Как отправить ключ ЭЦП по почте: что можно, а что нельзя

Q: Как выгрузить файл сертификата открытого ключа?

Через КриптоПро CSP: вкладка Сервис - Просмотреть сертификат в контейнере - выбираете контейнер - Свойства - на вкладке Состав жмёте Копировать в файл. В мастере экспорта выбираете Не экспортировать закрытый ключ и формат X.509 .CER. Полученный файл прикрепляете к письму.

Отправить ключ ЭЦП по электронной почте чаще всего хотят в одной из трёх ситуаций: переслать сертификат для проверки подписи, передать контрагенту подписанный документ или дать доступ к самой подписи другому человеку. И вот тут начинается путаница, потому что под словом «ключ» люди понимают совершенно разные вещи — и от того, что именно вы собираетесь переслать, зависит, законно это, безопасно или вообще технически невозможно. Разберём по полочкам: что можно отправлять письмом без опаски, что отправлять категорически нельзя, и как правильно передать подписанный файл, чтобы получатель смог проверить проверку электронной подписи на своей стороне.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что такое ключ ЭЦП и почему вопрос об отправке не такой простой

Электронная подпись — это не один файл. Это связка из трёх частей: открытый ключ, закрытый ключ и сертификат. Закрытый ключ (его ещё называют «закрытка») — секретная часть. Им вы создаёте подпись, и доступ к нему должен быть только у владельца. Открытый ключ («открытка») нужен для обратной операции: с его помощью получатель проверяет, что документ не меняли после подписания и что подписан он именно той подписью, которой можно доверять. А сертификат — это, по сути, паспорт подписи. В нём лежит открытый ключ плюс данные о владельце: ФИО, СНИЛС, срок действия, кто выдал.

И вот ключевой момент, из-за которого вся путаница. Когда человек пишет в поиске «как отправить ключ ЭЦП по почте», он почти всегда имеет в виду одно из двух. Либо «мне надо передать сертификат, чтобы у меня приняли отчёт / проверили подпись» — и тогда речь про открытый ключ, его пересылать можно. Либо «хочу, чтобы коллега подписывал документы моей подписью» — и тогда речь про закрытый ключ, а это уже совсем другая история, по сути компрометация. Так что прежде чем что-то прикреплять к письму, ответьте себе на простой вопрос: что вы реально пересылаете — проверочную часть или секретную?

Мария Ж, специалист по цифровой подписи и КЭДО:
«Половина обращений по теме «отправьте мне ключ» на самом деле про сертификат, то есть про открытку. Люди боятся слова «ключ» и думают, что пересылают что-то запретное. А пересылают обычный серт — его и положено отдавать тому, кто будет проверять подпись. Бояться надо обратного: когда кто-то просит выслать именно закрытку. Вот тут стоп.»

Можно ли отправить закрытый ключ ЭЦП по электронной почте

Короткий ответ — нет. И дело даже не в запрете на бумаге, а в природе самой подписи. Закрытый ключ — это то, чем подписывают. Если он попал в чужие руки, человек сможет ставить вашу подпись на любых документах: заявлениях, договорах, отчётности. Доказать потом, что подписывали не вы, почти нереально, ведь технически подпись валидна. Поэтому пересылка закрытого ключа письмом приравнивается к тому, что вы отдали кому-то свою собственноручную подпись с печатью и сказали «расписывайся за меня где хочешь».

Больше того, во многих случаях вы физически не сможете этого сделать, даже если захотите. Если подпись выпущена на токене — на той самой «флешке», Рутокене или JaCarta — закрытый ключ часто генерируется прямо внутри чипа и никогда его не покидает. Это называется неизвлекаемый ключ. Подпись формируется «на борту»: документ или его хэш заходит внутрь токена, там подписывается, наружу выходит готовая подпись. А сам закрытый ключ вытащить нельзя — нет программных интерфейсов, которые позволяли бы его экспортировать. Так что прикрепить его к письму просто не получится, и это правильно.

Отдельная история — облачные и мобильные подписи. У Госключа, например, закрытая часть хранится прямо на вашем смартфоне в приложении, и доступа к ней нет ни у Минцифры, ни у кого-либо ещё, только у вас. Удалили приложение — потеряли доступ, придётся выпускать новую подпись, уже с другим сроком действия. У облачной подписи закрытка лежит на стороне удостоверяющего центра, и за её сохранность отвечает УЦ. Ни в одном из этих вариантов вы не «достаёте ключ и шлёте его по почте» — сама архитектура так не работает.

