Ключ проверки электронной подписи — это открытый ключ, уникальная последовательность символов, которая жёстко связана с ключом подписи и нужна, чтобы получатель документа мог проверить вашу подпись и убедиться, что файл не меняли после подписания. Если коротко: ключом подписи вы документ подписываете, а ключом проверки кто угодно проверяет, что подпись настоящая. Разберём, чем открытый ключ отличается от закрытого, как он связан с сертификатом, почему его можно показывать всему интернету, где он хранится при работе с УКЭП, УНЭП и Госключом, и как им пользуются программы проверки. Это часть большого материала про проверку электронной подписи, где собраны инструменты и инструкции по всем видам ЭП.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое ключ проверки электронной подписи
Начну с того, что в законе и в обиходе это разные слова про одно и то же. Когда человек говорит «я получил электронную подпись в удостоверяющем центре», он на самом деле получил сертификат ключа проверки электронной подписи. Сама подпись — это не флешка и не файл, который выдают. Это число. Длинное число, которое вычисляется на основе содержимого документа и присоединяется к нему либо лежит рядом отдельным файлом.
В статье 2 закона 63-ФЗ «Об электронной подписи» — той самой «тройки», на которую ссылаются все профи, — есть два связанных термина. Ключ электронной подписи (его называют закрытым, или «закрыткой») — уникальная последовательность символов, которой подпись создают. И ключ проверки электронной подписи (открытый, «открытка») — уникальная последовательность символов, однозначно связанная с ключом подписи и предназначенная для проверки. Эти два ключа связаны математически. Жёстко. Каждому ключу подписи соответствует ровно один ключ проверки, и соответствие однозначно.
Зачем вообще такая пара? Исторически люди обменивались сообщениями один на один: договорились о ключах при личной встрече и дальше друг другу доверяют. Но в бизнесе контрагенты чаще всего незнакомы. А доверять документам надо. Вот для этого и придумали асимметричную схему: одним ключом подписал — открытым проверяет любой, кому ты этот документ отправил.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Народ путает: думают, что в удостоверяющем центре им выдали саму подпись. Нет. Вам выдали серт — сертификат ключа проверки, плюс на токен записали закрытку. Подпись рождается только в момент, когда вы что-то подписываете. До этого её физически не существует, есть только пара ключей.»
Открытый и закрытый ключ: чем отличаются
Тут вся соль асимметричной криптографии. Закрытый ключ — секретный, он только у вас, его нельзя показывать никому. Открытый ключ — публичный, его можно отдать хоть всему интернету, и ничего страшного не случится. По открытому ключу невозможно вычислить закрытый, хотя они и связаны. На этом держится вся схема.
Откуда берётся эта связь и почему её нельзя обратить? Под капотом обычно лежит математика вроде RSA или отечественных ГОСТ-алгоритмов на эллиптических кривых. В RSA, например, генерируют два больших простых числа, перемножают — получается модуль. Открытый ключ — это пара из модуля и экспоненты (часто берут 65537, это простое число Мерсена, с ним быстро считается). Закрытый ключ — обратное к экспоненте число по особому модулю. Чтобы из открытого ключа добыть закрытый, злоумышленнику пришлось бы разложить огромное число на простые множители. А это вычислительно неподъёмно: даже мощнейшие алгоритмы факторизации сейчас справляются с числами до 500-700 бит на суперкомпьютерах, а в реальных подписях используют ключи в 2048 бит и больше. Вот и весь фокус.
Дальше работает так. Подписание — двухэтапная операция. Сначала из документа считается хэш: однонаправленная функция превращает файл любого размера в одно длинное число, которое однозначно соответствует тексту. Поменяешь в документе одну запятую — хэш будет совсем другой. Потом этот хэш подписывается закрытым ключом. Проверка идёт зеркально: сторона-получатель сама считает хэш документа и с помощью открытого ключа разбирает подпись. Если два хэша совпали — документ не меняли, подпись настоящая. Не совпали — где-то правка или подмена.
| Характеристика | Ключ подписи (закрытый) | Ключ проверки (открытый) |
|---|---|---|
| Назначение | Создание подписи | Проверка подписи |
| Доступ | Только владелец, конфиденциально | Публичный, доступен всем |
| Где хранится | Токен, мобильное устройство, облако УЦ | В сертификате, прилагается к документу |
| Существование | В единственном экземпляре | Копируется свободно |
Важный нюанс про закрытый ключ. Его конфиденциальность — это обязанность владельца по статье 10 63-ФЗ. И существование закрытого ключа в единственном экземпляре технически обеспечивают только аппаратными средствами — токенами. Почему? Если ключ сгенерирован на самом токене «на борту», он его никогда не покидает: подписать им можно, а скопировать или вытащить наружу — нет, в операционной системе токена просто нет такой функции. А вот если ключ лежит в реестре компьютера, доступ к нему получает любой, кто получил доступ к этой машине. Дело Сбера, которое разбирали юристы, как раз про это: сотрудник заявил, что не он подписывал соглашение об увольнении, токены с УНЭП хранились в сейфе, а сейф иногда бывал открыт. Суд встал на сторону работника.
