Электронная подпись на флешке — это сертификат и закрытый ключ, записанные на специальный USB-носитель (токен), с помощью которого вы подписываете документы, сдаёте отчётность и заходите в личные кабинеты госсистем. Разберём, что на самом деле лежит внутри этой флешки, чем извлекаемый ключ отличается от неизвлекаемого, какое программное обеспечение нужно поставить, чтобы подпись заработала, и почему дешёвая флешка из магазина не годится. Если хотите шире посмотреть на тему, у нас есть отдельный материал про программы для подписания документов ЭЦП, где собраны инструменты для работы с подписью.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое электронная подпись на флешке и почему это не флешка
Сразу уберём путаницу. То, что в обиходе называют флешкой, по уму называется USB-токен или ключевой носитель. Внешне похоже на обычную флешку, и народное название прижилось намертво — токен зовут и «флешкой», и «юсби-токеном». Но это другое устройство. Обычная флешка хранит файлы. Токен хранит криптографию и защищён пин-кодом, а у продвинутых моделей внутри сидит криптоядро, которое само формирует подпись.
Что физически записано на токен. Три вещи: сертификат, открытый ключ и закрытый ключ. Сертификат — электронный документ, где указано, кому выдана подпись, кем и срок действия. Открытый ключ — публичный набор символов, его видно всем, он нужен, чтобы проверить вашу подпись или зашифровать документ в вашу сторону. Закрытый ключ (на сленге — «закрытка») — секретная часть, ради которой и существует весь огород с токенами. Им подписывают, и в чужие руки он попадать не должен.
Сам сертификат выпускают, как правило, бесплатно — в удостоверяющем центре ФНС. А токен и программу-криптопровайдер вы покупаете сами, уже «за ваши денюжки». В сервисе Добыто мы постоянно объясняем этот момент: путаница «флешка бесплатная, раз сертификат бесплатный» встречается в каждом втором обращении.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда человек говорит ‘у меня подпись на флешке’, он почти всегда имеет в виду токен. Это не придирка к словам. Обычная флешка не умеет хранить закрытку под пин-кодом и тем более подписывать на борту. Купить на маркетплейсе первую попавшуюся ‘флешку для ЭЦП’ и записать на неё ключ от ФНС не выйдет — нужен сертифицированный носитель, рутокен или джакарта.»
Как устроена подпись на токене: извлекаемые и неизвлекаемые ключи
Вот тут начинается самое важное. Ключи на токене бывают двух категорий: программные (извлекаемые) и аппаратные (неизвлекаемые). От этого зависит и безопасность, и то, какой софт вам понадобится.
Извлекаемый ключ генерируется криптопровайдером, а токен работает просто как защищённое пин-кодом хранилище. Когда вы подписываете документ, закрытый ключ ненадолго подгружается в оперативную память компьютера — отсюда название «извлекаемый». Подойдёт почти любой рутокен, совместимый с КриптоПро CSP. Такие носители называют пассивными.
Неизвлекаемый ключ — другая история. Он рождается внутри криптоядра микроконтроллера токена и наружу не выходит никогда, скопировать его невозможно. Когда нужно что-то подписать, в токен передаётся не ключ наружу, а документ или его хэш внутрь, токен проверяет пин и подписывает на борту. Такие токены называют активными, работают они в форматах ФКН или PKCS#11.
Есть ещё деление извлекаемых ключей на экспортируемые и неэкспортируемые. Со флагом экспорта контейнер копируется, без него — нет. Важный нюанс: в удостоверяющем центре ФНС вы получаете только неэкспортируемый контейнер, по регламенту УЦ ФНС такие ключи копировать нельзя. Логику тут искать бессмысленно, требование надо просто выполнить.
