Долгое обращение к средству электронной подписи — это задержка в несколько секунд или минут, которая возникает в момент, когда программа на компьютере вызывает СКЗИ для формирования или проверки подписи. Чаще всего тормозит не сама криптография, а то, что вокруг неё: загрузка списков отзыва из интернета, опрос всех криптопровайдеров подряд, изношенный токен. Здесь разберём, откуда берётся эта пауза, как за пару действий сократить её с минуты до секунды, и что настроить, чтобы оно не возвращалось. Это часть большого материала про проверку электронной подписи, где собраны все способы убедиться в подлинности подписанного файла.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что значит «долгое обращение к средству электронной подписи»
Сообщение или просто подвисание с таким смыслом появляется, когда прикладная программа — КриптоАРМ, браузерный плагин, личный кабинет на торговой площадке, форма налоговой — обращается к криптопровайдеру за подписью, а тот не отвечает мгновенно. Средство электронной подписи в данном случае — это СКЗИ, чаще всего КриптоПро CSP, плюс ключевой носитель, на котором лежит закрытый ключ. И вот между нажатием кнопки «Подписать» и появлением результата проходит ощутимое время.
Сама криптографическая операция занимает доли секунды. Хэширование документа, выработка значения подписи по ГОСТ — это быстро даже на слабой машине. Долго идёт всё, что криптопровайдер делает «по дороге»: проверяет, не отозван ли сертификат, тянет из сети список отозванных, ищет нужный ключ среди десятка считывателей, дёргает токен. Поэтому, когда пользователь жалуется «ЭЦП тормозит», в 9 случаях из 10 это не про математику, а про инфраструктуру.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда мне говорят «крипта медленная» — я первым делом смотрю, лезет ли машина в интернет в момент подписания. Девять раз из десяти оно ждёт ответа от точки распространения списка отзыва, а не считает подпись. Сама закрытка отрабатывает за доли секунды, тормозит обвязка вокруг неё.»
Почему происходит долгое обращение к средству ЭП: основные причины
Причин несколько, и они складываются. Бывает, что на одной машине работает сразу три фактора — и тогда подписание одного документа растягивается на минуту. Пройдёмся по каждой.
Онлайн-проверка списка отозванных сертификатов
Это причина номер один. При проверке подписи (а часто и при её создании в усовершенствованных форматах) криптопровайдер обязан убедиться, что сертификат подписанта не отозван. Для этого он берёт из самого сертификата ссылку на точку распространения — CDP — и скачивает оттуда список отзыва, CRL. В каждом сертификате присутствуют ссылки на загрузку списка отзыва. Если канал до удостоверяющего центра медленный, сервер УЦ перегружен или вообще недоступен, программа честно ждёт таймаута — а это и есть те самые секунды и минуты ожидания.
У крупных удостоверяющих центров список отозванных может весить десятки мегабайт. Скачать такой файл по слабому интернету — уже задержка. А если в цепочке несколько сертификатов (личный, промежуточный УЦ, корневой), провайдер тянет CRL для каждого. Отдельная история — служба актуальных статусов OCSP: когда система настроена опрашивать её, а сервис отвечает с лагом, ожидание накапливается.
Опрос всех криптопровайдеров и считывателей
На рабочей машине бухгалтера или кадровика нередко стоит зоопарк: КриптоПро CSP, VipNet CSP, драйверы Рутокен, JaCarta, eSmart, пара устаревших версий. Когда программа просит «дай сертификат для подписи», она перебирает все установленные провайдеры и все считыватели по очереди. Каждый пустой считыватель — это попытка обращения с таймаутом. Шесть-семь считывателей в системе, половина из которых ни к чему не подключена, легко дают задержку на ровном месте.
Проблемы с ключевым носителем
Токен — вещь физическая и изнашиваемая. Старая флешка-носитель, разболтанный USB-порт, USB-удлинитель сомнительного качества, концентратор без питания — всё это замедляет считывание контейнера. Отдельно стоит отметить режим работы. У КриптоПро CSP исторически сложилось несколько семейств работы с носителями: классические провайдеры (версии от 3.6 до 4.0) умеют работать только с пассивными носителями, где закрытый ключ ненадолго извлекается в оперативную память для операции. А активные токены с неизвлекаемыми ключами формата ФКН подписывают «на борту», внутри микроконтроллера. Подпись на борту через защищённый канал по протоколу SESPAKE надёжнее, но обмен с токеном тоже занимает время — особенно на старых моделях с малым объёмом памяти.
Мария Ж, юрист со стажем более 20 лет:
«Классическая засада — юзер таскает свою «флешку» между четырьмя рабочими местами, на части стоит старый CSP 4.0, на части новый. Ключ-то рабочий, а вот пока система перебирает все «персональные менеджеры» и считыватели в поисках нужного контейнера — вот тебе и долгое обращение. Лечится наведением порядка на машине, а не заменой подписи.»
