Для надежной фиксации цифровых прав в правовом поле РФ, по крайне мере лет 10 назад, нужно было использовать одновременно:

1. Сертифицированный СКЗИ для подписания ГПХ договора, по которому возникают прав и обязанности.
2. Предварительно оформленное в простом письменном виде дополнительное соглашение обеих сторон договора, где они прописывают регламент использования СКЗИ для фиксации прав.
3. Стороны должны подписывать договор с помощью своей усиленной квалифицированной ЭЦП, полученной в сертифицированном удостоверяющем центре.

Если хоть один пункт из этого списка условий нарушен, то одна из сторон договора может обратиться в суд РФ и с большой долей вероятности признать цифровой договор недействительным (со всеми вытекающими юридически значимыми последствиями), ибо он заключен способом с нарушением полного списка требований законодательства РФ к оформлению договора. Возможно с тех пор что-то поменялось в законах, но IMHO это базовые условия без которых остальные маняврирования являются обычной ИМБУРДе, чтобы снизить свои расходы на настоящие квалифицированные ЭЦП в довольно мутной водичке очень скользкого аналога цифровой подписи (этакий подписявой продукт, если сравнивать с сырными продуктами и другими сомнительными субстанциями).

Пункт 2 самостоятельно выполнить чрезвычайно сложно, там требуется работы и компетенций целый вагон и маленькая тележка. По этой причине возникли сертифицированные SaaS для юридически значимого документооборота типа СКБ Контур Диадок.

И уже становится довольно очевидно, что при нынешнем разгуле троянов и буткитов даже сертифицированная ЭЦП даже на неизвлекаемых ключах Rutoken ECP2 не может полноценно защитить документооборот. Для полноценной защиты нужна хотя бы авторизация по кнопке на смарткарте, но Rutoken почему-то «любезно» свернул производство Rutoken ECP2 Touch. А еще нужна визуальная проверка текста подписываемого документа на дисплее внешнего аппаратного криптотокена. Возможно Rutoken ECP3 предоставляет хотя бы какой-то способ надежного второго фактора авторизации транзакции, более надежный чем набор пина на клаве зараженного компа, я пока подробно не разбирался с данным вопросом. Там вроде есть опция NFC, не уверен, может ли она помочь для более надежной авторизации, чтобы механизм подтверждения транзакции находился за пределами зараженного компа.

А нынешние попытки некоторых протолкнуть идею подписывать серьезные юридически значимые документы обычным Андроид приложением, да еще и без сильной сертифицированной криптографии, IMHO и назвать то трудно чем-то еще кроме как шизофренией в особо тяжелой форме. Ессно это всего лишь мое оценочное суждение, но IMHO очень близкое к сути обсуждаемого вопроса.