Открытая и закрытая части ЭЦП: как экспортировать в 2026

Как экспортировать открытую и закрытую части ключа электронной подписи

Экспорт ключей электронной подписи — задача, которая рано или поздно встаёт перед каждым, кто работает с ЭП в штатном режиме. Меняется компьютер — нужно перенести контейнер. Токен выходит из строя — требуется резервная копия. Сотрудник увольняется — необходимо передать доступ к корпоративной подписи. Всё это сценарии, в которых экспорт ключа становится не абстрактной опцией криптопровайдера, а практической необходимостью.

Мы рассмотрим, как технически корректно экспортировать открытую и закрытую части ключа, какие инструменты для этого нужны и — что не менее важно — какие риски сопровождают этот процесс. Материал адресован бухгалтерам, ИП, IT-специалистам и всем, кто сталкивается с электронным документооборотом и хочет понимать механику работы с криптографическими контейнерами, а не просто «нажимать кнопки по инструкции».

Вы можете заказать создание МЧД у наших специалистов, просто оставьте заявку в форме Создать МЧД

Отдельное внимание уделим тому, что не все ключи можно экспортировать — например, подписи, выданные ФНС России, жёстко привязаны к носителю. Разберёмся, почему так происходит и как обойти ограничения в рамках закона.

Что такое открытая и закрытая часть ключа электронной подписи

Прежде чем экспортировать что-либо, полезно понять, с чем именно мы работаем. Электронная подпись строится на асимметричной криптографии — системе, в которой один ключ шифрует, а другой расшифровывает. Это не магия, а математика: два больших простых числа, перемноженные определённым образом, дают пару ключей, которые связаны, но один из другого не выводится.

В составе ЭП три компонента: закрытый ключ, открытый ключ и сертификат. Они работают как единая система, но выполняют разные функции. Рассмотрим каждый подробнее.

Открытая часть ключа — что это и зачем нужна

Открытый ключ — это публичная часть криптографической пары. Его можно (и нужно) передавать контрагентам, публиковать на сайте, отправлять по электронной почте. Компрометация открытого ключа не приводит к утечке конфиденциальных данных — он для того и создан, чтобы быть доступным.

Основная функция открытого ключа — проверка подлинности электронной подписи. Получатель документа использует его, чтобы убедиться: подпись действительно создана владельцем соответствующего закрытого ключа, документ не изменён после подписания, сертификат действителен. Технически это выглядит как расшифровка хеш-функции документа и сравнение результата с исходным хешем.

Закрытая часть ключа — что это и почему это важно

Закрытый ключ — сердце электронной подписи. Именно он используется для создания подписи: программа вычисляет хеш документа и шифрует его закрытым ключом. Результат — цифровая подпись, которую можно проверить открытым ключом.

Закрытый ключ хранится на защищённом носителе (токен, смарт-карта, реже — в контейнере на жёстком диске) и должен быть доступен только владельцу. Утечка закрытого ключа означает, что любой, кто им завладел, может подписывать документы от вашего имени — со всеми юридическими последствиями. Именно поэтому экспорт закрытого ключа требует повышенной осторожности.

Сертификат — его роль и связь с ключами

Сертификат (файл с расширением .CER или .CRT) — это цифровой документ, который связывает открытый ключ с личностью владельца и подтверждает его легитимность. В составе сертификата: открытый ключ, данные владельца (ФИО, ИНН, должность), срок действия, название алгоритма шифрования (обычно ГОСТ Р 34.10-2012), информация об удостоверяющем центре (УЦ), который выпустил сертификат.

Сертификат выдаёт и подписывает УЦ — по сути, это третья доверенная сторона, которая гарантирует: «Да, этот открытый ключ принадлежит именно Ивану Петрову, мы проверили его паспорт». Без сертификата открытый ключ бесполезен — никто не поверит, что он ваш.

Почему может понадобиться экспорт ключей

Экспорт ключа — не прихоть, а техническая необходимость, которая возникает в конкретных ситуациях. Разберём, когда это действительно нужно и какие ограничения существуют.

Ситуации, требующие экспорта

Смена рабочего компьютера. Вы переходите на новую машину, а ключ записан на токене, который настроен под старую ОС или требует переустановки драйверов. Экспорт позволяет перенести контейнер и продолжить работу без обращения в УЦ за перевыпуском.