Мария Ж, судебный эксперт по трудовому праву:
«В практике Добыто мы сталкиваемся с этим в каждом втором проекте: сотрудник просит «дайте мне закрытку директора, я за него поподписываю, пока он в отпуске». Объясняю на пальцах — это не делегирование, это передача личности. Если что-то всплывёт, отвечать будет тот, чьим ключом подписали, а не тот, кто реально нажимал кнопку. Для замещения есть МЧД и отдельные подписи на каждого, а не общая закрытка на всех.»

Как отправить открытый ключ (сертификат) ЭЦП по электронной почте

А вот это — нормальная, штатная операция. Открытый ключ упакован в файл сертификата с расширением .cer (иногда .crt). Его пересылают, чтобы получатель мог проверить вашу подпись, добавить вас в доверенные контакты или настроить шифрованную переписку. Никакой тайны он не содержит: данные из сертификата и так видны любому, кто проверяет подписанный вами документ. Проверить сам сертификат или подпись под присланным документом получатель может на портале Госуслуг, где работает бесплатный сервис подтверждения электронной подписи.

Выгрузить файл сертификата проще всего из КриптоПро CSP. Заходите на вкладку «Сервис», жмёте «Просмотреть сертификат в контейнере», выбираете нужный контейнер — и дальше можно сохранить открытую часть в отдельный файл. Получившийся .cer спокойно прикрепляете к письму. Кстати, именно так это работает при регистрации в сервисах: например, чтобы получить код абонента в ФНС, нужно загрузить файл сертификата ключа КЭП и отправить его на регистрацию. Это и есть пересылка открытого ключа, только через форму сервиса, а не обычным письмом.

Проверить, что вы экспортировали именно открытый ключ, а не пытаетесь зацепить закрытый, легко: файл открытого сертификата весит считанные килобайты и при попытке открыть показывает данные владельца без запроса пароля контейнера. Если система при экспорте просит пароль и предлагает «экспортировать закрытый ключ» — снимите эту галочку. По умолчанию закрытка вообще помечается как неэкспортируемая, и это правильная настройка, менять её без веских причин не стоит.

Как отправить открытый ключ ЭЦП по почте: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Откройте КриптоПро CSP, перейдите на вкладку «Сервис» и нажмите «Просмотреть сертификат в контейнере».
Шаг 2. Через кнопку «Обзор» выберите контейнер с действующим сертификатом и подтвердите выбор.
Шаг 3. В окне сертификата нажмите «Свойства», затем на вкладке «Состав» используйте «Копировать в файл».
Шаг 4. В мастере экспорта выберите вариант «Нет, не экспортировать закрытый ключ», формат — файл X.509 .CER.
Шаг 5. Сохраните файл, прикрепите его к письму как обычное вложение и отправьте получателю.

Образцы документов и памятки по работе с электронной подписью

Открыть список документов

Документ	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Руководство пользователя по сервису Добыто КЭДО	Скачать
Шаблон соглашения по ЭДО	Скачать
Правила обработки персональных данных	Скачать

Как отправить документ, подписанный ЭЦП, по электронной почте

Чаще всего за фразой «отправить ключ» прячется именно это: человеку надо переслать не ключ, а подписанный документ, чтобы вторая сторона убедилась в подлинности. Тут важно понимать, в каком виде лежит сама подпись. Вариантов два.

Первый — присоединённая подпись. Она встраивается внутрь документа, всё идёт одним файлом. Удобно тем, что ничего не потеряешь: подпись и документ слиплись в один контейнер. Минус в том, что открыть первичный документ без специальной программы не выйдет — нужен плагин или просмотрщик, который умеет вытаскивать содержимое. Второй вариант — отсоединённая, она же откреплённая подпись. При подписании рядом с документом формируется отдельный файл электронной подписи в формате SIG. То есть у вас на руках два объекта: сам документ (PDF, Word, что угодно) и маленький файлик .sig рядом.

Так вот, главная ошибка при пересылке откреплённой подписи: люди отправляют только PDF либо только .sig. А для проверки получателю нужны оба файла сразу. Без исходного документа .sig бесполезен, без .sig нельзя подтвердить подпись. Поэтому правило простое: прикрепляете к письму и документ, и файл подписи. Если подпись присоединённая — тогда да, отправляете один контейнерный файл, в нём уже всё внутри. Когда документов много, их складывают в один ZIP-архив и шлют архивом — так ничего не растеряется по дороге.