Истёкшая лицензия и конфликт версий
Если лицензия КриптоПро CSP истекла, провайдер не отваливается сразу — он может несколько раз переспрашивать, проверять, и это тоже выглядит как зависание. Проверяется на вкладке «Общие» программы КриптоПро CSP: если в поле срока действия написано «Истекла», нужен новый лицензионный ключ. Вторая частая беда — конфликт версий браузерного плагина и самой CSP. Плагин одной версии, провайдер другой — и при подписании в браузере операция то висит, то падает с ошибкой.
Отсутствие или неправильный порядок биологического ДСЧ
Датчик случайных чисел нужен криптопровайдеру для выработки случайности при подписании и генерации ключей. Биологический ДСЧ (тот, где вы водите мышкой или жмёте клавиши) настроен по умолчанию во всех версиях КриптоПро CSP. Но если его удалили или он стоит не на первом месте в списке датчиков, провайдер сначала пытается обратиться к другим источникам энтропии — и это добавляет задержку.
Подписание в RDP и удалённый проброс токена
Отдельная категория — работа в терминальной сессии. Когда бухгалтер сидит в RDP, а токен воткнут в его локальный компьютер, подпись идёт через проброс USB-устройства в сессию. Канал между токеном и сервером добавляет задержку, а на старых сборках провайдера ключи формата PKCS#11 вообще плохо работали в WinLogon и RDP. В актуальной версии CSP 5.0 R3 это поправили, работа через единый объект считывателя идёт без прежних проблем.
Как ускорить обращение к электронной подписи: пошаговая диагностика
Сначала надо понять, на каком этапе теряется время. Логику в этом искать не нужно, нужно просто пройти по шагам и отсечь причину. Начните с самого частого — сетевой проверки отзыва, потом переходите к носителю и софту.
Как ускорить подписание электронной подписью: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Засеките, происходит ли задержка при наличии интернета и при его отключении. Если без сети подпись идёт быстро — дело в онлайн-проверке списков отзыва.
- Шаг 2. Откройте КриптоПро CSP, вкладка «Общие» — проверьте срок действия лицензии. Если «Истекла», введите действующий лицензионный ключ.
- Шаг 3. Установите актуальные списки отзыва (CRL) вашего удостоверяющего центра в локальное хранилище — тогда провайдер не будет тянуть их из сети при каждой операции.
- Шаг 4. Уберите лишние криптопровайдеры и неиспользуемые считыватели через панель «Настроить считыватели», чтобы система не перебирала пустые устройства.
- Шаг 5. Проверьте биологический ДСЧ: вкладка «Оборудование» — «Настроить ДСЧ». Если его нет, добавьте; если есть, поднимите на первое место.
- Шаг 6. Обновите КриптоПро CSP до актуальной версии и приведите версию браузерного плагина в соответствие с провайдером.
- Шаг 7. Подключите токен напрямую в задний USB-порт без удлинителей и концентраторов, проверьте индикатор на корпусе.
Локальная установка списков отзыва
Самый действенный приём против долгого обращения — не давать провайдеру лазить в интернет за списком отзыва на каждой операции. CRL можно скачать заранее и установить в локальное хранилище. Тогда проверка отзыва идёт по локальной копии за миллисекунды. Списки имеют срок действия, их периодически обновляют — но даже еженедельное ручное обновление быстрее, чем ждать сервер УЦ при каждом подписании. Для массового подписания, где счёт идёт на сотни документов, это критично: одна сетевая задержка, помноженная на пачку файлов, превращается в час ожидания. Если вам регулярно приходится обрабатывать большие объёмы, посмотрите отдельный разбор про массовое подписание документов ЭЦП — там собраны приёмы, как подписать несколько файлов сразу без поштучного ожидания.
Чистка считывателей и провайдеров
Зайдите в КриптоПро CSP, на вкладку «Оборудование», в раздел настройки считывателей. Оставьте только те, которыми реально пользуетесь: как правило, это «Все считыватели смарт-карт» и нужный токен. Удалите дубли и устаревшие записи. Если на машине стоит несколько криптопровайдеров от разных вендоров, а используете вы один — лишние имеет смысл удалить, особенно устаревшие версии. Меньше устройств для опроса — быстрее отклик.
