 или выше) либо актуальнее. Это тот самый крипто-провайдер, через который большинство сервисов работает с подписью. Дистрибутив — на cryptopro.ru. Программа бесплатна только 90 дней, это полнофункциональная демка. Дальше она работать перестанет: на сайт ФНС с ЭП уже не зайдёте. Решение простое — один раз купить бессрочную лицензию. На сайте КриптоПро есть специальная сборка с библиотекой PKCS#11 внутри: ставите её — и работа с новыми токенами разворачивается автоматически.
Третье — корневые сертификаты. Для подписи от УЦ ФНС это корневой сертификат Минцифры и корневой сертификат УЦ ФНС, лежат они на uc.nalog.ru/crt. Запускаете файл, «Установить сертификат», выбираете хранилище: для Минцифры — «Доверенные корневые центры сертификации», для УЦ ФНС — «Промежуточные центры сертификации». Если цепочку не выстроить, при подписании криптопровайдер будет ругаться, что корневой сертификат не найден.
Как настроить компьютер и подписать документ с флешки: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите тип токена (Рутокен, JaCarta, eSmart) и скачайте драйвер с сайта производителя. Установите, перезагрузите компьютер.
- Шаг 2. Установите КриптоПро CSP 5.0 R2 или новее с лицензией. Дождитесь завершения, при необходимости перезагрузитесь.
- Шаг 3. Скачайте и установите корневые сертификаты выпустившего УЦ в нужные хранилища (доверенные корневые и промежуточные).
- Шаг 4. Вставьте токен в USB-порт. Откройте КриптоПро CSP, вкладка «Сервис» — «Просмотреть сертификаты в контейнере» — выберите контейнер — установите личный сертификат.
- Шаг 5. Установите КриптоПро ЭЦП Browser Plug-in и включите расширение, если подписываете в браузере или на портале.
- Шаг 6. Откройте программу подписания или нужный портал, выберите файл, укажите сертификат с токена, введите пин-код контейнера и подтвердите подписание.
Где и как пользоваться подписью с флешки
Спектр применения у квалифицированной подписи с токена широкий. На сайте ФНС — подаёте декларации и отчётность через сервис «Представление налоговой и бухгалтерской отчётности» (для этого ставят программу «Налогоплательщик ЮЛ» и формируют транспортный контейнер). На электронных торговых площадках и в госзакупках без подписи работать нельзя, кроме узкого перечня закупок. В Роскомнадзор, Роспатент (при электронной подаче сохраняется 30% скидки на пошлину), в онлайн-бухгалтерию банка. Через операторов ЭДО обмениваетесь актами и договорами с контрагентами с той же юридической силой, что и на бумаге.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Сам процесс подписания зависит от программы. В КриптоАРМ, Saby Crypto, через плагин в браузере, в Adobe Reader для PDF — схема похожая: выбираете файл, выбираете сертификат с токена, вводите пин-код, получаете подпись. Подпись бывает присоединённая (встраивается в документ, всё в одном файле) и отсоединённая (рядом ложится отдельный sig-файл). Если нужно разобраться с форматами подробнее, у нас есть отдельный разбор, как подписать документ УКЭП онлайн без установки тяжёлого софта.
Важный нюанс про штампик подписи. Когда вы видите распечатку или PDF с синеньким квадратиком «документ подписан электронной подписью» — сам по себе этот штампик юридической значимости не несёт, он нарисован. Юридически значим электронный оригинал с файлом подписи, который можно проверить. Поэтому при проверках ГИТ или в суде предоставляют не картинку, а сам подписанный файл и sig-файл к нему. В практике Добыто мы закладываем это в регламент сразу: вся цепочка подписей с метками времени хранится в исходном виде.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Бывает, кадровик распечатывает документ с зелёной галочкой и думает, что это и есть доказательство. На проверке инспектор ГИТ смотрит исходник и файл подписи, а не штампик. Мы в проектах сразу настраиваем выгрузку юридически значимого архива — документ плюс сиг-файл плюс метка времени. Это то, что реально работает в суде, остальное — картинка для красоты.»
Безопасность: пин-код, передача токена и что делать при утере
Главная обязанность владельца по 63-ФЗ — обеспечивать конфиденциальность ключа и не допускать использования его без согласия. Ключ должен существовать в единственном экземпляре под единоличным контролем. Поэтому подпись держат на токене, а не в реестре Windows: токен всегда с вами, и воспользоваться им может только тот, у кого он в руках и кто знает пин-код. Если «закрытка» лежит файлом на компьютере, доступ к ней получает любой, кто получил доступ к машине.
