Только сейчас дошло.
Если подпись сделана JavaScript'ом в браузере и валидирована НУЦ'ем на сервере
это и является доказательством равнозначности клиентской и серверной библиотеки.
JavaScript библиотека валидируется НУЦ'евской библиотекой.
Тогда вроде всё совпало и теперь ключи не нужно телепортировать.
А зелёный https:// это просто прикрытие файловых операций.
Итого на сайте:
1) Допустимо иметь зелёный https:// для реализации безопасного соединения между клиентом и сервером по сертификату от удостоверяющих центров, расположенных за пределами РК.
2) Допустимо использовать для подписания любые библиотеки, если подпись валидируется библиотекой НУЦ.
Например:
Open-source реализации современных Российских криптоГОСТов
habrahabr.ru/post/273055/
Алгоритмы в открытом доступе, любой может убедиться в отсутствии закладок.
НУЦ сосредотачивает свой контроль над соблюдением правил применения необходимых хэш-функций,
поставляет бесплатный базовый набор инструментов работы с ключами в файлах для основных языков.
Базовый набор разрешён или запрещён к употреблению в перечне случаев.
Если кто-то готов раскошелиться на поддержку аппаратных устройств может обратиться к третьим фирмам.
Необязательно все манипуляции сосредотачивать на клиенте.
Как только клиент протолкнул подписанные данные и сертификат на сервер,
и серверная программа подпись и сертификат одобрила,
дальнейшие манипуляции любой сложности могут быть реализованы на любых языках на серверной стороне.
Конечное решение оценивает уполномоченный специалист.