Ключи электронной подписи: что это, как работает и зачем они нужны электронной подписи
Ключ электронной подписи – это уникальная цифровая последовательность символов, которая позволяет создать усиленную подпись или убедиться в её подлинности. Именно ключи ЭП обеспечивают то, ради чего и создавалась электронная подпись: гарантию авторства и неизменности документа.
Если вы хотите понять, благодаря чему усиленная ЭП имеет юридическую силу, чем рискует бизнес при небрежном обращении с ключами и как правильно их хранить в 2026 году – советуем ознакомиться с этой статьёй. В материале разберём от базовых понятий до актуальных правил безопасности.
Что такое ключи электронной подписи
Ключ ЭП – это не физический предмет и не пароль в привычном смысле. Это математический инструмент, уникальная последовательность символов, созданная с помощью специальных криптографических алгоритмов. Проще говоря – длинный и сложный код, который невозможно угадать или подобрать перебором.
Важно понимать: ключей всегда два, и они неразрывно связаны между собой. Есть закрытый и открытый ключи. Вместе они образуют криптографическую пару. Один без другого не имеет смысла – как замок без ключа.
Зачем ключи нужны в создании и хранении ЭП
Ключи решают три фундаментальные задачи, которые делают электронный документооборот надёжным и юридически значимым.
1. Подтверждение авторства: только владелец закрытого ключа мог создать конкретно свою подпись.
2. Гарантия неизменности: если в документ после подписания внесли хоть одно исправление, это обнаружится при проверке подлинности ЭП.
3. Безопасность: криптографические ключи превращают усиленную ЭП в математически защищённый инструмент, подделать который технически невозможно.
Принцип работы: асимметричное шифрование
В основе электронной подписи лежит асимметричное шифрование – технология, которая использует как раз те самые ключи: один для создания подписи, другой для её проверки. Суть такого шифрования в том, что зная открытый ключ, всё равно невозможно вычислить закрытый – задача слишком сложна даже для мощнейших компьютеров мира.
Закрытый ключ
Закрытый ключ – это ценная и секретная часть, которая хранится строго у владельца.
Для создания усиленных видов электронной подписи (УНЭП и УКЭП) применяются средства криптографической защиты информации (СКЗИ). Когда вы подписываете документ, в работу включается СКЗИ и происходит процесс шифрования: программа вычисляет уникальный математический «слепок» (хеш документа), а затем применяет к этому хешу закрытый ключ, что и формирует электронную подпись. Воспроизвести её без этого конкретного ключа невозможно.
Закрытый ключ не должен использовать никто, кроме его владельца. На практике сам код ключа никто и не сможет узнать – он надёжно зашифрован и находится на защищённом носителе. Поэтому пользователь подвергает себя колоссальному риску именно в тот момент, когда передаёт этот носитель и, соответственно, доступ к ключу третьим лицам.
Никогда не отдавайте свой носитель с ключом ни коллегам, ни бухгалтеру, ни другим лицам. Физическая передача носителя – это передача возможности подписи на любых документах без ограничений.
Открытый ключ
Открытый ключ находится в публичном доступе. Он передаётся контрагентам вместе с документом (обычно внутри сертификата) и используется исключительно для одной цели – проверки подписи.
Открытый ключ выполняет алгоритм расшифровки подписи, и получатель документа может убедиться: действительно ли она создана владельцем соответствующего закрытого ключа и не менялся ли документ после подписания. Знание открытого ключа не даёт никакой возможности подделать подпись.
Совместная работа ключей: пошаговый процесс
Так выглядит полный цикл подписания и проверки документа:
-
Создание хеш-суммы. Программа, в зависимости от применяемого алгоритма, вычисляет уникальный цифровой «отпечаток» документа – хеш. Если в документе изменится или добавится хотя бы один символ, хеш тоже меняется.
-
Шифрование хеша закрытым ключом. Полученный хеш шифруется закрытым ключом отправителя – на этом этапе и формируется сама электронная подпись.
-
Повторное вычисление хеша. После того, как вторая сторона получила документ и файл подписи, программа заново вычисляет хеш полученного документа.
-
Расшифровка подписи. С помощью открытого ключа из сертификата расшифровывается подпись – извлекается исходный хеш, который зашифровал отправитель. Это также настроено автоматически.
-
Сравнение. Два значения сопоставляются. Совпадают – документ подлинный и не изменялся. Не совпадают – что-то пошло не так.
Что такое сертификат ключа проверки ЭП и в чём его отличие от ключей
Ключи сами по себе анонимны: набор символов, который не позволит определить авторство.
А вот сертификат ключа проверки ЭП хранит в себе необходимую информацию. Это электронный или бумажный документ, который выдаёт аккредитованный Удостоверяющий центр (УЦ). Он содержит данные открытого ключа и официальную информацию о его владельце: ФИО, ИНН, СНИЛС, ОГРН организации, данные самого УЦ и срок действия.