Сертификат ключа проверки: цифровой паспорт подписи
Открытый ключ сам по себе — просто набор символов. Кому он принадлежит, непонятно. Чтобы привязать ключ проверки к конкретному человеку или организации, существует сертификат ключа проверки электронной подписи. Это электронный документ, в котором лежит сам ключ проверки плюс реквизиты владельца: ФИО, СНИЛС, ИНН, для юрлица — наименование, и куча других атрибутов. И весь этот документ подписан электронной подписью удостоверяющего центра.
Удостоверяющий центр здесь — центр доверия для всей системы. Сущность, которой все участники обмена вынуждены или добровольно доверяют. Когда вы открываете сертификат, видите три блока информации. Кому выдан — вам или на организацию (бывает ещё обезличенный сертификат, его выдают на юрлицо и привязывают к информационной системе для автоматического подписания счетов, квитанций, запросов в госорганы). Кем выдан — Госуслуги, СКБ Контур, Калуга Астрал, ФНС, то есть конкретный УЦ. И срок действия — «действителен с… по…».
Тонкость, которую путают: у простой электронной подписи сертификата нет вообще. ПЭП только фиксирует факт подписания и указывает на лицо, никаких криптографических ключей там не вычисляется. У неквалифицированной подписи сертификат может не создаваться — по части 5 статьи 3 63-ФЗ, если соответствие подписи признакам НЭП обеспечивается без сертификата. А вот у квалифицированной подписи ключ проверки обязан быть указан в квалифицированном сертификате, и сам сертификат должен соответствовать требованиям приказа ФСБ № 795. Это жёсткое требование, без него УКЭП не УКЭП.
Мария Ж, судебный эксперт по трудовому праву:
«В суде штампик на распечатке — вот этот синенький квадратик с надписью «документ подписан ЭП» — не значит ничего. Это просто визуализация для человека, плашка. Юридическую значимость несёт электронный оригинал с подписью, которую можно проверить открытым ключом из сертификата. Поэтому в суд тащат не распечатки, а выгрузку: сам документ плюс сиг-файл.»
Образцы документов и памятки по электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой инспекции | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя по сервису Добыто.КЭДО | Скачать |
| Шаблон соглашения об ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО (образец) | Скачать |
| Примерная форма трудового договора по основному месту работы | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец личной карточки работника | Скачать |
Где хранится ключ при УКЭП, УНЭП и в Госключе
Закрытый ключ — тот, который надо беречь — хранится по-разному, и от способа хранения зависит, кто отвечает за его компрометацию. Открытый же ключ всегда едет вместе с документом в составе сертификата, его прятать не нужно.
Вариантов хранения закрытого ключа три. Первый — на токене, той самой «флешке» Рутокен или JaCarta. Ключ генерируется и живёт внутри чипа, подписать им можно «на борту», вытащить — нельзя. Ответственность за хранение полностью на владельце. Второй — облачный формат: закрытая часть лежит в удостоверяющем центре, а операции вы подтверждаете через приложение вроде MyDSS или аналога Контура. Тут за компрометацию ключей отвечает уже УЦ — если произошла утечка, это его расследование. Третий вариант — на мобильном устройстве. Так устроен Госключ: закрытая часть ключа хранится прямо в приложении на вашем телефоне. Доступа к ней нет ни у Минцифры, ни у каких госслужб — только у вас.
С Госключом есть особенность, про которую забывают. Если удалить приложение или забыть пароль, доступ к подписи теряется навсегда — восстановить старый закрытый ключ нельзя. Придётся выпускать новую подпись, и это будет уже другая ЭП, с новым ключом проверки и своим сроком действия. Снести подпись тут — это в прямом смысле потерять ключ. Госключ, кстати, выпускает два вида подписей: УНЭП с пометкой «выданной с использованием инфраструктуры электронного правительства» (такой подписи доверяют по умолчанию, соглашение сторон не нужно) и УКЭП — для неё требуется биометрический загранпаспорт нового образца и телефон с NFC.
