Ключ проверки электронной подписи — это открытый ключ, уникальная последовательность символов, однозначно связанная с ключом подписи и предназначенная для проверки подлинности подписи под документом. Разберём простыми словами, чем он отличается от ключа подписи, где хранится, как попадает в сертификат и что происходит в момент, когда система проверяет подпись. Заодно покажу, как проверить подпись самому и не запутаться в терминах ПЭП, НЭП и УКЭП. Тема — часть большого материала про электронную подпись и её виды, где собран весь путь от выпуска сертификата до подписания документа.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое ключ проверки электронной подписи простыми словами
В 63-ФЗ ключ проверки ЭП определён как уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности подписи (п. 5 ст. 2). Формально это последовательность символов. Технически — число. Большое число, которое математически жёстко связано со вторым числом, ключом подписи.
Работает пара. Один ключ создаёт подпись, второй её проверяет. Ключ подписи держат в секрете, ключ проверки — наоборот, отдают всем, кто будет проверять ваши документы. Отсюда народные названия: закрытка и открытка. Закрытый ключ никому не показывают, открытый гуляет свободно — его вшивают в сертификат и рассылают вместе с подписанным файлом.
Здесь и кроется главная путаница. Когда человек идёт в удостоверяющий центр и говорит «получу электронную подпись», он получает не подпись. Он получает сертификат ключа проверки электронной подписи — электронный документ, где лежит его открытый ключ и данные владельца. Сама подпись рождается позже, в момент, когда вы заверяете конкретный файл. Терминологически «пойду получу ЭП» — неправильно, но привыкли все, включая меня.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Клиенты часто зовут всё это одним словом ЭЦП — и токен, и сертификат, и саму крипту. По сути там три разные сущности: ключ подписи, ключ проверки и сертификат. Пока не разложишь по полочкам — человек не понимает, почему у него закрытка на флешке, а открытка гуляет по всему интернету. И это, кстати, нормально.»
Ключ подписи и ключ проверки: чем закрытый ключ отличается от открытого
Усиленную подпись невозможно создать без ключевой пары — открытого и закрытого ключей. В законе они названы ключ проверки ЭП и ключ электронной подписи соответственно (ст. 2 63-ФЗ). Разница между ними принципиальная, и её стоит понять один раз.
Ключ электронной подписи (закрытка, ключ подписи) — им подписывают. Это ваш секрет. Утекла закрытка — и кто угодно подпишет договор от вашего имени. Поэтому закон прямо обязывает обеспечивать конфиденциальность ключа и не давать им пользоваться без вашего согласия (ст. 10 63-ФЗ). Если ключ скомпрометирован, вы обязаны уведомить удостоверяющий центр не позднее одного рабочего дня.
Ключ проверки ЭП (открытка) — им проверяют. Он публичный по своей природе. По открытому ключу нельзя вычислить закрытый — на этом стоит вся асимметричная криптография. Можно раздать открытый ключ хоть всему миру, подделать подпись это не поможет. Каждому ключу подписи соответствует ровно один ключ проверки, и соответствие однозначное.
Простая аналогия из физического мира. Ключ подписи — это ваш личный штамп, который лежит в сейфе. Ключ проверки — это образец оттиска этого штампа, который вы раздали контрагентам, чтобы они сверяли. Оттиск можно показывать сколько угодно, сам штамп из сейфа не достают. Разница в том, что математический «оттиск» подделать нельзя, а обычный — можно.
Как связаны ключ проверки ЭП и сертификат ключа проверки
Сам по себе открытый ключ — просто число. Оно ничего не говорит о том, кому принадлежит. Чтобы привязать ключ проверки к конкретному человеку или организации, придумали сертификат. Сертификат ключа проверки электронной подписи — это электронный документ, который выдаёт удостоверяющий центр и который подтверждает принадлежность ключа проверки владельцу (п. 2 ст. 2 63-ФЗ).
Что лежит внутри квалифицированного сертификата, перечислено в ст. 17 63-ФЗ:
- уникальный номер сертификата;
- для физлица — ФИО, СНИЛС и ИНН; для ИП дополнительно ОГРНИП; для юрлица — наименование, адрес, ИНН и ОГРН;
- уникальный ключ проверки электронной подписи — тот самый открытый ключ;
- сроки действия сертификата и закрытого ключа;
- перечень средств ЭП, которыми созданы ключи и сам сертификат;
- наименование и адрес аккредитованного УЦ, выдавшего сертификат;
- идентификатор, который показывает, как удостоверяли личность владельца.