Мария Ж, судебный эксперт по трудовому праву:
«В судах по трудовым спорам, где работник заявляет ‘не я подписывал’, именно неизвлекаемый ключ — аргумент работодателя. Закрытка с борта токена не уходит, скопировать её нельзя. С извлекаемым ключом, который валялся в реестре или на флешке в незапертом сейфе, доказывать авторство куда тяжелее. Был кейс, где работодатель проиграл как раз из-за слабого хранения ключа.»
Что нужно, чтобы подпись на флешке заработала: софт и драйверы
Одного токена мало. Чтобы компьютер увидел подпись, на рабочем месте должно стоять несколько компонентов. Вот весь набор для квалифицированной подписи УЦ ФНС.
- Драйверы ключевого носителя — под Рутокен, JaCarta, eSmart свои. Скачиваются с сайта производителя токена.
- СКЗИ КриптоПро CSP версии 5.0 R2 (сборка 12000 или выше) — криптопровайдер, та самая «крипта», без которой ничего не подпишется.
- Плагин КриптоПро ЭЦП Browser Plug-in и расширение крипто-плагина для вашего браузера.
- Корневые сертификаты Минцифры России и УЦ ФНС России.
- Личный сертификат ключа электронной подписи, выданный удостоверяющим центром.
- Иные плагины для конкретных информационных систем, если они требуются.
Драйвер носителя ставится первым — определяете тип токена, качаете установочный пакет и проходите установку по умолчанию. Дальше КриптоПро CSP: дистрибутив берут в рамках эксперимента ФНС (страница cryptopro.ru/fns_experiment) либо на сайте КриптоПро после регистрации. После этого ставятся корневые сертификаты Минцифры и УЦ ФНС, затем личный сертификат с носителя через вкладку «Сервис» в КриптоПро, и в конце — браузерный плагин.
Отдельно про лицензию КриптоПро. Программа бесплатна только 90 дней — это полнофункциональная демка. Дальше она перестаёт работать: вы просто не зайдёте на сайт ФНС со своей подписью. Решение простое — один раз купить бессрочную лицензию и забыть. Бывает и так, что лицензия вшивается прямо в сертификат электронной подписи удостоверяющим центром, и тогда по сроку она равна сроку действия сертификата. Прикинуть бюджет на лицензию помогает калькулятор лицензии КриптоПро — удобно, когда считаете расходы на несколько рабочих мест.
Как установить электронную подпись с токена на компьютер: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите тип токена (Рутокен, JaCarta, eSmart) и скачайте драйвер с сайта производителя. Установите его в режиме по умолчанию, нажимая «Далее», и дождитесь сообщения о завершении.
- Шаг 2. Установите КриптоПро CSP 5.0 R2 (сборка 12000 или выше). Дистрибутив берите на cryptopro.ru/fns_experiment или после регистрации на сайте КриптоПро.
- Шаг 3. Скачайте с uc.nalog.ru/crt корневые сертификаты Минцифры (в доверенные корневые центры) и УЦ ФНС (в промежуточные центры) и установите оба.
- Шаг 4. Откройте КриптоПро CSP, вкладка «Сервис», кнопка «Просмотреть сертификаты в контейнере», выберите контейнер на токене и установите личный сертификат.
- Шаг 5. Поставьте КриптоПро ЭЦП Browser Plug-in, включите расширение в браузере и проверьте его работу на странице КриптоПро. После этого подключите токен в USB-порт — рабочее место готово.
Виды токенов: Рутокен Lite, Рутокен 3.0, JaCarta и память носителя
Когда дело доходит до покупки, у людей встаёт вопрос: какую флешку брать? Вариаций много. Есть токены разной формы, с разъёмом Type-C под Mac, есть с NFC — чтобы подписывать документы прикосновением к смартфону. Поднесли токен к телефону с NFC, и подписание прошло.
Самые ходовые модели от компании Актив — линейка Рутокен. Рутокен Lite на 64 килобайта — пассивный токен, годится для большинства сервисов, работает как хранилище для извлекаемых ключей. Рутокен ЭЦП 3.0 — активный токен, дороже, генерирует неизвлекаемые ключи и работает с ЕГАИС (Росалкогольрегулирование), берут его чаще именно под алкогольный учёт. Есть модели с памятью 128 килобайт — Рутокен 1010 и вся линейка Рутокен 3.0.