Резервное копирование. Токены ломаются, смарт-карты теряются. Резервная копия закрытого ключа на защищённом носителе (например, зашифрованной флешке в сейфе) — страховка от простоя. Без неё при потере токена придётся заказывать новый сертификат, ждать курьера и останавливать документооборот.

Переход на другой носитель. Вы работали с токеном Рутокен, но компания перешла на JaCarta — нужно экспортировать ключ и импортировать его на новое устройство. Или наоборот: хотите перенести ключ с токена на защищённый контейнер на локальном диске (хотя это снижает уровень безопасности).

Увольнение сотрудника или передача полномочий. Корпоративный ключ принадлежит должности, а не человеку. При смене бухгалтера нужно передать доступ к ЭП — экспорт упрощает процедуру, хотя юридически корректнее выпустить новый сертификат на нового сотрудника.

Смена криптопровайдера. Редко, но случается: переход с КриптоПро на ViPNet CSP или другой софт требует экспорта контейнера в универсальный формат и повторного импорта.

Что можно экспортировать и что нельзя

Не все ключи подлежат экспорту — это зависит от политики УЦ и настроек контейнера. Ключевое ограничение: неэкспортируемые контейнеры. При создании ключевой пары можно явно указать флаг «неэкспортируемый» — такой ключ навсегда привязан к носителю и извлечь его штатными средствами невозможно.

Пример из практики: ключи, выданные ФНС России для работы с личным кабинетом налогоплательщика, жёстко привязаны к токену. Экспортировать их нельзя — такова политика ведомства. Если токен сломался, придётся получать новую ЭП в налоговой. Аналогичные ограничения встречаются у некоторых банков и госструктур.

Что можно экспортировать: открытый ключ (сертификат) — всегда, без ограничений; закрытый ключ — только если контейнер помечен как экспортируемый и у вас есть PIN-код (или пароль) доступа к нему.

Проверка возможности экспорта: в КриптоПро CSP откройте свойства контейнера — если кнопка «Экспортировать закрытый ключ» неактивна (серая), значит, контейнер неэкспортируемый. Альтернатива — обратиться в УЦ с запросом на перевыпуск ключа на новый носитель.

Подготовка к экспорту ключей

Экспорт ключа — не операция «в один клик». Чтобы процесс прошёл гладко и без потери данных, нужно заранее подготовить инфраструктуру: установить ПО, проверить лицензии, выбрать носитель и убедиться, что контейнер в порядке.

Необходимое ПО и лицензии

КриптоПро CSP — основной криптопровайдер в российской практике. Для экспорта нужна действующая лицензия (хотя бы тестовая на 3 месяца). Скачать дистрибутив можно с официального сайта cryptopro.ru, установка стандартная. После установки проверьте версию: актуальные релизы — 5.0.12000 и выше, они поддерживают современные алгоритмы ГОСТ Р 34.10-2012 (256 и 512 бит).

Системная утилита «Сертификаты» (certmgr.msc) — встроена в Windows, дополнительной установки не требует. Используется для просмотра сертификатов и экспорта открытого ключа. Запускается через «Выполнить» (Win+R) командой certmgr.msc.

Драйверы токена или смарт-карты. Если ключ записан на Рутокен, JaCarta, eToken или другом носителе, установите драйверы производителя. Без них система не увидит устройство, и экспорт будет невозможен. Проверка: подключите токен, откройте «Диспетчер устройств» — устройство должно определиться без восклицательных знаков.

Права администратора. Некоторые операции (например, установка сертификата в системное хранилище или изменение настроек КриптоПро) требуют повышенных привилегий. Если работаете на корпоративном ПК, заранее согласуйте доступ с IT-отделом.

Выбор носителя и подготовка к переносу

Куда экспортировать ключ? Варианты зависят от задачи и уровня требуемой безопасности.

Токен или смарт-карта — самый безопасный вариант. Закрытый ключ хранится в защищённой памяти устройства и физически не извлекается. Минус — нужен новый токен, если старый вышел из строя.

Зашифрованная флешка — компромиссный вариант для резервной копии. Используйте аппаратное шифрование (например, Kingston IronKey) или программное (VeraCrypt, BitLocker). Обычная флешка без шифрования — это риск: потеря носителя равна компрометации ключа.

