Ключ проверки электронной подписи — это открытая часть ключевой пары, с помощью которой получатель документа убеждается, что подпись подлинная и файл не менялся после подписания. Без понимания того, как устроен этот механизм, кадровики и эйчары путают серт с ключом, а закрытку — с открыткой, и в итоге при проверке ГИТ получают замечания, которых легко было избежать. Разберем, что конкретно записано в 63-ФЗ, как ключ проверки связан с ключом подписи математически и на практике, и какие ошибки допускают организации при работе с КЭДО. Эта статья дополняет общий материал про проверку электронной подписи, где описана процедура от загрузки файла до получения результата.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое ключ проверки электронной подписи по 63-ФЗ
Статья 2 Федерального закона от 06.04.2011 № 63-ФЗ дает прямое определение: ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. На практике это означает, что у каждого владельца ЭП есть пара: закрытый ключ (закрытка, ключ подписи) и открытый ключ (ключ проверки). Они связаны математически, но вычислить одно из другого невозможно — на этом построена вся криптография асимметричного шифрования.
Закрытый ключ владелец хранит на токене, на компьютере или в облачном хранилище удостоверяющего центра. Он создаёт подпись. Ключ проверки, наоборот, публичная информация. Его видят все: контрагенты, инспекторы, получатели документов. В практике Добыто мы регулярно сталкиваемся с тем, что кадровики не различают эти понятия — считают, что ЭЦП это один файл. На самом деле это минимум три компонента: закрытый ключ, открытый ключ и сертификат.
Как работает ключевая пара: закрытый и открытый ключ
Механизм работает так. Подписант берет документ, крипто-провайдер вычисляет хэш — числовой отпечаток файла. Этот хэш шифруется закрытым ключом — получается подпись. Получатель документа берет открытый ключ из сертификата, заново вычисляет хэш того же файла и сравнивает с расшифрованным значением. Совпало — документ не менялся, подпись валидна. Не совпало — либо файл изменили, либо подпись поддельная.
Нюанс в том, что при использовании ПЭП такого механизма нет. Простая электронная подпись не позволяет проверить целостность документа — она фиксирует только факт подписания. Логин, пароль, SMS-код — это ПЭП. Никаких криптографических преобразований не происходит. И вот здесь главная разница: у НЭП и УКЭП ключ проверки есть, у ПЭП — нет. Поэтому для кадровых документов, которые нужно хранить 50 и больше лет, ПЭП — решение с ограниченной надёжностью.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда эйчар спрашивает, зачем нужен ключ проверки, я объясняю через аналогию: закрытый ключ — это печать, которую вы ставите на документ. Ключ проверки — оттиск, по которому все проверяют, ваша ли это печать. Оттиск можно показать кому угодно, а саму печать вы никому не отдаете.»
Сертификат ключа проверки подписи и его содержимое
Сертификат — электронный документ, который связывает ключ проверки с конкретным человеком или организацией. По 63-ФЗ, сертификат ключа проверки электронной подписи — это документ, выданный удостоверяющим центром, подтверждающий принадлежность ключа проверки ЭП конкретному владельцу. Квалифицированный сертификат создаётся аккредитованным УЦ или ФНС и содержит: уникальный номер, ФИО (или наименование юрлица), СНИЛС, ИНН, ОГРН, сам ключ проверки, сроки действия, наименование УЦ и его квалифицированный сертификат.
Срок действия сертификата ограничен. На текущий момент сертификаты для юридических лиц выпускаются через УЦ ФНС, для физлиц — через аккредитованные коммерческие УЦ. Срок действия — от 12 до 15 месяцев, хотя для некоторых средств ЭП (связка КриптоПро CSP 5.0 с Рутокен ЭЦП 2.0) допускается срок до 3 лет. По истечении срока сертификат нужно перевыпустить, иначе подписывать документы этим ключом нельзя.
На сайте Минцифры России опубликован полный текст 63-ФЗ с комментариями и актуальными редакциями.
