главное вам уже ответили, я добавлю только, что ваша паранойя не то чтобы совсем безосновательна.
Дело в том, что с т.з. алгоритма RSA (у вас ведь RSA сертификат?) операция расшифрования эквивалентна операции выработки подписи. Атака, которая задействует этот факт весьма изощрённая, но не является невыполнимой. Её суть — вам посылается специальным образом сформированное «зашифрованное» письмо, при попытке расшифрования которого, вы, фактически вырабатываете подпись под некоторым хэш-значением. Если получится «увести» у вас результат этого расшифрования (даже без доступа к вашим ключам!), можно будет сформировать подписанный документ от вашего имени, используя текст, хэш от которого был вам «подсунут».
Вобщем, при уровне паранойи выше среднего, использовать один и тот же сертификат для шифрования и ЭЦП не стоит. Алсо, стоит проконтролировать остутствие NonRepudiation в сертификате шифрования.