Отдельно про «штампик» на PDF. Иногда документ распечатывают или сохраняют в PDF с нарисованной плашкой «Документ подписан электронной подписью, сертификат такой-то». Сама по себе такая картинка юридической значимости не несёт — это просто визуализация. Подтвердить подпись можно только по электронному оригиналу: документу плюс файлу подписи. Поэтому если контрагенту нужна именно проверка, а не «для красоты» — шлите оригинал с подписью, а не PDF со штампом.

Подписать документ электронной подписью онлайн

1 Загрузите необходимые файлы:

Перетащите или выберите файл

2 Выберите электронную подпись:

Нажимая кнопку «Подписать», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самая частая боль — прислали один сик-файл без документа, и теперь «проверьте подпись». Нечего проверять, открытка-то есть в самой подписи, а исходника нет. Мы в Добыто на этапе настройки сразу объясняем клиентам: откреплённая подпись путешествует только в паре с документом. Один файл без второго — это как ключ без замка.»

Защищённая отправка по почте: шифрование и стандарт S/MIME

Если в документах есть персональные данные сотрудников, коммерческая тайна или другая чувствительная информация, простой пересылки мало. По требованиям регуляторов передавать такие данные по электронной почте можно лишь при одном из двух условий: либо защищённый канал (VPN на сертифицированных средствах), либо шифрование самих данных сертифицированным СКЗИ. Просто прикрепить файл к письму в открытом виде и отправить через обычный ящик — нарушение, особенно когда речь про персональные данные и 152-ФЗ.

Здесь и появляется второе применение открытого ключа. Чтобы зашифровать письмо или вложение для конкретного получателя, нужен его сертификат — то есть его открытый ключ. Вы берёте сертификат открытого ключа получателя, шифруете в его адрес, и расшифровать содержимое сможет только он, своим закрытым ключом. Получается сквозное шифрование: провайдеры, владельцы почтовых серверов, кто угодно посередине видят только зашифрованный набор данных. Это и есть стандарт S/MIME — подпись и шифрование почты с помощью открытого ключа, в российском исполнении работающий на ГОСТ.

Реализовать такую отправку можно, например, через КриптоАРМ ГОСТ 3 — у него есть встроенный почтовый клиент, который умеет отправлять и получать письма в зашифрованном виде, подключается к почтовым серверам по IMAP, SMTP, POP3 и совместим с российскими сервисами вроде MyOffice, Communigate, R7. Программа сертифицирована ФСБ, так что подходит для легальной передачи документов ограниченного доступа. Логика обмена простая: подписываете документ своим сертификатом, шифруете сертификатом получателя, отправляете. На словах звучит громоздко, на практике это пара кнопок.

На этом шаге — выбор вида подписи, экспорт сертификата, настройка шифрования для пересылки персональных данных — чаще всего и спотыкаются. Один неверно выбранный формат подписи, и контрагент не может ничего проверить, а отдел кадров получает претензию от безопасников за пересылку данных открытым письмом. Если не хотите разбираться с СКЗИ и форматами вручную, специалисты Добыто настраивают подписание и защищённую передачу кадровых документов так, чтобы сотрудник нажимал одну кнопку, а вся криптография отрабатывала под капотом.

Настроить подписание и отправку документов

Типичные ошибки при отправке ключа ЭЦП по почте

Ошибки тут стоят дорого — от утечки данных до подделки подписи. Собрала те, что встречаются чаще всего.

Ошибка первая — пересылка закрытого ключа «чтобы коллега поработал». Делают ради экономии времени: вроде как зачем выпускать вторую подпись, если можно скинуть контейнер. Цена ошибки — полная потеря контроля над подписью. Любой документ, подписанный «вашим» ключом, юридически считается подписанным вами. Восстановить справедливость в суде, доказав, что нажимали кнопку не вы, почти невозможно.

Ошибка вторая — отправка одного файла из пары документ+подпись. Происходит от незнания, что откреплённая подпись живёт отдельным файлом. Результат: получатель не может проверить подпись, документооборот стопорится, письма летают туда-сюда по второму кругу. Потерянное время измеряется днями, а в срочных сделках это иногда срыв сроков.

Ошибка третья — пересылка персональных данных открытым письмом. Кажется, что «ну это же просто скан трудовой, что такого». А такого — нарушение требований к защите персональных данных. При проверке это превращается в предписание и штраф, плюс репутационные потери, если данные утекли. Шифрование сертификатом получателя или защищённый канал убирают этот риск полностью.