Локальный диск (защищённая папка) — наименее безопасный вариант, но допустимый для временного хранения в процессе переноса. Обязательно установите пароль на контейнер и удалите файл сразу после импорта на целевой носитель.

Важно: перед переносом сделайте резервную копию исходного контейнера. Если что-то пойдёт не так (например, забудете пароль или файл повредится), у вас останется рабочая версия на исходном токене.

Проверка состояния ключа и контейнера

Перед экспортом убедитесь, что ключ «здоров» и готов к переносу.

Шаг 1. Проверка срока действия сертификата. Откройте КриптоПро CSP → «Сервис» → «Просмотреть сертификаты в контейнере». Если сертификат истёк или истекает через несколько дней, экспорт теряет смысл — проще заказать новый в УЦ.

Шаг 2. Проверка флага экспортируемости. В свойствах контейнера посмотрите, активна ли кнопка «Экспортировать закрытый ключ». Если нет — контейнер неэкспортируемый, придётся обращаться в УЦ.

Шаг 3. Проверка PIN-кода. Попробуйте подписать тестовый документ или открыть контейнер с вводом PIN. Если забыли PIN и нет PUK-кода для сброса — экспорт невозможен.

Чек-лист подготовки:

• Установлен КриптоПро CSP с действующей лицензией
• Подключён токен, драйверы загружены
• Известен PIN-код (или пароль) контейнера
• Сертификат действителен и не отозван
• Контейнер помечен как экспортируемый
• Подготовлен целевой носитель (токен/флешка)
• Создана резервная копия исходного контейнера

Как экспортировать открытую часть ключа (инструкция)

Экспорт открытого ключа (сертификата) — операция простая и безопасная. Его можно передавать кому угодно, поэтому ограничений нет. Рассмотрим два основных способа.

Способ 1: через системную утилиту «Сертификаты» (Windows)

Этот метод не требует КриптоПро и работает на любой Windows с установленным сертификатом.

Шаг 1. Нажмите Win+R, введите certmgr.msc и нажмите Enter. Откроется консоль управления сертификатами.

Шаг 2. В левой панели разверните папку «Личное» → «Сертификаты». Найдите нужный сертификат (ориентируйтесь по имени владельца и сроку действия).

Шаг 3. Кликните правой кнопкой мыши по сертификату → «Все задачи» → «Экспортировать». Запустится мастер экспорта сертификатов.

Шаг 4. На вопрос «Экспортировать закрытый ключ?» выберите «Нет, не экспортировать закрытый ключ». Нажмите «Далее».

Шаг 5. Выберите формат файла: «Сертификат X.509 в кодировке DER (.CER)» или «Сертификат X.509 в кодировке Base-64 (.CER)». Разницу объясним ниже. Нажмите «Далее».

Шаг 6. Укажите путь для сохранения файла (например, C:\Temp\certificate.cer) и нажмите «Готово». Сертификат экспортирован.

Способ 2: через КриптоПро CSP

Если нужно экспортировать сертификат непосредственно из контейнера на токене, используйте КриптоПро.

Шаг 1. Откройте «Панель управления» → «КриптоПро CSP».

Шаг 2. Перейдите на вкладку «Сервис» и выберите «Просмотреть сертификаты в контейнере».

Шаг 3. Нажмите «Обзор», найдите нужный контейнер (он может находиться на токене или в реестре), выделите его и нажмите «ОК».

Шаг 4. В открывшемся окне свойств сертификата перейдите на вкладку «Состав» и нажмите «Копировать в файл».

Шаг 5. Запустится мастер экспорта. Выберите формат X.509 (.CER) в кодировке DER или Base-64, укажите путь сохранения и завершите экспорт.

Форматы файлов: что выбрать?

При экспорте открытого ключа вам предложат несколько форматов. Разберёмся в отличиях.

Наш совет: для передачи контрагентам используйте DER — это стандарт де-факто в российском ЭДО. Если получатель просит «в Base-64» (например, для вставки в веб-форму), конвертируйте через OpenSSL или КриптоПро.

Проверка экспортированного сертификата: дважды кликните по файлу .CER — Windows откроет просмотрщик сертификатов. Убедитесь, что отображаются корректные данные владельца и срок действия.

Как экспортировать закрытую часть ключа (инструкция)

Экспорт закрытого ключа — операция более деликатная. Здесь речь идёт о данных, компрометация которых равносильна передаче права подписи третьим лицам. Поэтому процесс требует повышенного внимания и строгого соблюдения мер безопасности.

