Если заказчику требуется, что бы ЭЦП была юридически значимая, то нужно использовать "православные алгоритм и СКЗИ", в этом случае, если вы будите использовать "навесные" СКЗИ имеющие лицензию (Криптопро, Верба и т.п.), то лично вам ни чего не нужно лицензировать (дорогое удовольствие). Но если вы будите реализовывать СКЗИ или использовать не лицензированные, тогда нужно лицензироваться.
Если заказчику не нужно использовать юридически значимую ЭЦП, тогда ни чего не нужно, можете использовать всё что угодно, если ваша информационная система не попадает под ИСПДн.
Более того, если не ошибаюсь, то заказчик имеет право организовать свою инфраструктуру PKI и внутренними документами обозначить юридическую значимость, но это будет работать только между участниками, которые "договорились" о значимости таких ЭЦП. Но это опять, только, если вы не поподаете под ИСПДн и возможно некоторые другие системы.