Ошибка четвёртая — вера в «штампик» на PDF. Отправляют PDF с нарисованной плашкой подписи и считают дело сделанным. Но картинка ничего не подтверждает. Когда дойдёт до спора, такой документ не докажет ровным счётом ничего, потому что проверить нечего — нет электронного оригинала с подписью.

Стоимость подключения электронной подписи и КЭДО для отправки документов

Если вопрос «как отправить ключ» вырос из задачи наладить регулярный обмен подписанными документами с сотрудниками или контрагентами, разумнее не пересылать файлы вручную, а подключить сервис, где подписание и отправка идут в едином окне. Стоимость зависит от численности штата, выбранного тарифа и набора подключаемых модулей.

Тариф	Стоимость	Условия
Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка)	от 30 ₽ за сотрудника / мес	до 25 сотрудников
Бизнес — для среднего бизнеса (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив)	от 50 ₽ за сотрудника / мес*	неограниченно сотрудников
Корпорация — для крупного бизнеса (всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, API и кастомные интеграции)	по запросу	расширенные требования и SLA

*По тарифу Бизнес минимальная оплата — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от численности персонала, набора подключаемых модулей и вида электронной подписи — актуальные тарифы сервиса Добыто помогут сориентироваться точнее под вашу задачу. Для разовой передачи одного документа отдельный сервис не нужен, а вот при постоянном потоке подписаний помесячная подписка окупается за счёт экономии на ручной пересылке и хранении.

Выводы: как правильно отправить ключ ЭЦП по электронной почте

Главное — различать, что именно вы пересылаете. Закрытый ключ по почте не отправляют никогда: это секретная часть подписи, передача которой равносильна тому, что вы отдали кому-то право расписываться за вас. На токенах закрытый ключ к тому же неизвлекаемый и физически не покидает чип, а у мобильных и облачных подписей хранится у владельца или в УЦ. Открытый ключ в виде файла сертификата .cer пересылать можно и нужно — именно он позволяет проверить подпись и настроить шифрование, секрета в нём нет.

На практике под «отправить ключ» чаще понимают пересылку подписанного документа. Если подпись присоединённая — шлёте один контейнерный файл. Если откреплённая — обязательно прикладываете и документ, и файл .sig, иначе проверить подпись невозможно. PDF с нарисованным штампом подписи юридической силы не имеет, для подтверждения нужен электронный оригинал. А когда в документах есть персональные данные или коммерческая тайна, открытым письмом их не отправляют: либо защищённый канал, либо шифрование сертификатом получателя по стандарту S/MIME через сертифицированное СКЗИ.

Если пересылка подписанных документов стала регулярной, ручная отправка файлов рано или поздно упрётся в ошибки и потерю времени. Системы кадрового электронного документооборота закрывают это: подписание, отправка и хранение идут в одном интерфейсе, а сотруднику не приходится разбираться, что такое сик-файл и какой ключ куда прикреплять.

Часто задаваемые вопросы

Чем закрытый ключ ЭЦП отличается от открытого?

Закрытый ключ — секретная часть, которой создают подпись, доступ к нему должен быть только у владельца. Открытый ключ нужен для проверки: с его помощью получатель убеждается, что документ не меняли и подписан он именно вашей подписью. Открытый ключ упакован в файл сертификата (.cer) и не содержит тайны, его передают свободно. Закрытый ключ не пересылают никогда.

Можно ли скопировать закрытый ключ с токена и переслать его?

Чаще всего нет. Если ключ сгенерирован прямо на токене, он помечен как неизвлекаемый и физически не покидает память чипа — программных интерфейсов для его экспорта не существует. Подпись формируется внутри токена «на борту». Это сделано специально, чтобы защитить владельца от кражи и компрометации подписи.

Какой файл нужно отправить, чтобы получатель проверил мою подпись?

Это зависит от типа подписи. При присоединённой подписи отправляете один файл — в нём документ и подпись вместе. При откреплённой нужны два файла: сам документ и файл подписи .sig. Если в подписи нет сертификата получателя, для настройки доверия дополнительно высылают файл сертификата .cer. Один .sig без исходного документа проверить нельзя.

Как выгрузить файл сертификата открытого ключа?