Чем ключ проверки отличается от ключа подписи
Путаница между ключом проверки и ключом подписи — одна из частых ошибок. Разница принципиальная.
| Параметр | Ключ подписи (закрытый) | Ключ проверки (открытый) |
|---|---|---|
| Назначение | Создание подписи | Проверка подписи |
| Доступность | Конфиденциален, только у владельца | Публичен, доступен всем |
| Хранение | Токен, реестр, облако УЦ | В сертификате, в открытом доступе |
| Компрометация | Нужен немедленный отзыв сертификата | Не страшна — информация и так публичная |
| Количество экземпляров | Должен быть в единственном экземпляре | Может быть у неограниченного круга лиц |
Конфиденциальность закрытого ключа — требование 63-ФЗ. Если кто-то получил доступ к вашей закрытке, он подписывает документы от вашего имени. Юридически это считается вашей подписью. Оспорить — можно, но процедура долгая, и результат не гарантирован. Поэтому хранение закрытого ключа на флешке (рутокене) с ПИН-кодом — стандартная практика. А открытый ключ, наоборот, раздается всем через сертификат.
Мария Ж, судебный эксперт по трудовому праву:
«В судебной практике я видела случаи, когда сотрудник передавал свой токен коллеге для подписания табеля. Юридически подписантом документа считается тот, на чье имя выпущен серт, а не тот, кто физически нажал кнопку. Ответственность за конфиденциальность закрытки лежит на владельце — это прямо в законе написано.»
Где хранится ключ проверки ЭП
Ключ проверки находится внутри сертификата. Сертификат устанавливается на компьютер, записывается на токен или хранится в облаке удостоверяющего центра. В зависимости от типа подписи и средств ЭП, вариантов хранения несколько.
На USB-токене (Рутокен, JaCarta, eSmart) — физическое устройство, которое выглядит как флешка. Закрытый ключ генерируется на борту токена и не покидает его. Сертификат с открытым ключом тоже записывается на токен, но копируется на компьютер при установке. В облаке УЦ — при использовании Госключа или облачных решений (MyDSS, Контур.Подпись) закрытая часть хранится на стороне удостоверяющего центра или на мобильном устройстве. Ответственность за компрометацию в первом случае лежит на УЦ. В реестре компьютера — при экспорте сертификата в хранилище Windows. Доступ к закрытому ключу получает любой, кто зайдет на компьютер с правами пользователя.
Мы в сервисе Добыто поддерживаем все три варианта хранения — от токенов до облачных подписей через Госключ. Выбор зависит от требований компании к информационной безопасности и от бюджета.
Образцы документов для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Криптографическая защита информации (ГОСТ) | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
Иерархия удостоверяющих центров и цепочка доверия
Ключ проверки сам по себе — набор символов. Доверие к нему обеспечивает цепочка сертификатов. В России она выглядит так: на верхнем уровне — головной удостоверяющий центр Минцифры. Он подписывает сертификаты аккредитованных УЦ. Аккредитованный УЦ подписывает сертификат конкретного пользователя. При проверке подписи система проходит всю цепочку: сертификат пользователя — сертификат УЦ — корневой сертификат Минцифры. Если цепочка не выстраивается — подпись невалидна.
Типичная проблема: после установки сертификата на новый компьютер подпись не работает. Причина в 93% случаев — не установлены корневые сертификаты. Для УКЭП корневые серты обычно записываются на токен автоматически. Для УНЭП — нет. Их нужно скачать и установить вручную, после чего Windows начнет доверять этому сертификату при подписании.
Настройка цепочки сертификатов, установка корневых сертов и проверка валидности подписи — процесс, требующий знания инфраструктуры открытых ключей. Наши специалисты настраивают рабочие места для КЭДО с нуля, включая установку КриптоПро, драйверов токена и корневых сертификатов Минцифры — за один рабочий день.