Экспорт через КриптоПро CSP — контейнер закрытого ключа

Это основной метод экспорта закрытого ключа в российской практике. Системная утилита «Сертификаты» (certmgr.msc) позволяет экспортировать закрытый ключ в формат PFX, но КриптоПро даёт больше контроля над процессом.

Шаг 1. Подключите токен (если ключ на носителе) и запустите «КриптоПро CSP» через «Панель управления».

Шаг 2. Перейдите на вкладку «Сервис» и выберите «Скопировать контейнер» (в некоторых версиях — «Экспортировать закрытый ключ» или «Копировать»).

Шаг 3. В поле «Скопировать из» нажмите «Обзор» и выберите исходный контейнер. Если ключ на токене, он отобразится в списке устройств (например, «\.\Актив Рутокен EDS 2.0\12345678»). Выделите контейнер и нажмите «ОК».

Шаг 4. Введите PIN-код (или пароль) для доступа к контейнеру. Без корректного PIN экспорт невозможен — это основная защита от несанкционированного копирования.

Шаг 5. В поле «Скопировать в» укажите целевое расположение:

• Если переносите на другой токен — выберите устройство из списка.
• Если сохраняете в файл — выберите «Реестр» или «HDImageStore» (файловое хранилище) и задайте имя контейнера (например, backup_key_2025).

Шаг 6. Задайте пароль для нового контейнера. Это обязательный шаг — без пароля закрытый ключ не будет защищён. Используйте сложную комбинацию (минимум 12 символов, буквы разного регистра, цифры, спецсимволы).

Шаг 7. Нажмите «Готово». КриптоПро скопирует контейнер в указанное место. Если экспортируете в файл, контейнер сохранится в папке:

• Windows: C:\Users\[имя_пользователя]\AppData\Local\Crypto Pro\
• Для переноса: скопируйте папку с именем контейнера на защищённый носитель.

Важно: после экспорта в файл не забудьте удалить копию из файловой системы, если она больше не нужна. Хранение закрытого ключа на незащищённом диске — серьёзный риск.

Ограничения и исключения — когда экспорт невозможен

Не все закрытые ключи можно экспортировать. Существует несколько барьеров, которые блокируют операцию на уровне технологии или политики УЦ.

Неэкспортируемые контейнеры. При генерации ключевой пары можно установить флаг «non-exportable» — такой ключ навсегда остаётся в контейнере. Проверка: если в КриптоПро кнопка «Скопировать контейнер» неактивна или появляется ошибка «Контейнер не поддерживает экспорт», значит, ключ неэкспортируемый.

Ключи, выданные ФНС России. Налоговая служба выдаёт ЭП на токенах с жёсткой привязкой — экспортировать их невозможно по требованиям безопасности ведомства. Если токен сломался, придётся лично обращаться в инспекцию за новым. Аналогичные ограничения встречаются у некоторых банков (например, для корпоративных клиент-банков) и госструктур.

Отсутствие PIN-кода или пароля. Без аутентификации контейнер не откроется. Если забыли PIN и нет PUK-кода для сброса — экспорт блокирован. В этом случае единственный путь — перевыпуск ключа в УЦ.

Повреждённый контейнер. Если токен частично вышел из строя (читается, но с ошибками), экспорт может прерваться или создать нерабочую копию. Перед экспортом проверьте ключ: подпишите тестовый документ — если подпись проходит, контейнер цел.

Что делать, если экспорт невозможен?

• Обратитесь в УЦ за перевыпуском сертификата на новый носитель. Некоторые центры предлагают услугу «дубликат на другом токене» — это быстрее, чем выпуск с нуля.
• Если токен на гарантии — замените устройство у производителя, затем закажите перевыпуск ключа.
• В критической ситуации (ключ утерян, токен украден) — немедленно отзовите сертификат через УЦ, чтобы предотвратить мошенническое использование.

Безопасность, риски и лучшие практики при экспорте ключей

Экспорт закрытого ключа — технически законная операция, но юридически и организационно рискованная. Разберём, что может пойти не так и как минимизировать угрозы.