Удостоверяющий центр здесь — центр доверия для всех участников обмена. Именно его подпись под сертификатом превращает набор данных в документ, которому можно верить. УЦ создаёт и выдаёт сертификаты, устанавливает срок их действия, ведёт реестр выданных и аннулированных сертификатов, проверяет уникальность ключей проверки в реестре и проверяет подписи по запросу участников (ст. 13 63-ФЗ). Чтобы выдавать квалифицированные сертификаты, коммерческий УЦ проходит аккредитацию Минцифры раз в три года.
Небольшой разбор полей от практика. Когда открываете свойства сертификата, смотрите три вещи: «Кому выдан» (владелец и его реквизиты), «Действителен по» (срок), «Издатель» (аккредитованный УЦ из реестра Минцифры). Если издателя нет в реестре или срок вышел — подпись такого сертификата валидной не будет. В сервисе Добыто мы этот минимум проверяем на входе автоматически, до того как документ вообще уйдёт на подписание сотруднику.
Мария Ж, судебный эксперт по трудовому праву:
«В спорах я первым делом смотрю сертификат: чей ключ проверки, кем выдан, был ли действителен на дату подписания. Если аккредитация УЦ на день выдачи отсутствовала — вся подпись летит, документ можно оспорить. Поэтому ‘зелёная галочка’ в программе — это не украшение, это доказательство в суде.»
Образцы документов для выпуска и использования электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Заявление о согласии на переход на КЭДО | Скачать |
Как работает проверка электронной подписи
Здесь начинается вторая половина истории. Простая электронная подпись целостность документа не проверяет — она только фиксирует факт, что кто-то что-то подписал кодом или паролем. Никаких вычислений с текстом не происходит. Поменял одна из сторон текст постфактум — и доказать это доверенными способами будет нечем.
Усиленные подписи, неквалифицированная и квалифицированная, устроены иначе. Обе получаются криптографическим преобразованием с использованием ключа подписи. Механизм двойной. Сначала из документа считается хэш — однонаправленная математическая функция превращает файл любого размера в короткое число, однозначно соответствующее тексту. Меняется хоть один байт — хэш другой. Потом этот хэш подписывается ключом подписи.
Проверка идёт зеркально. Принимающая сторона своим экземпляром считает хэш документа заново и с помощью ключа проверки сверяет, что подпись сделана именно тем закрытым ключом, которому соответствует этот открытый, и что документ после подписания не менялся. Совпало — подпись валидна, документ целостный. Не совпало — где-то правка или чужой ключ. Российские подписи работают на алгоритме ГОСТ Р 34.10-2012, длина ключа 256 или 512 бит.
Отдельная история — подпись поверх файла и подпись рядом с ним. Открепленная УКЭП формирует отдельный файл .sig рядом с документом, не меняя его ни на байт. Проверяют такую пару вместе: исходный файл плюс сиг-файл. В практике Добыто мы работаем с обоими форматами — и присоединённой, и открепленной подписью, потому что разные информационные системы и суды принимают по-разному.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Как проверить электронную подпись: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Соберите комплект: подписанный документ и файл подписи. Для присоединённой подписи это один файл, для открепленной — документ плюс отдельный .sig рядом.
- Шаг 2. Откройте онлайн-сервис проверки подписи или программу с криптопровайдером (КриптоПро CSP, КриптоАРМ) и загрузите файлы.
- Шаг 3. Запустите проверку. Программа пересчитает хэш и сверит его ключом проверки из сертификата.
- Шаг 4. Посмотрите результат: статус подписи (действительна или нет), целостность документа, владелец сертификата и срок его действия.
- Шаг 5. Проверьте, что издатель сертификата — аккредитованный УЦ из реестра Минцифры, а сам сертификат был действителен на дату подписания.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Проверить свои сертификаты можно и на портале Госуслуг — в личном кабинете есть раздел «Электронная подпись», где видны серийный номер, срок действия и удостоверяющий центр, выдавший каждый сертификат. Личный кабинет на Госуслугах ещё и присылает оповещения, если на ваше имя выпустили новый сертификат — удобный способ вовремя заметить, что кто-то оформил подпись без вашего ведома.
Где хранится ключ подписи и ключ проверки
Ключ проверки хранить особо негде — он и так публичный, лежит в сертификате и уходит вместе с подписанным файлом. Весь вопрос в закрытом ключе. Его надо беречь, и вариантов хранения два.
Первый — токен, защищённый носитель (Рутокен, JaCarta). В народе — флешка, хотя это не флешка. Если ключ сгенерирован самим токеном на борту, он не покидает защищённую область памяти устройства. Подпись формируется прямо внутри чипа: наружу приходит хэш, внутри он подписывается, наружу возвращается готовая подпись. Закрытка физически не выходит — её невозможно скопировать. Это самый устойчивый к компрометации вариант.