Объём памяти определяет, сколько сертификатов влезет на носитель. Токен на 64 килобайта вмещает 15 сертификатов, на 128 килобайт — 31 сертификат. Токен многоразовый: под каждый новый сертификат новую флешку покупать не нужно, просроченные сертификаты удаляются, на их место пишутся новые. Один раз купили токен, один раз лицензию КриптоПро — и забыли.
Кроме Рутокена есть JaCarta от Аладдин Р.Д. и eSmart — драйверы под них качаются с сайтов производителей. Какой нужен формат сертификации: если токен работает как защищённое пин-кодом хранилище и не задействует внутреннее криптоядро, достаточно сертификации ФСТЭК. Если токен сам формирует подпись на борту и должен давать квалифицированную подпись — нужна сертификация ФСБ. Линейка Рутокен 3.0 сертифицирована и в ФСТЭК, и в ФСБ.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самая частая ошибка при выборе — брать токен ‘на всякий случай’ помощнее, переплачивая за функции, которые не нужны. Если вы не работаете с ЕГАИС, вам с головой хватит Рутокен Lite. А вот колпачок к нему стоит докупить сразу — производитель крышечку в комплект не кладёт, и токен потом ходит по карманам без защиты. Мелочь, а контактную площадку бережёт.»
Как именно происходит подписание документа
Механика такая. Усиленная подпись (и неквалифицированная, и квалифицированная) получается в результате криптографического преобразования. Сначала вычисляется хэш — длинное число, которое однозначно соответствует тексту документа. Это математическая функция в одну сторону. Потом этот хэш подписывается закрытым ключом. Принимающая сторона своим ключом проверки заново считает хэш и сверяет: совпало — документ не меняли после подписания, не совпало — подпись недействительна.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Где идёт подпись, зависит от типа токена. У пассивного носителя криптопровайдер подгружает закрытый ключ к себе и считает подпись на компьютере. У активного токена с неизвлекаемым ключом хэш или весь документ уходит внутрь устройства, и подпись формируется на борту. Для больших документов (за 30 мегабайт) хэш всё равно считается программно на компьютере, а готовый хэш подписывается на токене. На связке КриптоПро CSP 5.0 и Рутокен ЭЦП операция занимает порядка 0,3 секунды.
Подпись бывает присоединённая и отсоединённая. Присоединённая включается прямо внутрь документа — всё едет одним файлом, потерять подпись нельзя, но открыть исходник без спецсредств не выйдет. Отсоединённая лежит рядом отдельным файлом, чаще всего это сиг-файл (формат SIG). Тогда документ открывается как обычно, а для проверки в программу загружают и документ, и сиг-файл. Если нужно разобраться с этим форматом подробнее, у нас есть инструкция, как создать файл электронной подписи в формате SIG.
Установка драйверов, КриптоПро, корневых сертификатов и плагина — тот этап, на котором люди застревают чаще всего. Один пропущенный корневой сертификат, и подпись «не видится», а где именно затык — непонятно. Если разбираться в этом нет ни времени, ни желания, специалисты Добыто настраивают рабочее место и подключают подпись под ключевые задачи: отчётность, кадровый документооборот, обмен с контрагентами.
Образцы документов для выпуска и использования электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
Как получить электронную подпись на токен в 2026 году
Для квалифицированной подписи на ИП или руководителя организации сертификат выдаёт удостоверяющий центр ФНС России — бесплатно, с 1 января 2022 года. Есть два пути: оффлайн и онлайн.