Основные риски — утечка, несанкционированное использование

Компрометация закрытого ключа. Если файл контейнера попадёт в чужие руки, злоумышленник сможет подписывать документы от вашего имени. Юридически такая подпись будет считаться действительной до момента официального отзыва сертификата. Последствия: заключение фиктивных договоров, фальсификация отчётности, финансовые потери.

Утечка через незащищённые каналы. Пересылка контейнера по электронной почте без шифрования, хранение на облачном диске (Dropbox, Google Drive) без дополнительной защиты, копирование на общедоступную флешку — всё это сценарии утечки. Даже если файл защищён паролем, подбор методом brute-force при слабом пароле (например, «123456» или дата рождения) — вопрос времени.

Внутренние угрозы. Сотрудник с доступом к корпоративному ключу увольняется и уносит копию контейнера. Или IT-специалист создаёт резервную копию «на всякий случай» и забывает её на рабочем столе сервера. Статистика утверждает: до 60% инцидентов с ЭП связаны с действиями инсайдеров, а не внешних хакеров.

Социальная инженерия. Мошенники звонят от имени «технической поддержки УЦ» и просят «для проверки» прислать файл контейнера и пароль. Или фишинговое письмо с темой «Ваш сертификат истекает, экспортируйте ключ по ссылке». Звучит наивно, но такие схемы работают — особенно с неподготовленными пользователями.

Как обеспечить безопасный перенос и хранение

Используйте сильные пароли. При экспорте контейнера задавайте пароль длиной минимум 12–16 символов с миксом букв, цифр и спецсимволов. Избегайте словарных слов, дат, имён. Храните пароль в менеджере паролей (KeePass, Bitwarden), а не в текстовом файле на рабочем столе.

Шифруйте файлы контейнеров. Если сохраняете закрытый ключ на флешке или диске, используйте дополнительное шифрование: VeraCrypt, BitLocker (для Windows Pro), аппаратное шифрование на уровне носителя (например, Kingston IronKey). Без доступа к зашифрованному тому файл контейнера бесполезен.

Физическая безопасность носителей. Резервный токен или флешку с ключом храните в сейфе или запираемом шкафу. Не оставляйте на рабочем столе, не носите в кармане вместе с обычными USB-накопителями. Если токен утерян — считайте, что ключ скомпрометирован, и действуйте соответственно (см. ниже).

Ограничьте круг лиц с доступом. Корпоративный ключ не должен быть доступен всем подряд. Если возможно, используйте двухфакторную аутентификацию: токен + PIN известен только ответственному сотруднику, а резервная копия в сейфе требует разрешения руководителя для извлечения.

Удаляйте временные копии. После импорта ключа на новый носитель удалите файл контейнера с временного хранилища (жёсткий диск, сетевая папка). Используйте безопасное удаление (например, утилита sdelete для Windows или shred для Linux), чтобы исключить восстановление данных.

Логируйте операции экспорта. В корпоративной среде настройте аудит: кто, когда и с какого компьютера экспортировал ключ. КриптоПро поддерживает журналирование, но это нужно явно включать в настройках.

Что делать при компрометации ключа

Если есть подозрение, что закрытый ключ попал в чужие руки (утерян токен, украден файл контейнера, утечка пароля), действуйте немедленно.

Шаг 1. Отзовите сертификат. Обратитесь в УЦ (по телефону, через личный кабинет или лично) с заявлением об отзыве. После отзыва сертификат попадёт в список отозванных (CRL — Certificate Revocation List), и любая проверка подписи покажет: «Сертификат недействителен». Отзыв необратим — придётся выпускать новый сертификат.

Шаг 2. Уведомите контрагентов. Если подпись использовалась в ЭДО с партнёрами, сообщите им об отзыве. Это важно для документов, подписанных в период между компрометацией и отзывом: они юридически действительны, но могут быть оспорены.

Шаг 3. Измените пароли и PIN-коды. Если компрометирован не только ключ, но и учётные данные (например, пароль от личного кабинета УЦ), смените их. Проверьте журналы доступа: не было ли несанкционированных входов.

Шаг 4. Проанализируйте причину утечки. Как именно ключ был скомпрометирован? Слабый пароль, фишинг, кража токена? Устраните уязвимость, чтобы история не повторилась с новым сертификатом.

Шаг 5. Закажите перевыпуск. После отзыва обратитесь в УЦ за новым сертификатом. Процедура платная (обычно 1500–3000 рублей), требует повторной идентификации (иногда упрощённой, если с момента первого выпуска прошло немного времени).