Второй — облачная подпись, когда закрытый ключ лежит на защищённом сервере провайдера, а вы обращаетесь к нему через приложение. Сюда же относится Госключ — мобильное приложение от Минцифры, где ключ живёт на стороне сервиса, а подтверждаете вы действие с телефона. Для кадрового ЭДО это удобно: сотруднику не нужен ни токен, ни установка криптопровайдера. За время работы сервиса Добыто мы подключили сотни компаний, и в кадровых процессах облачные подписи и Госключ закрывают большинство задач — таскать токен каждому из тысячи сотрудников никто не станет.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда заводим КЭДО на большую компанию, сразу считаем денюжки: раздать по флешке на каждого — это отдельный бюджет и головняк с логистикой. Поэтому для внутренних кадровых документов чаще берём ПЭП и УНЭП, а токен с УКЭП оставляем тем, кому он правда нужен — руководителю, кадровику для внешки. Открытый ключ везде один и тот же по логике, а вот где лежит закрытка — это уже про деньги и удобство.»
Разобраться, какой ключ где хранить, какой вид подписи брать под какой документ и как не переплатить за токены на весь штат — задача, где легко наошибаться на старте. Мы в Добыто настраиваем эту схему под конкретную компанию: подбираем вид подписи под каждый кадровый процесс и закладываем пилот, чтобы отловить грабли до массового запуска.
Подобрать подпись под кадровый процесс
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Виды электронной подписи и роль ключа проверки в каждой
Закон делит подписи на три вида, и роль ключа проверки в них разная. Это стоит понимать, потому что путаница здесь встречается в каждом втором проекте.
Простая электронная подпись (ПЭП) — коды, пароли, одноразки. Ключа проверки в криптографическом смысле у неё нет, сертификат не выпускается. ПЭП только фиксирует факт подписания и требует, чтобы можно было установить личность подписанта. Целостность документа она не гарантирует.
Усиленная неквалифицированная (УНЭП) — уже настоящая ключевая пара. Есть ключ подписи и ключ проверки, есть криптопреобразование и проверка целостности. Сертификат для УНЭП может не создаваться, если соответствие подписи признакам неквалифицированной обеспечивается без него (ч. 5 ст. 5 63-ФЗ).
Усиленная квалифицированная (УКЭП) — высшая форма. Ключ проверки обязательно оформлен квалифицированным сертификатом, выпущенным аккредитованным УЦ, а средства подписи имеют подтверждение ФСБ. Именно УКЭП по умолчанию равнозначна собственноручной подписи. Один нюанс из свежей практики: сертификаты на сотрудников юрлица с реквизитами компании с 1 сентября 2024 года больше не выпускаются — сотрудник подписывает своей личной УКЭП плюс машиночитаемая доверенность (МЧД). А с 1 марта 2026 года, например, проектную документацию без УКЭП на экспертизу не принимают.
Для внутренних кадровых документов далеко не всегда нужна УКЭП — это к вопросу, сколько денежек уходит на работодателя. Многие процессы закрываются ПЭП и УНЭП внутри системы КЭДО. Понять, какой инструмент подписания документов подойдёт под конкретную задачу, проще, когда видишь всю линейку и требования к каждому виду.
Стоимость электронной подписи и сервиса КЭДО в 2026 году
Сама пара ключей и сертификат стоят по-разному в зависимости от того, где вы их получаете. Квалифицированный сертификат для руководителя ЮЛ и ИП УЦ ФНС выдаёт бесплатно, платите только за токен и, при необходимости, лицензию криптопровайдера. Срок сертификата ФНС — 15 месяцев, у коммерческих УЦ обычно 12-15. А вот когда речь про массовое подписание в кадровом ЭДО, считать надо не отдельные подписи, а тариф на сотрудника в сервисе КЭДО.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | малые компании |
| Бизнес — без ограничения по числу сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | от 50 сотрудников, 30 000 ₽ в год минимум |
| Корпорация — всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, API и кастомные интеграции | по запросу | крупный бизнес |
Итоговая сумма зависит от численности штата, выбранного тарифа и набора подключаемых модулей — от простого хранения до интеграции с 1С и электронного архива. Сверить, что входит в каждый пакет, помогут актуальные тарифы сервиса Добыто КЭДО — там указана и минимальная оплата, и состав функций по каждому уровню.
Ошибки при работе с ключом проверки и сертификатом
Ошибка первая — путать ключ подписи с ключом проверки и хранить закрытку как попало. Делают так ради экономии времени: скопировали ключ на рабочий стол, чтобы каждый раз не доставать токен. Цена ошибки прямая — компрометация. Если чужой получил вашу закрытку, он подписывает документы от вашего имени, и оспорить это тяжело. По закону вы обязаны уведомить УЦ о компрометации в течение одного рабочего дня.