Ключ проверки ЭП в контексте КЭДО
В кадровом электронном документообороте ключ проверки работает по тем же правилам, что и в обычном ЭДО. Работодатель подписывает кадровые документы УКЭП (ключ на токене, сертификат от УЦ ФНС или аккредитованного коммерческого УЦ). Сотрудник подписывает документы ПЭП, УНЭП через Госключ или УКЭП — в зависимости от типа документа.
По ст. 22.3 ТК РФ некоторые кадровые документы требуют усиленной подписи со стороны работника: трудовой договор, допник к нему, договор о материальной ответственности, ученический договор. Для заявлений на отпуск, ознакомления с ЛНА — хватает ПЭП. При использовании УНЭП через Госключ сотруднику выдается подпись, закрытая часть которой хранится на мобильном устройстве. Если сотрудник удалит приложение — подпись нужно перевыпускать заново.
Нюанс для проверяющих: когда ГИТ запрашивает кадровые документы из КЭДО, ей нужен не просто PDF со штампиком, а электронный оригинал с файлом подписи. Штамп электронной подписи на документе — визуализация, не более. Его можно скопировать и вставить куда угодно. Подлинность документа проверяется только через сиг-файл и сертификат. В сервисе Добыто архив документов формируется автоматически — PDF + файлы подписей + сертификаты, готовые к передаче инспектору.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Мы закладываем в архитектуру сервиса раздельное хранение документа и его подписей. Каждый этап подписания фиксируется с отметкой времени. При проверке ГИТ инспектор получает полный комплект — и ему не нужно разбираться, где серт, где подпись. Вся цепочка собирается автоматически.»
Типичные ошибки при работе с ключами ЭП
Ошибка 1. Передача токена третьим лицам. Сотрудник дает свой рутокен с ПИН-кодом коллеге или руководителю. Юридически все документы, подписанные этим ключом, считаются подписанными владельцем сертификата. Даже если фактически нажимал кнопку другой человек. Цена ошибки: трудовые споры, в которых работодатель не сможет доказать волеизъявление конкретного сотрудника.
Ошибка 2. Использование просроченного сертификата. Документ, подписанный после окончания срока действия сертификата, юридически ничтожен. Следить за сроками — обязанность владельца. На практике сотрудники забывают о перевыпуске, и кадровые документы подписываются «просрочкой» неделями.
Ошибка 3. Хранение закрытого ключа в реестре компьютера без пароля. Доступ к нему получает любой, кто зайдет под вашей учетной записью. Правильный вариант — неизвлекаемый ключ на токене. Связка КриптоПро CSP 5.0 + Рутокен ЭЦП 2.0 обеспечивает генерацию ключа прямо на борту токена. Закрытка не покидает устройство.
Ошибка 4. Неустановленные корневые сертификаты. Без корневых сертификатов УЦ и Минцифры подпись не валидируется. Система показывает ошибку, а сотрудник думает, что «подпись сломалась». Решение: скачать корневые серты с сайта ФНС и установить в хранилище доверенных сертификатов.
Ошибка 5. Игнорирование уведомлений от УЦ об истечении срока или компрометации ключа. Удостоверяющий центр обязан уведомлять владельца об отзыве или приостановке сертификата. Если владелец игнорирует — рискует подписывать документы ключом, который уже внесен в список отозванных (CRL). Такие подписи при проверке будут недействительны.
Ошибка 6. Подписание документов с чужого компьютера или через публичный Wi-Fi. Закрытый ключ при экспорте из токена в реестр компьютера теоретически доступен для копирования. На чужом устройстве — тем более. Только доверенные устройства и защищённые каналы связи.
Как проверить ключ электронной подписи: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите тип подписи: открепленная (два файла — документ + .sig/.p7s) или присоединённая (один файл, подпись встроена в документ).
- Шаг 2. Откройте сервис проверки подписи: КриптоАРМ на компьютере, онлайн-сервис Госуслуг (gosuslugi.ru, раздел «Проверка электронной подписи») или встроенный модуль в вашей системе КЭДО.
- Шаг 3. Загрузите документ и файл подписи (для открепленной). Для присоединённой — загрузите один файл.