Передача токена третьим лицам — частая ситуация. Директор отдаёт «флешку» секретарю, чтобы тот «подписал пачку документов». 63-ФЗ напрямую такую передачу не регламентирует, но под документом стоит подпись владельца сертификата, и ответственность несёт он. По-хорошему так делать не стоит. Если человек действует по доверенности, он ставит свою подпись и отвечает сам — для этого есть МЧД (эмчедэшка), машиночитаемая доверенность.
При утере токена или подозрении на компрометацию пин-кода нужно немедленно уведомить удостоверяющий центр и отозвать (деактивировать) сертификат. После отзыва УЦ включает сертификат в список отозванных, и документы, подписанные после этого, проверку не пройдут. Даже если остались копии ключа — пользоваться ими нельзя, надо выпускать новый сертификат. При увольнении сотрудника, на которого выпущена подпись, сертификат тоже отзывают через выдавший орган — просто удалить серт из реестра компьютера недостаточно, в УЦ он остаётся действующим.
Установка драйверов, КриптоПро, корневых сертификатов и настройка цепочки доверия — этап, на котором спотыкается большинство. Один пропущенный корневой сертификат, и токен «не виден» или подпись не строится, а вы три дня гадаете почему. Если разбираться в этом самому некогда, в Добыто настраивают рабочее место и подписание под ключ, чтобы вы не утонули в драйверах и пин-кодах.
Срок действия ключа, метки времени и долговременное хранение
У подписи два срока: срок действия ключа подписи и срок действия ключа проверки. Подписывать можно до истечения первого, проверять — до истечения второго. Сертификаты сейчас выдают на разные сроки: от привычных 12-15 месяцев до 12 лет. И тут всплывает проблема: документ подписали год назад, сертификат уже не действует — как доказать, что на момент подписания он был валиден?
Спасает усовершенствованная электронная подпись. Это формат, где к подписи добавляются доказательства: штамп времени (метка времени от доверенной службы — есть у налоговой, у удостоверяющих центров) и ответ службы статусов сертификата (подтверждает, что серт не был отозван на момент подписания). Для архивов с длинными сроками хранения — кадровых, финансовых, где срок доходит до 50 лет — используют именно усовершенствованную подпись. Процесс продления программисты КриптоПро называют «ухаживанием за подписью»: система мониторит сроки и переподписывает документ. А когда меняется поколение криптоалгоритмов, сверху накладывают новую подпись — «архивариус».
В судебной практике эти нюансы уже всплывали. В споре сотрудника со Сбером (подпись УНЭП на токене, хранилась в сейфе) суд проверял весь комплект документов по применению ЭП — в том числе, что подпись действовала на момент подписания и что подписанный документ не подменили при передаче в УЦ. В деле Винлаба работник думал, что подписывает заявление на больничный, а подписал увольнение по собственному. Оба дела решились в пользу работников. Вывод для работодателя простой: регламент применения подписи, метки времени и неизменность документа — это не формальность, а то, на что смотрит суд.
Проблемы с токеном: что делать, если подпись не работает
Самые частые затыки и их причины. Токен не виден системе — чаще всего не установлен или слетел драйвер носителя, либо «нечистая» установка КриптоПро. Лечится переустановкой драйвера и, в тяжёлых случаях, чистой переустановкой крипты. При подписании ругается на корневой сертификат — разорвана цепочка доверия, надо открыть сертификат и вручную доустановить недостающие корневые в нужные хранилища. Особенно актуально для УНЭП: её корневые серты система по умолчанию не считает доверенными, придётся подтвердить вручную.
Отдельная боль — работа через удалённый рабочий стол. Протокол RDP сам по себе не умеет работать с токеном, который физически воткнут в другой компьютер. Чтобы подписывать в терминальной сессии, токен нужно пробросить (проброс USB-устройства в RDP-сессию), а канал защитить — иначе ставите под угрозу всю терминальную станцию. В новых сборках КриптоПро CSP 5.0 R3 работу ключей PKCS#11 в RDP и Win Logon починили, теперь должно работать из коробки.
Мария Ж, HR-эксперт с 13-летним стажем:
«Классика жанра при массовом подключении: на части машин стоит старый КриптоПро 4.0, на части — 5.0. Сотрудник сгенерировал ключ в режиме ФКН, принёс токен на другой комп — а он не работает, потому что ФКН старый провайдер не понимает. Если человек кочует между рабочими местами, ему нужен пассивный извлекаемый ключ. Это те грабли, на которые наступают почти все, кто не подумал про это заранее.»