В практике Добыто мы при подключении компании к КЭДО первым делом смотрим, какой вид подписи реально нужен под задачи. Не всегда нужна УКЭП — для большинства внутренних кадровых документов хватает УНЭП из Госключа, а это совсем другие денюжки для работодателя. Тратить на квалифицированную подпись каждого линейного сотрудника бессмысленно, если процесс этого не требует.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда раскатываем КЭДО на большую компанию, отдельно проговариваем с эйчарами: ключ проверки публичный, его можно показывать. А вот закрытку на токене или пароль от госключа сотрудник обязан держать при себе. Это не наша придирка — это статья 10 тройки. Утёк ключ — надо немедленно отзывать серт, иначе любой подписанный после этого документ повиснет.»
Как открытый ключ участвует в проверке подписи
Теперь самое практичное — как ключом проверки реально пользуются. Когда вам пришёл подписанный документ, проверяющая программа делает несколько вещей. Достаёт из подписи сертификат, берёт оттуда открытый ключ. Считает хэш документа заново. Расшифровывает открытым ключом подписанный хэш и сравнивает с тем, что насчитала. Совпало — подпись верна, документ цел. Параллельно строится цепочка доверия к сертификату: сертификат конкретного лица проверяется через сертификат удостоверяющего центра, тот — через вышестоящий, и так до головного УЦ, которым в стране выступает Минцифры. У УКЭП эта цепочка всегда заканчивается на Минцифре и устанавливается на токен по умолчанию. У УНЭП цепочка короче, корневые сертификаты система сама не подтягивает — бывает, при подписании крипто-провайдер ругается, что не найден корневой сертификат, и его приходится ставить как доверенный вручную.
Ещё проверяют отзыв. У сертификата есть срок действия, но его можно отозвать досрочно — например, при увольнении сотрудника или компрометации ключа. Удостоверяющий центр ведёт список отозванных сертификатов, и при проверке программа сверяется с ним. Если на момент подписания сертификат был уже отозван, подпись недействительна.
Проверить подпись можно несколькими путями. На портале Госуслуг есть штатный сервис, на сайте онлайнинспекция.рф и других госресурсах — тоже. Можно через КриптоПро CSP или КриптоАРМ на своей машине. Можно через онлайн-сервисы вроде проверки подписи Добыто — туда загружаете либо один сиг-файл присоединённой подписи, либо пару «документ + файл подписи» для открепленной. Программа покажет статус и сведения о сертификате. Никакого закрытого ключа для проверки не нужно в принципе — только открытый, который и так лежит в документе.
Разобраться, какой ключ публичный, а какой секретный, где он должен лежать и как настроить проверку цепочки сертификатов — на этом этапе многие компании буксуют. Особенно когда у сотрудников зоопарк из токенов, облачных подписей и Госключа одновременно. В сервисе Добыто мы берём эту техническую часть на себя: настраиваем хранение ключей, маршруты подписания и проверку подписи так, чтобы кадровик не разбирался в крипте, а просто отправлял документ одной кнопкой.
Как проверить подпись по ключу проверки: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте сервис проверки — на Госуслугах, на сайте удостоверяющего центра или онлайн-сервис проверки подписи.
- Шаг 2. Определите тип подписи. Для присоединённой нужен один сиг-файл, для открепленной — документ и отдельный файл подписи.
- Шаг 3. Загрузите файлы. Программа сама достанет открытый ключ из сертификата, вложенного в подпись.
- Шаг 4. Запустите проверку. Система пересчитает хэш документа и сверит его с подписанным значением через ключ проверки.
- Шаг 5. Посмотрите результат: статус подписи, сведения о владельце сертификата, срок действия и отметка, не отозван ли сертификат.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Срок действия ключа и метки времени
У ключей есть срок жизни, и это отдельная история. Сертификаты раньше выдавали на 15 месяцев, сейчас встречаются сроки до 12 лет. Но даже длинный срок упирается в вопрос: а когда конкретно был подписан документ? По факту в момент подписания вы не можете однозначно зафиксировать время. И вот тут наступает проблема: сертификат закончился, а доказать, что в момент подписания он был действующим, нечем.
Решают это усовершенствованной электронной подписью. К обычной подписи добавляют доказательства подлинности. Штамп времени от доверенной службы — в момент подписания обращаются к ней, она формирует документ с точной меткой времени и хэшем подписанного файла. Служба штампов времени есть у налоговой, у удостоверяющих центров. Второе доказательство — ответ службы актуальных статусов (OCSP), который подтверждает, что на момент подписания сертификат не был отозван. Эти «плюшки» позволяют проверить подпись и после того, как срок сертификата истёк, — что критично для кадровых документов со сроками хранения до 50 лет. Продление подписи метками времени для долгого хранения профи называют «ухаживанием за подписью».