- Шаг 4. Сервис автоматически извлечет ключ проверки из сертификата, пересчитает хэш документа и сравнит с подписью. Результат: подпись действительна / недействительна.
- Шаг 5. Просмотрите детали: кто подписал (ФИО, ИНН), каким УЦ выдан сертификат, срок действия, не внесен ли сертификат в список отозванных.
Мария Ж, юрист со стажем более 20 лет:
«Проверка подписи — это не прихоть. Когда контрагент присылает подписанный договор, первое, что мы делаем — проверяем валидность ЭП. За минуту. Это экономит месяцы судебных разбирательств, если документ окажется подписан просроченным сертом или чужим ключом.»
Усовершенствование подписи и архивное хранение
Срок действия сертификата ключа проверки — от 12 до 15 месяцев. Но кадровые документы нужно хранить 50 лет и дольше. Возникает вопрос: как проверить подпись на документе, если сертификат давно истёк? Для этого применяют усовершенствование подписи — добавление штампа времени (TSP) и ответа центра статуса сертификата (OCSP). Эти доказательства фиксируют, что на момент подписания сертификат был действителен.
Формат усовершенствованной подписи — CAdES-T (со штампом времени), CAdES-XL (с OCSP-ответом) или CAdES-A (архивная метка). CAdES-A позволяет проверять подпись спустя десятилетия после истечения срока сертификата. При формировании электронных архивов кадровых документов использование CAdES-A — обязательное условие для юридической значимости.
Наши специалисты в Добыто настраивают автоматическое усовершенствование подписей для всех кадровых документов, подлежащих длительному хранению. Система периодически проверяет архив и при необходимости переподписывает документы архивной меткой — без участия кадровика.
Стоимость работы с электронными подписями и КЭДО в 2026 году
Итоговая стоимость зависит от численности штата, выбранного тарифа и объема подключаемых модулей. Сам сертификат ключа проверки ЭП для юридических лиц выпускается УЦ ФНС бесплатно, но потребуется токен (от 1500 руб.) и крипто-провайдер КриптоПро CSP (лицензия от 2700 руб. на рабочее место). Для сотрудников в рамках КЭДО подписи ПЭП и УНЭП через Госключ бесплатны — расходы несет работодатель только на саму платформу.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф «Старт» (КЭДО Добыто) | от 30 руб. за сотрудника/мес | До 25 сотрудников |
| Тариф «Бизнес» (КЭДО Добыто) | от 50 руб. за сотрудника/мес | Мин. оплата 50 сотрудников за 30 000 руб./год |
| Тариф «Корпорация» (КЭДО Добыто) | По запросу | Выделенный сервер, SLA 99.9% |
| ПЭП и УНЭП для сотрудников | Бесплатно | Входит во все тарифы |
| Интеграция с 1С | Входит в тариф «Бизнес» | Настройка за 1 день |
Электронные подписи ПЭП и УНЭП для сотрудников выпускаются бесплатно на всех тарифах Добыто. УКЭП для руководителей можно получить через партнёрские удостоверяющие центры. Итоговая сумма зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее.
Мария Ж, HR-эксперт с 13-летним стажем:
«Когда считаете бюджет на КЭДО, не забывайте про скрытые расходы: токены, лицензии КриптоПро, время на обучение персонала. В тарифы Добыто подписи уже включены — это снижает итоговую стоимость владения на 30-40% по сравнению с покупкой компонентов по отдельности.»
Проверка электронной подписи на практике
Проверить подпись можно несколькими способами. Через КриптоАРМ (десктопное приложение) — загружаете документ и файл подписи, программа показывает статус: валидна или нет, кто подписал, когда, каким сертификатом. Через портал Госуслуг — раздел проверки электронной подписи, поддерживает КЭП и НЭП. Через встроенный модуль системы КЭДО — в 1С, Добыто и других платформах есть кнопка проверки подписи прямо в карточке документа.