Ошибка вторая — не следить за сроком действия сертификата и ключа. Мотив понятный: подпись работает, значит всё хорошо. А потом сертификат вышел, документооборот встал, доступ к торгам и госпорталам пропал. Срок действия видно в личном кабинете на Госуслугах, и продлевать сертификат лучше заранее — пока старый ещё действует, во многих случаях перевыпуск делается дистанционно за 10-15 минут.
Ошибка третья — принимать «штампик» на PDF за доказательство. Синенький квадратик с подписью на документе сам по себе ничего не подтверждает, это графическая плашка. Доказательство — результат криптографической проверки: пересчёт хэша, сверка ключом проверки, статус сертификата на дату подписания. Для долгого хранения к подписи добавляют метку доверенного времени (п. 19 ст. 2 63-ФЗ), чтобы подпись оставалась проверяемой даже после окончания срока сертификата — в практике это называют ухаживанием за подписью.
Мария Ж, HR-эксперт с 13-летним стажем:
«Кадровики иногда думают: раз на приказе появилась плашечка с ФИО — всё, документ подписан. А потом на проверке выясняется, что это картинка, а криптографической подписи под файлом нет. Мы поэтому в КЭДО всю цепочку подписей фиксируем с метками времени — чтобы через три года можно было выгрузить документ с подписями и спокойно показать инспектору, а не искать концы.»
Выводы: что нужно знать о ключе проверки ЭП
Ключ проверки электронной подписи — это открытый ключ из ключевой пары, публичное число, однозначно связанное с закрытым ключом подписи и предназначенное для проверки подлинности подписи (п. 5 ст. 2 63-ФЗ). Закрытым ключом подписывают и держат его в секрете, открытым проверяют и раздают свободно. По открытому ключу вычислить закрытый нельзя — на этом стоит вся асимметричная криптография. Сам ключ проверки живёт внутри сертификата, который выпускает удостоверяющий центр и который привязывает ключ к конкретному владельцу по ст. 17 63-ФЗ.
На практике держитесь трёх правил. Берегите закрытый ключ — лучше на токене с генерацией на борту или в облаке, при компрометации уведомляйте УЦ за один рабочий день. Следите за сроком сертификата через личный кабинет на Госуслугах и продлевайте заранее. И не путайте графическую плашку с настоящей проверкой: доказательство — это пересчёт хэша и сверка ключом проверки, а для архива добавляйте метку доверенного времени. Вид подписи подбирайте под задачу: для внутренних кадровых документов часто хватает ПЭП или УНЭП, УКЭП нужна не везде.
В ближайшее время требований к УКЭП будет только больше — отдельные виды документов уже нельзя подать без квалифицированной подписи, а сертификаты на сотрудников юрлиц окончательно заменила связка личной УКЭП и МЧД. Криптостандарты тоже сдвигаются: старые версии средств подписи выводятся из обращения, поэтому держите ПО в актуальной версии, иначе даже верный ключ проверки не спасёт.
Часто задаваемые вопросы
Чем ключ проверки ЭП отличается от ключа подписи?
Ключ проверки ЭП и сертификат ключа проверки — это одно и то же?
Можно ли по ключу проверки восстановить ключ подписи?
Где хранится ключ проверки электронной подписи?
Как проверить подлинность электронной подписи под документом?
Есть ли ключ проверки у простой электронной подписи?
Что содержится в квалифицированном сертификате ключа проверки?
Сколько действует сертификат ключа проверки ЭП?
Что делать, если ключ подписи скомпрометирован?
Почему подпись перестаёт проверяться после смены криптоалгоритмов?
Токен или облако — где надёжнее хранить ключ?
Нужна ли УКЭП для всех кадровых документов?
Вы разобрались, как устроены ключ подписи, ключ проверки и сертификат и как проходит проверка подписи. Дальше начинается практика: подобрать вид подписи под каждый кадровый документ, решить, где хранить закрытый ключ, и завести всё это на реальный штат без сбоев и переплат за токены. Мы в Добыто ведём этот путь от первой настройки до самостоятельной работы кадровой службы.
Сервис подключил сотни компаний к кадровому ЭДО — от небольших команд до организаций с несколькими тысячами сотрудников в разных регионах. Мы знаем, как ложится подпись на каждый процесс и как выстроить схему, которую потом спокойно покажешь на проверке.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — под любой кадровый процесс
- Мобильное приложение и Госключ для подписания с телефона, без токена и установки криптопровайдера
- Вся цепочка подписей фиксируется с метками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Готовый коннектор с 1С (ЗУП, КА) — отправка на подписание одной кнопкой из привычного интерфейса
- Хранение документов с подписями до 50 лет с доступом к архиву
- Работа со штатными сотрудниками, самозанятыми и ГПХ в одном сервисе