Локальная установка списков отзыва, чистка считывателей, настройка ДСЧ — это та часть, где один неверный шаг ломает работу всего рабочего места, а правильная настройка экономит часы при массовом подписании. Если у вас не один компьютер, а десятки рабочих мест кадровиков и бухгалтеров, ручная настройка каждого превращается в отдельный проект. В сервисе Добыто мы выносим криптографию и проверку статусов на сторону платформы — сотрудник подписывает через мобильное приложение или браузер, а тяжёлая обвязка с проверкой отзыва отрабатывает на сервере, а не на его машине.
Образцы инструкций и памятки по настройке электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| ФЗ № 63-ФЗ «Об электронной подписи» | Скачать |
| Приказ ФСБ № 795 (требования к КЭП) | Скачать |
| Криптографическая защита информации (процессы формирования и проверки) | Скачать |
| Приказ ФСБ № 117 (защита информации) | Скачать |
| Приказ ФСТЭК № 227 | Скачать |
| Приказ Минцифры № 584 | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Обновление КриптоПро CSP и драйверов как способ ускорения
Версия провайдера влияет на скорость напрямую. Классические семейства до 4.0 работают только с извлекаемыми ключами в пассивном режиме. Версия 5.0 стала первой гибридной: она поддерживает и пассивные носители, и активные токены, и формат ФКН. Актуальная линейка 5.0 R3 пошла дальше — там подключают библиотеку PKCS#11 от производителя токенов, и поддержка новых носителей появляется автоматически при обновлении этой библиотеки. Заодно в R3 починили работу ключей PKCS#11 в RDP и WinLogon, где раньше были задержки и сбои.
Драйверы носителя тоже надо держать свежими. Для Рутокена это пакет с сайта rutoken.ru, для JaCarta — с сайта Аладдин, для eSmart — со своего ресурса. Устаревший драйвер — частая причина медленного считывания контейнера. На практике в Добыто мы при подключении компании первым делом сверяем версии CSP, драйверов и плагина на эталонном рабочем месте — расхождение версий даёт больше «тормозов», чем любые сетевые проблемы. Если стоит вопрос, какой именно программой подписывать и проверять файлы, поможет обзор — программы для подписания документов ЭЦП с разбором их возможностей и совместимости.
Требования к средствам электронной подписи и порядку их применения устанавливает ФСБ России как регулятор; ознакомиться с актуальными разъяснениями по работе с электронными документами и подписью можно на портале Роструда онлайнинспекция.рф.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Перед массовым раскатыванием подписания на компанию мы всегда гоняем пилот на 10-15 машинах. Смотрим, где «крипта» залипает: у кого старый CSP, у кого плагин не той версии, у кого токен через убитый удлинитель воткнут. Этап скучный, но он экономит клиенту недели на устранении грабель, когда подписывать начинают разом сотни человек.»
Метки времени и проверка статусов: когда задержка оправдана
Не всякое обращение к сети — зло. Если вы формируете усовершенствованную подпись формата CAdES для долгосрочного или архивного хранения, провайдер обращается к службе штампов времени TSP и к службе актуальных статусов. Метка доверенного времени на подписанном документе нужна, чтобы избежать злоупотреблений и зафиксировать момент подписания. Это законная и нужная задержка — просто понимать, что она есть.
Здесь важно различать сценарии. Для простого подписания документа в КЭДО, где юридическую значимость обеспечивает квалифицированная подпись, тяжёлая онлайн-проверка на каждой операции избыточна — её можно вынести в фоновый или серверный процесс. А для архивного документа, который пролежит свыше 10 лет и при смене криптоалгоритмов потребует продления метками времени, проверка статуса при подписании оправдана. Логику здесь подбирают под задачу: где-то скорость, где-то доказуемость момента.
Как настроить датчик случайных чисел в КриптоПро CSP: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте КриптоПро CSP, на вкладке «Общие» нажмите «Запустить с правами администратора».
- Шаг 2. Перейдите на вкладку «Оборудование».
- Шаг 3. Нажмите «Настроить ДСЧ», затем «Добавить».
- Шаг 4. В мастере установки нажмите «Далее», выберите в списке «Биологический ДСЧ» и снова «Далее».
- Шаг 5. Пройдите мастер до конца, не меняя имя датчика, нажмите «Готово». Если датчик есть, но стоит не первым, поднимите его стрелкой вверх.
Стоимость подключения сервиса КЭДО Добыто с подписанием
Когда тормозит подписание на каждом отдельном рабочем месте, один из вариантов решения — перенести криптографию и проверку статусов на сторону платформы КЭДО. Стоимость зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — вид подписи и интеграция с учётной системой тоже влияют на итоговую сумму.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Старт — ПЭП и УНЭП, базовые шаблоны | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | неограниченно сотрудников* |
| Корпорация — всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, API | по запросу | персональный менеджер |
* Для тарифа «Бизнес» минимальная оплата — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от того, сколько у вас сотрудников, какие виды подписи нужны и нужна ли интеграция с учётной системой — актуальные тарифы сервиса Добыто помогут посчитать точнее под вашу численность.