Часто задаваемые вопросы (FAQ)

Можно ли экспортировать ключ без токена, если он на нём записан?

Нет. Для экспорта закрытого ключа токен должен быть физически подключён к компьютеру, а вы должны знать PIN-код. Если токен утерян или сломан, экспорт невозможен — придётся обращаться в УЦ за перевыпуском сертификата на новый носитель.

Какой формат выбрать при экспорте открытого ключа — DER или Base-64?

Для передачи контрагентам и импорта в системы ЭДО используйте DER — это стандарт в российской практике. Base-64 выбирайте, если получатель явно просит текстовый формат (например, для вставки в веб-форму) или работаете с legacy-системами, которые не читают бинарные файлы.

Что делать, если забыл PIN-код от токена?

Если есть PUK-код (код разблокировки), можно сбросить PIN через утилиту производителя токена (например, «Рутокен Плагин» для Рутокен). Если PUK-кода нет или он тоже утерян — контейнер заблокирован навсегда. Единственный выход — заказать новый сертификат в УЦ.

Можно ли экспортировать ключ, выданный ФНС или банком?

Зависит от политики эмитента. Ключи ФНС для личного кабинета налогоплательщика неэкспортируемые — это требование безопасности ведомства. Некоторые банки также блокируют экспорт корпоративных ключей. Уточните возможность экспорта в УЦ или у эмитента до попытки переноса.

Безопасно ли хранить резервную копию ключа на обычной флешке?

Нет. Обычная флешка без шифрования — это риск: при утере любой получит доступ к вашему закрытому ключу. Используйте аппаратное шифрование (флешки с защитой паролем) или программное (VeraCrypt, BitLocker). Ещё лучше — храните резервную копию на втором токене в сейфе.

Нужно ли удалять исходный контейнер после экспорта?

Не обязательно, но зависит от цели. Если переносите ключ с токена на новый носитель для постоянной работы — исходный контейнер можно оставить как резерв. Если создавали временную копию на диске для переноса — обязательно удалите после импорта, используя безопасное удаление (например, sdelete или shred).

Можно ли экспортировать ключ на несколько носителей одновременно?

Да, технически можно создать несколько копий контейнера (например, рабочий токен + резервный токен + зашифрованная флешка в сейфе). Но каждая копия — это дополнительная точка уязвимости. Ограничьте количество копий разумным минимумом и строго контролируйте доступ к ним.

Что будет, если кто-то подпишет документ моим экспортированным ключом?

Юридически такая подпись будет считаться вашей, пока сертификат не отозван. Доказать, что подпись поставлена не вами, крайне сложно — бремя доказывания компрометации ключа лежит на владельце. Поэтому критически важно: защищайте закрытый ключ, не передавайте его третьим лицам и при малейшем подозрении на утечку немедленно отзывайте сертификат.

Вывод и рекомендации

Экспорт ключей электронной подписи — процедура техническая, но требующая осознанного подхода. Открытую часть можно передавать свободно, закрытую — только с соблюдением жёстких мер безопасности. Основные правила: используйте сильные пароли, шифруйте файлы контейнеров, храните резервные копии на защищённых носителях и немедленно отзывайте сертификат при малейшем подозрении на компрометацию.

Мы разобрали сценарии, когда экспорт оправдан (смена компьютера, резервирование, перенос на новый токен), и ситуации, когда он невозможен (неэкспортируемые контейнеры ФНС, банков, утерянный PIN). Главное — помнить: каждая копия закрытого ключа вне защищённого токена увеличивает риск утечки. Поэтому экспортируйте только когда действительно нужно, а не «на всякий случай».

Что сделать прямо сейчас: Проверьте, экспортируем ли ваш текущий ключ (КриптоПро → «Сервис» → «Просмотреть сертификаты в контейнере» → попробуйте «Скопировать контейнер»). Если кнопка активна и вы давно не делали резервную копию — создайте её и храните в сейфе. Если кнопка неактивна — уточните в УЦ процедуру перевыпуска на случай потери токена. И последнее: периодически проверяйте срок действия сертификата — лучше продлить заранее, чем в срочном порядке останавливать документооборот.

Экспорт ключей — не панацея, а инструмент. Используйте его грамотно, и электронная подпись останется надёжным средством защиты ваших документов.