Мария Ж, юрист со стажем более 20 лет:
«Отметкам времени при внедрении почти никто не уделяет внимания, а зря. Подпись валидна, ключ проверки на месте, но если штампа времени нет и серт протух — в суде ты не докажешь, когда именно подписал документ. Поэтому для архивного хранения сразу закладываем усовершенствованный формат с метками. Лучше накрутить эти плюшки заранее, чем глотать слёзы потом.»
Стоимость подключения КЭДО с электронной подписью в 2026 году
Сам по себе ключ проверки и сертификат ничего не стоят сверх стоимости подписи — они часть выпускаемой ЭП. А вот когда речь про сервис КЭДО, где сотрудники подписывают документы и система автоматически проверяет подписи, стоимость зависит от численности штата, выбранного тарифа и набора подключаемых модулей. Привожу актуальные тарифы сервиса Добыто.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО. ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| Бизнес — для среднего бизнеса. ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников* |
| Корпорация — для крупного бизнеса. Всё из Бизнеса, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции | По запросу | Расширенные требования и SLA |
По тарифу Бизнес минимальная оплата — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее под вашу задачу. Стоимость самого выпуска УКЭП в аккредитованном УЦ или бесплатно в ФНС для руководителя считается отдельно.
Выводы: что нужно знать про ключ проверки электронной подписи
Ключ проверки электронной подписи — это открытый ключ из пары, жёстко связанный с закрытым ключом подписи и закреплённый в статье 2 63-ФЗ. Им проверяют подпись и целостность документа, его можно показывать кому угодно, потому что вычислить из него секретный ключ невозможно. У простой подписи ключа проверки нет, у неквалифицированной сертификат может не создаваться, а у квалифицированной ключ проверки обязан быть указан в сертификате по требованиям приказа ФСБ № 795. Сертификат ключа проверки идентифицирует владельца и выдаётся удостоверяющим центром, который выступает центром доверия.
На практике запомните разделение ответственности: открытый ключ публичный и едет с документом, а закрытый надо беречь — на токене он не покидает чип, в облаке за него отвечает УЦ, в Госключе он живёт в вашем телефоне. Потеряли доступ к закрытому ключу или подозреваете утечку — немедленно отзывайте сертификат через тот орган, который его выдавал, иначе подписанные после этого документы окажутся недействительными. Для проверки подписи закрытый ключ не нужен никогда, достаточно открытого.
Отдельно держите в голове метки времени и службу актуальных статусов сертификатов. Для документов с долгим сроком хранения обычная подпись не годится — нужен усовершенствованный формат, который подтвердит момент подписания и действительность сертификата даже спустя годы. Тенденция к 2026 году — смещение в сторону мобильных подписей и облачного хранения, а на горизонте маячит переход на постквантовые алгоритмы, которые NIST рекомендует завершить к 2035 году.
Часто задаваемые вопросы
Ключ проверки и открытый ключ — это одно и то же?
Можно ли по ключу проверки вычислить закрытый ключ?
Где хранится ключ проверки электронной подписи?
Есть ли ключ проверки у простой электронной подписи?
Должен ли ключ проверки быть в сертификате?
Какая информация содержится в сертификате ключа проверки?
Что делать, если закрытый ключ скомпрометирован?
Как проверить подпись, если срок сертификата уже истёк?
Почему при подписании УНЭП крипто-провайдер пишет, что не найден корневой сертификат?
Имеет ли юридическую силу штамп подписи на распечатке PDF?
Что такое подтверждение владения ключом электронной подписи?
Чем присоединённая подпись отличается от открепленной при проверке?
Теперь вы знаете, как устроена пара ключей, чем открытый ключ отличается от закрытого и как им проверяют подпись. На практике вся эта криптография должна работать незаметно: сотрудник нажимает кнопку, документ подписывается и автоматически проверяется, а кадровик видит готовый результат. Именно так мы выстраиваем процесс в сервисе Добыто — подключили уже сотни компаний и каждый раз закрываем техническую сторону работы с ключами и сертификатами на себя.
Сервис поддерживает все виды подписей и сам строит проверку цепочки сертификатов, фиксирует отметки времени и хранит документы вместе с подписями для предъявления при проверках. Кадровику не нужно разбираться, где закрытый ключ, а где открытый — достаточно отправить документ на подписание.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания документов с телефона, без похода в отдел кадров
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится без привлечения разработчиков