Типичные ошибки, из-за которых ЭП тормозит, и цена этих ошибок
Есть набор грабель, на которые наступают почти все. Разберём три самых дорогих.
Ошибка первая — игнорировать локальную установку списков отзыва. Делают так, потому что «и так работает», пока интернет быстрый. Но при массовом подписании или при недоступности сервера УЦ каждая операция упирается в сетевой таймаут. Цена ошибки — часы простоя кадровика или бухгалтера в дни пиковой нагрузки, когда подписать нужно сотни документов, а каждый висит по 30-40 секунд.
Ошибка вторая — держать на машине зоопарк криптопровайдеров и считывателей. Так выходит само собой: ставили под разные задачи, удалить забыли. В итоге система перебирает десяток устройств при каждом обращении. Цена — постоянная задержка на ровном месте плюс конфликты, когда разные провайдеры спорят за один токен.
Ошибка третья — работать на устаревшей версии CSP и несовместимом плагине. Не обновляют, потому что «не хочется трогать то, что работает». Но именно расхождение версий плагина и провайдера даёт зависания при подписании в браузере и сбои в RDP. Цена — сорванная подача документов на торгах или в налоговую, когда подпись не отрабатывает в дедлайн.
Выводы: как устранить долгое обращение к средству ЭП
Долгое обращение к средству электронной подписи почти всегда вызвано не самой криптографией, а обвязкой вокруг неё. Главный виновник — онлайн-проверка списков отозванных сертификатов, когда провайдер тянет CRL из точки распространения по медленному или недоступному каналу. На втором месте — опрос всех установленных криптопровайдеров и считывателей, на третьем — изношенный токен, устаревшая версия КриптоПро CSP и конфликт версий с браузерным плагином.
Чтобы ускорить работу, начните с диагностики: сравните скорость подписания с интернетом и без него. Установите актуальные списки отзыва в локальное хранилище, почистите лишние считыватели и провайдеры, проверьте срок лицензии CSP на вкладке «Общие», настройте биологический ДСЧ и поднимите его на первое место. Обновите провайдер до актуальной версии 5.0 R3 и приведите версию плагина в соответствие. Токен подключайте напрямую, без удлинителей и концентраторов.
Отдельно держите в уме, что часть задержек оправдана: формирование усовершенствованной подписи с меткой доверенного времени для архивного хранения требует обращения к службам TSP и проверки статусов. Для простого подписания эту обвязку выносят в фоновый или серверный процесс, для долгосрочных документов — оставляют. По мере ужесточения требований к хранению и роста объёмов электронных документов вынос криптографии на сторону платформы становится практичнее, чем настройка каждого рабочего места поштучно.
Часто задаваемые вопросы
Что значит сообщение «долгое обращение к средству электронной подписи»?
Почему подписание идёт быстро без интернета и медленно с ним?
Как локально установить список отзыва сертификатов?
Влияет ли количество считывателей на скорость подписи?
Зачем нужен биологический датчик случайных чисел и как он влияет на скорость?
Может ли истёкшая лицензия КриптоПро вызывать зависание?
В чём разница между извлекаемыми и неизвлекаемыми ключами по скорости?
Почему подпись тормозит именно в RDP?
Как обновление версии КриптоПро CSP ускоряет работу?
Связана ли задержка с драйвером токена?
Всегда ли долгая проверка — это плохо?
Как ускорить массовое подписание сотен документов?
Поможет ли проверка подписи онлайн, если на машине всё тормозит?
Когда подписание тормозит на каждом рабочем месте, а сотрудников десятки или сотни — настройка криптографии поштучно превращается в бесконечную историю. Мы в Добыто переносим тяжёлую часть на сторону платформы: проверка статусов, обращение к спискам отзыва и формирование подписи отрабатывают на сервере, а сотруднику остаётся подтвердить документ в браузере или мобильном приложении за пару секунд.
За время работы сервиса мы подключили компании самого разного масштаба — от небольших команд до организаций с тысячами сотрудников, в том числе с распределёнными филиалами и удалёнными работниками. Каждый запуск начинаем с пилота, на котором отлаживаем работу подписи до того, как раскатать её на весь штат.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания документов с телефона — без похода в отдел кадров
- Вынос криптографии и проверки статусов на сторону платформы — сотруднику не нужно настраивать СКЗИ на своей машине
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Нагрузочное тестирование на 50 000 одновременных пользователей — работа без зависаний при массовой рассылке документов
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится без привлечения разработчиков
- Сопровождение клиента до первых 50 подписаний — ведём до момента самостоятельной работы