Ещё момент про большие документы. При неизвлекаемом ключе хэш считается программно на компьютере, а подпись хэша — на борту токена. Для файлов больше 30 МБ хэширование ресурсозатратно, поэтому в связке КриптоПро 5.0 + Рутокен ЭЦП хэш считает провайдер, а токен подписывает готовый хэш. Время подписи на токене — порядка 0,3 секунды, так что «тормозит» обычно не подпись, а хэширование тяжёлого файла.
Стоимость работы с электронной подписью и КЭДО в 2026 году
Если подпись с токена нужна для кадрового документооборота, итоговая сумма складывается из стоимости сервиса КЭДО (за рабочее место в месяц), тарифа и набора модулей. Сам токен и лицензия КриптоПро — отдельная разовая статья: их приобретают у поставщиков оборудования и софта, а не у сервиса КЭДО. Ниже — тарифы сервиса Добыто.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив) | от 50 ₽ за сотрудника / мес | мин. оплата 50 сотрудников — 30 000 ₽ в год |
| Корпорация — для крупного бизнеса (всё из Бизнес, выделенный сервер, SLA 99.9%, API и кастомные интеграции) | по запросу | персональный менеджер |
Итоговая стоимость зависит от численности персонала, выбранного тарифа и того, какие виды подписи и модули вы подключаете — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Тариф Бизнес поддерживает все три вида подписи, включая УКЭП с токена, и интеграцию с учётными системами.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Выводы: как пользоваться электронной подписью с флешки
Электронная подпись с флешки — это работа с USB-токеном (Рутокен, JaCarta, eSmart), а не с обычной USB-памятью. Чтобы она заработала, на компьютер ставят драйвер носителя, СКЗИ КриптоПро CSP версии 5.0 R2 и выше, корневые сертификаты выпустившего УЦ, личный сертификат с токена и крипто-плагин для браузера. Без любого из элементов система токен не увидит или откажется подписывать. КриптоПро бесплатна 90 дней, дальше выгоднее взять бессрочную лицензию. Ключи бывают извлекаемые и неизвлекаемые: для повышенной безопасности и для ЕГАИС берут неизвлекаемые на моделях с криптоядром.
Один токен на 128 КБ держит до 31 сертификата, под новый серт новую «флешку» покупать не нужно. Конфиденциальность ключа — обязанность владельца по 63-ФЗ: пин-код никому, токен не передавать, при утере немедленно отзывать сертификат через УЦ. Штампик подписи на распечатке юридической силы не имеет — значим электронный оригинал с файлом подписи. Для документов с длительным сроком хранения используют усовершенствованную подпись с метками времени. Подпись постепенно уходит в мобильные приложения и облако, но токен в USB-порту ещё долго останется рабочим инструментом для отчётности в ФНС, торгов и юридически значимого документооборота.
Часто задаваемые вопросы
Можно ли записать электронную подпись на обычную флешку?
Сколько сертификатов помещается на один токен?
Нужно ли покупать новый токен при продлении подписи?
Почему КриптоПро перестала работать через 90 дней?
В чём разница между извлекаемым и неизвлекаемым ключом?
Что делать, если компьютер не видит токен?
Можно ли передать токен с подписью другому сотруднику?
Как подписать токеном документ в удалённой сессии (RDP)?
Имеет ли юридическую силу штамп подписи на распечатке?
Зачем подписи метка времени и что такое усовершенствованная подпись?
Электронная подпись с флешки требует правильной настройки рабочего места, а кадровый или корпоративный документооборот — ещё и юридической обвязки: положения об ЭДО, согласий, регламента применения подписи. Добыто закрывает обе задачи: настраиваем работу с токеном и подключаем юридически значимый документооборот, где подпись с УКЭП, УНЭП и ПЭП работает в одном сервисе.
За время работы мы подключили сотни компаний и видим один и тот же сценарий: больше всего времени уходит не на сам софт, а на отладку цепочки доверия и обучение сотрудников. Поэтому ведём клиента до первых самостоятельных подписаний и закладываем время на пилотную группу.
- Поддержка всех трёх видов подписи — ПЭП, УНЭП, УКЭП — в том числе с USB-токена
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится без привлечения разработчиков
- Вся цепочка подписей фиксируется с метками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет с продлением подписи метками времени
- Юридическая обвязка из коробки: шаблоны положения об ЭДО, формы согласий сотрудников
- Сопровождение до первых самостоятельных подписаний