Через КриптоПро CSP: вкладка «Сервис» — «Просмотреть сертификат в контейнере» — выбираете контейнер — «Свойства» — на вкладке «Состав» жмёте «Копировать в файл». В мастере экспорта выбираете «Не экспортировать закрытый ключ» и формат X.509 .CER. Полученный файл прикрепляете к письму.

Что такое присоединённая и отсоединённая подпись?

Присоединённая подпись встраивается внутрь документа — всё хранится одним файлом, но открыть исходный документ можно только через программу-просмотрщик. Отсоединённая (откреплённая) подпись формируется отдельным файлом .sig рядом с документом. Для проверки откреплённой подписи в программу загружают и документ, и файл подписи.

Можно ли пересылать по почте документы с персональными данными?

В открытом виде — нет. Передача персональных данных по электронной почте разрешена при одном из двух условий: защищённый канал (VPN на сертифицированных средствах) либо шифрование данных сертифицированным СКЗИ. На практике письмо и вложения шифруют сертификатом открытого ключа получателя по стандарту S/MIME, тогда содержимое доступно только адресату.

Имеет ли силу PDF со штампом «Документ подписан электронной подписью»?

Сам по себе — нет. Графический штамп на PDF — это только визуализация, юридическую значимость несёт электронный оригинал, подпись под которым можно проверить. Если контрагенту нужно подтвердить подпись, отправляйте оригинал документа с файлом подписи, а не распечатку или PDF с нарисованной плашкой.

Какой программой подписать и зашифровать документ перед отправкой?

Подойдёт КриптоАРМ ГОСТ 3 в связке с КриптоПро CSP: программа подписывает файлы, шифрует их сертификатом получателя и имеет встроенный почтовый клиент с поддержкой IMAP, SMTP, POP3 и стандарта S/MIME. Решение сертифицировано ФСБ, поэтому подходит для легальной передачи документов ограниченного доступа.

Где хранится закрытый ключ у Госключа и облачной подписи?

У Госключа закрытая часть хранится прямо в приложении на смартфоне, доступа нет ни у Минцифры, ни у кого-либо, кроме владельца. Удалили приложение — доступ потерян, придётся выпускать новую подпись. У облачной подписи закрытка лежит на стороне удостоверяющего центра, и за её сохранность отвечает УЦ. Ни в одном случае ключ не пересылают по почте.

Что грозит, если передать свой закрытый ключ другому человеку?

Любой документ, подписанный вашим закрытым ключом, юридически считается подписанным вами. Тот, кому вы передали ключ, сможет подписывать договоры, заявления, отчётность от вашего имени, а технически подпись будет валидной. Доказать в споре, что подписывали не вы, крайне сложно. Для замещения и делегирования используют машиночитаемую доверенность (МЧД) и отдельные подписи на каждого сотрудника.

Можно ли проверить присланную подпись без интернета?

Да, проверка возможна и без постоянного подключения, если на компьютере установлено средство проверки подписи и есть актуальные списки отозванных сертификатов. Многие программы для проверки распространяются бесплатно. Для надёжного долговременного хранения в подпись добавляют метку времени, чтобы её можно было проверить даже после истечения срока действия сертификата.

Сколько действует сертификат и что делать после истечения срока?

Срок действия сертификата ограничен, в большинстве случаев это около года. После истечения подпись новым документам ставить нельзя — нужно выпускать сертификат заново. Чтобы ранее подписанные документы оставались проверяемыми и после окончания срока, в подпись добавляют метку времени и при долговременном хранении усовершенствуют её до архивного формата.

Когда пересылка подписанных документов перестаёт быть разовой задачей и превращается в поток — приём сотрудников, ознакомление с ЛНА, подписание приказов и заявлений — ручная отправка файлов с ключами и сик-файлами начинает тормозить весь процесс. Сервис КЭДО Добыто закрывает это: подписание, проверка и хранение документов идут в одном интерфейсе, а сотруднику не нужно разбираться, какой ключ куда прикреплять и чем шифровать.

Мы подключили к электронному документообороту уже более 500 компаний — от небольших команд до организаций со штатом в тысячи человек. В каждом проекте видим одно и то же: как только подписание уходит в систему, вопрос «как отправить ключ по почте» снимается сам собой, потому что вручную пересылать ничего не нужно.

Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
Мобильное приложение для подписания с телефона — в командировке, в отпуске, без похода в отдел кадров
Готовый коннектор с 1С (ЗУП, КА, ERP) — отправка на подписание одной кнопкой из привычного интерфейса
Защищённые каналы связи и шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером

Подключить электронное подписание документов