Оффлайн. Первично сертификат получают в отделении УЦ ФНС или у доверенных лиц (некоторые банки и организации). Для ИП через личный кабинет формируете заявление, после проверки записываетесь в инспекцию. Отделение можно выбрать любое, где выпускают КЭП, не обязательно по прописке. С собой — паспорт, СНИЛС, ИНН и токен. Для ООО подпись выдаётся лицу, действующему без доверенности от имени организации. Записаться можно через сайт ФНС России, там же список доверенных лиц.
Онлайн. ФНС запустила удалённый перевыпуск сертификата. Ехать никуда не надо, но токен всё равно нужен, плюс аккаунт на Госуслугах с подтверждённой биометрией и установленный КриптоПро для записи сертификата на носитель. Срок действия сертификата — 1 год и 3 месяца (15 месяцев). Ближе к концу его можно удалённо перевыпустить, главное — иметь токен и активную лицензию КриптоПро.
При получении токен идёт в пакетике со своим сертификатом соответствия — той самой «бумажечкой». Налоговая её редко спрашивает, но номер на токене и на обороте бумаги должны сходиться. За время работы сервиса Добыто мы не раз видели, как люди приходили в инспекцию с обычной флешкой вместо токена и уезжали ни с чем.
Проверка электронной подписи онлайн — сервис Добыто
Стоимость электронной подписи на токене и сервиса для работы с ней
Итоговая сумма складывается из нескольких частей. Сертификат КЭП в УЦ ФНС выдаётся бесплатно. Платите вы за токен и за лицензию КриптоПро — её стоимость зависит от типа лицензии и считается на стороне продавца ПО. Когда подпись нужна штату сотрудников для кадрового документооборота, в дело вступает тариф сервиса КЭДО со стоимостью за рабочее место.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | до 25 сотрудников, ПЭП и УНЭП |
| Бизнес — для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес | без лимита, ПЭП, УНЭП и УКЭП, интеграция с 1С |
| Корпорация — для крупного бизнеса с SLA | По запросу | выделенный сервер, SLA 99.9%, API |
Цена за рабочее место зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — вид подписи на каждом этапе и интеграция с учётной системой влияют на итог. Чтобы посчитать точнее под свою компанию, посмотрите актуальные тарифы сервиса Добыто. Стоимость самого токена и лицензии КриптоПро в эти тарифы не входит, это отдельные позиции у поставщика оборудования и ПО.
Срок действия, метки времени и архивное хранение подписи
У ключей разные сроки. Есть срок действия ключа подписи (им подписывают) и срок действия ключа проверки подписи (по нему проверяют). Подписать документ можно до конца срока ключа подписи, а проверить — до конца срока ключа проверки. Сертификат, как правило, действует год или 15 месяцев. И вот наступает момент, когда сертификат уже не действует, а вопрос «когда документ был подписан» — остаётся.
Тут на помощь приходит метка доверенного времени (штамп времени). Это обращение к доверенной службе, которая фиксирует точное время подписания и хэш документа, формируя отдельный документ-доказательство. Метку времени дают удостоверяющие центры, есть такая служба и у налоговой. На сленге продление подписи такими метками для долгого хранения называют «ухаживанием за подписью». Без штампа времени в суде доказать момент подписания тяжело — и это касается любой подписи, хоть УКЭП, хоть УНЭП.
Для архивного хранения свыше 10 лет применяют усовершенствованный формат подписи (CAdES) — он подтягивает штамп времени и ответы службы статусов сертификатов (OCSP), подтверждая, что на момент подписания сертификат действовал и не был отозван. В сервисе Добыто мы закладываем эти «плюшки» в маршруты подписания заранее: вся цепочка фиксируется с отметками времени, чтобы при проверке ГИТ или в суде документ держал удар.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Мария Ж, HR-эксперт с 13-летним стажем:
«Метке времени при внедрении почти никто не уделяет внимания, а зря. Подписали кадровый документ, сертификат через год протух — и без штампа времени вы не докажете момент подписания. Я всегда говорю эйчарам: ‘штампик’ с картинкой подписи на PDF юридической силы не несёт, это просто визуализация. Силу несёт электронный оригинал с файлом подписи и меткой времени.»