При проверке система выполняет три операции: 1) извлекает из сертификата ключ проверки; 2) пересчитывает хэш документа и сравнивает с зашифрованным хэшем в файле подписи; 3) проверяет цепочку сертификатов и статус отзыва по CRL или OCSP. Если все три проверки пройдены — подпись действительна.
Визуальный штамп на PDF (плашка с указанием ФИО, номера сертификата, даты подписания) — это синенький квадратик для удобства. Его нельзя использовать как доказательство подлинности документа. Штампик можно скопировать и вставить в любой файл. Полагаться на визуализацию подписи при проверке — грубая ошибка, которую допускают даже опытные кадровики. Для подписей, созданных с помощью откреплённой УКЭП, проверка выполняется через специализированные средства, а не визуально.
Мария Ж, специалист по цифровой подписи и КЭДО:
«За время работы нашего сервиса мы обработали более 500 000 подписанных кадровых документов. В каждом случае проверка ЭП выполняется автоматически — и кадровик видит в интерфейсе зелёную галочку или предупреждение. Без ручной загрузки файлов, без отдельных программ.»
Выводы: ключ проверки электронной подписи
Ключ проверки электронной подписи — публичная часть ключевой пары, которая позволяет убедиться в подлинности подписи и неизменности документа. По 63-ФЗ он определяется как уникальная последовательность символов, однозначно связанная с ключом подписи. Сертификат ключа проверки связывает этот ключ с конкретным владельцем — физическим лицом или организацией. Для кадровых документов в КЭДО ключ проверки — обязательный элемент юридической значимости при использовании усиленных подписей (НЭП и УКЭП).
При работе с ключами проверки ЭП нужно следить за сроками действия сертификатов (12-15 месяцев), устанавливать корневые сертификаты УЦ и Минцифры, хранить закрытый ключ на защищённом токене и не передавать его третьим лицам. Для долгосрочного хранения кадровых документов (50+ лет) применяется усовершенствование подписи форматами CAdES-T, CAdES-XL и CAdES-A, которые позволяют проверить подпись после истечения срока сертификата.
Проверять подпись по визуальному штампу на PDF нельзя — это визуализация, а не доказательство подлинности. Подлинность ЭП проверяется только через крипто-средства: КриптоАРМ, Госуслуги, встроенные модули КЭДО. Система извлекает ключ проверки из сертификата, пересчитывает хэш документа и сверяет цепочку доверия удостоверяющих центров.
Часто задаваемые вопросы
Что такое ключ проверки электронной подписи?
Чем ключ проверки отличается от сертификата ключа проверки?
Есть ли ключ проверки у простой электронной подписи (ПЭП)?
Можно ли по ключу проверки вычислить закрытый ключ подписи?
Сколько действует сертификат ключа проверки ЭП?
Что делать, если ключ подписи скомпрометирован?
Где проверить электронную подпись онлайн?
Можно ли использовать УКЭП от ФНС для подписания кадровых документов в КЭДО?
Что такое усовершенствование подписи и зачем оно нужно для архивного хранения?
Обезличенный сертификат — что это и можно ли использовать в КЭДО?
Какой крипто-провайдер нужен для работы с ключом проверки ЭП?
Можно ли хранить два разных ключа на одном токене?
Сервис КЭДО Добыто берет на себя всю техническую работу с электронными подписями: выпуск ПЭП и УНЭП для сотрудников, настройку интеграции с Госключом, формирование архивов с файлами подписей для ГИТ. За время работы сервиса мы подключили более 500 компаний к электронному кадровому документообороту — от стартапов на 10 человек до холдингов с 15 000 сотрудников.
Платформа полностью соответствует требованиям 377-ФЗ, ст. 22.1-22.3 ТК РФ и 63-ФЗ. Юридическая значимость каждого подписанного документа подтверждается сертификатом и файлом подписи.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — ставится за час без привлечения разработчиков
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Юридическая обвязка из коробки: шаблоны ЛНА о ЭДО, порядок осуществления, формы согласий сотрудников
- Скорость внедрения от 1 дня для небольших компаний