Задача сертификата — связать открытый ключ с конкретным человеком или компанией и подтвердить эту связь в понятном для принимающей стороны виде. Благодаря сертификату проще проверить, кому принадлежит подпись и на каком основании она была выпущена.
|
Критерий |
Ключ ЭП |
Сертификат ЭП |
|---|---|---|
|
Назначение |
Формирует подпись (закрытый) или проверяет её (открытый) |
Подтверждает принадлежность открытого ключа конкретному лицу |
|
Что содержит |
Набор битов и байтов для криптографического преобразования |
Открытый ключ, ФИО, СНИЛС, ИНН, данные УЦ, срок действия |
|
Кто создаёт |
Генерируется средством криптозащиты (СКЗИ) |
Выдаётся аккредитованным удостоверяющим центром (УЦ) |
|
Срок действия |
Технически бессрочен, но регламентирован правилами УЦ |
Действует обычно 12 или 15 месяцев, требует перевыпуска |
Где и как хранить ключ ЭП в 2026 году
Надёжность хранения закрытого ключа – это надёжность всей вашей электронной подписи. Утечка ключа равнозначна потере контроля над вашей цифровой личностью. В 2026 году доступны три основных подхода.
Мобильное приложение, например, Sign.Me
Современный и удобный способ хранения закрытого ключа для УНЭП и УКЭП – прежде всего для физических лиц и тех, кто работает «в движении». Ключ хранится в защищённом хранилище мобильного устройства.
Приложение Sign.Me позволяет выпустить и использовать усиленную электронную подпись прямо в смартфоне. Подходит для подписания договоров, кадровых документов и других повседневных задач. Это, пожалуй, самый доступный и комфортный вариант для тех, кто не хочет носить с собой дополнительные устройства.
Хранение в облаке
Этим способом можно хранить закрытый ключ от УНЭП, для УКЭП он не подходит. В данном случае закрытый ключ хранится на защищённом облачном сервере. Доступ к нему владелец может получить с любого устройства, подключенного к интернету, достаточно зайти в личный кабинет. Физического носителя нет, а значит риски забыть, потерять или сломать смартфон или токен сведены к нулю.
USB-токены
Сертифицированный USB-токен – базовый инструмент для руководителей компаний и индивидуальных предпринимателей, так как УКЭП ФНС хранится именно на нем. Закрытый ключ генерируется и хранится внутри защищённого чипа – он никогда физически не покидает устройство. Криптографические операции выполняются прямо на токене. Минус один – мобильность: токен нужно иметь при себе и подключать к компьютеру каждый раз при подписании, что не всегда удобно. А ещё для его использования требуется настройка и установка дополнительного ПО (плагинов). Для обычных пользователей это может оказаться сложным процессом.
Что такое компрометация ключа и чем она грозит
Компрометация ключа – это любая ситуация, при которой закрытый ключ мог стать известен третьим лицам.
Типичные причины: кража или потеря носителя, добровольное предоставление доступа к ключу третьим лицам, передача устройства на ремонт без предварительного блокирования.
Последствия могут быть серьёзными: злоумышленник с вашим закрытым ключом может подписывать любые документы от вашего имени.
Что делать при компрометации ключа?
-
Прекратить использование скомпрометированного носителя во всех системах.
-
Обратиться в удостоверяющий центр, выдавший подпись, и подать заявление на отзыв сертификата.
-
Параллельно со вторым пунктом – обратиться к оператору сервиса подписания и заблокировать учётную запись.
-
Выпустить новую ключевую пару и получить свежий сертификат.
-
Провести аудит документов, подписанных в период возможной утечки.
Сертификат признаётся недействительным с даты отзыва. Все документы, подписанные после этой даты скомпрометированным ключом, теряют юридическую силу.
Почему нельзя передавать ключ и как МЧД решает эту проблему
Федеральный закон № 63-ФЗ «Об электронной подписи» однозначен: владелец ключа обязан обеспечивать его конфиденциальность и не передавать третьим лицам. Передача закрытого ключа – это прямое нарушение закона.
Но как тогда подписывать документы от лица компании? Для этого существует машиночитаемая доверенность (МЧД) – электронный аналог бумажной доверенности в специальном машиночитаемом формате XML.
Схема работает так: сотрудник получает собственную УКЭП физического лица в УЦ. Руководитель подписывает своей подписью МЧД, которая фиксирует конкретные полномочия сотрудника – например, право подписывать счета-фактуры или кадровые документы. При подписании рабочих документов сотрудник прикладывает МЧД, и принимающая сторона автоматически проверяет его полномочия в реестре ФНС.
Частые вопросы о ключах и сертификатах (FAQ)
Можно ли скопировать ключ электронной подписи?
Зависит от носителя. Существует ещё одно хранилище для ключа, о котором мы не упомянули в статье – реестр Windows. Если ключ хранится там – его можно скопировать стандартными средствами системы. Именно поэтому такой способ хранения считается ненадёжным, а для УКЭП он и вовсе незаконен, поэтому на практике его почти не используют. Если же ключ записан на токен, хранится в приложении на смартфоне или в облаке – извлечь его невозможно: криптографические операции происходят внутри защищённого чипа, и данные физически невозможно скопировать/перенести/передать.
Сколько действует ключ электронной подписи?
Срок действия ключа всегда привязан к сертификату, который в свою очередь ограничен по времени – обычно 12 или 15 месяцев. После истечения срока действия сертификат нужно перевыпустить: без действующего сертификата ключ лишается юридического смысла, так как теряется официальная привязка к личности владельца.
Можно ли иметь несколько ключей ЭП?
Да, законодательство это разрешает. Вы можете иметь несколько подписей для разных задач: одну – для торгов, другую – для налоговой, третью – для кадрового ЭДО. Ограничение есть только для токенов: хранить УКЭП разных людей на одном USB-носителе запрещено. Один носитель должен принадлежать строго одному владельцу. При этом несколько КЭП одного владельца можно записать на один токен – например, если человек является генеральным директором в двух организациях.