Где можно использовать подпись с токена
Спектр применения квалифицированной подписи широкий. Перечислю основное.
- Сдача налоговых деклараций и бухгалтерской отчётности через сервис ФНС «Представление налоговой и бухгалтерской отчётности».
- Работа через операторов электронного документооборота с контрагентами.
- Участие в госзакупках на электронных торговых площадках.
- Подача уведомлений и заявлений в госорганы (Роскомнадзор, Роспатент и другие).
- Кадровый электронный документооборот — подписание трудовых договоров, приказов, допсоглашений.
- Авторизация и работа в личных кабинетах на госпорталах и в банковских системах.
Важный момент про юридическую значимость. Для квалифицированной подписи дополнительных соглашений не нужно — по 63-ФЗ документ, подписанный УКЭП, равнозначен бумажному с собственноручной подписью. Для неквалифицированной или простой подписи нужно соглашение между участниками либо правила оператора информационной системы.
Подписать документ электронной подписью онлайн
Выводы: что важно знать про электронную подпись на флешке
Электронная подпись на флешке — это сертификат и закрытый ключ на USB-токене, а не файл на обычной флешке. Чтобы она заработала, нужен набор софта: драйвер носителя, КриптоПро CSP версии 5.0 R2 или выше, корневые сертификаты Минцифры и УЦ ФНС, личный сертификат и браузерный плагин. Сертификат КЭП в УЦ ФНС выдают бесплатно, а токен и лицензию КриптоПро вы оплачиваете сами. Срок действия сертификата — 15 месяцев, лицензия КриптоПро бесплатна только 90 дней, дальше нужна бессрочная.
При выборе токена отталкивайтесь от задач: для большинства сервисов хватает Рутокен Lite на 64 килобайта (15 сертификатов), для ЕГАИС и повышенной безопасности берут активный Рутокен 3.0 с неизвлекаемым ключом. Неизвлекаемый ключ не покидает память токена и защищает вас в спорах об авторстве. Токен многоразовый: при продлении подписи новый носитель не нужен, просроченные сертификаты удаляются. Колпачок к токену стоит докупить отдельно.
Не забывайте про метку доверенного времени и усовершенствованный формат подписи для долгого хранения — без них доказать момент подписания после окончания срока сертификата сложно. Графический «штампик» на PDF юридической силы не имеет, значение имеет электронный оригинал с файлом подписи. Для отчётности в ФНС и широкого спектра госсистем токен с КриптоПро остаётся рабочим стандартом.
Часто задаваемые вопросы
Можно ли записать электронную подпись на обычную флешку?
Сколько сертификатов помещается на один токен?
Чем извлекаемый ключ отличается от неизвлекаемого?
Нужна ли лицензия КриптоПро, если она вшита в сертификат?
Можно ли работать с токеном через удалённый рабочий стол (RDP)?
Что делать, если токен потерян или ключ скомпрометирован?
Можно ли передать токен с подписью другому сотруднику?
Подпись с токена на NFC — как это работает?
Действительна ли подпись после окончания срока сертификата?
Что делать, если при подписании пишет «не найден корневой сертификат»?
Можно ли держать на одном токене несколько подписей?
Какая версия КриптоПро нужна для работы с токеном в 2026 году?
Подпись на токене — рабочий инструмент, но вокруг неё всегда тянется хвост из настройки софта, продления сертификатов, меток времени и обмена документами. Когда подпись нужна не одному человеку, а всему штату — для кадрового документооборота, отчётности и работы с контрагентами — ручное администрирование превращается в отдельную нагрузку на кадровую и IT-службу.
Сервис Добыто закрывает эту задачу под ключевые сценарии: мы подключили к электронному документообороту более 500 компаний и знаем практику работы с УЦ, ГИТ и Минтрудом изнутри. Подпись, маршруты согласования и хранение — в одном интерфейсе, без беготни между системами.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