Мне как-то кажется, что стандартные ЭЦП подписывают хэш от бинарного потока.

Никто, правда, не может запретить Вам изобрести Ваш персональный стандарт ЭЦП.

IMHO & AFAIK

SergueiНастоящий стандарт определяет схему электронной цифровой подписи (ЭЦП) (далее по тексту — цифровая подпись), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.

Т.е. можно подписывать не только бинарники, но и "данные".
Я не очень понимаю, чем "бинарники" отличаются от "данных".

Подписывается ДОКУМЕНТ. Дальше, вопрос, что считать документом. Если в сообщении/документе (можно в xml или txt) указаны идентификаторы - Вы, разумеется, подпишите идентификаторы. Если в сообщении/документе указано что-то другое - Вы подпишите это что-то другое.

Никто не мешает внутрь сообщения вложить ID'шники. Или, послать два сообщения/документа одновременно.

В общем, не очень понятно о чем Вы говорите.

могу ли я использовать идентификаторы сущностей (товар, получатель и т.д.) для расчета хеша документа
Зачем такое странное желание?

"хеш документа" он и есть хеш документа , для его расчета самого документа достаточно

Идентификатор не изменяется со временем, но вот названия могут меняться. И в системе можно по id получить названия сущностей на момент времени где-то в прошлом (например на момент формирования ЭЦП).
И... в чем проблема?

Зачем в системе получать по Id название сущностей на момент времени, если в самом документе уже вся актуальная информация на этот момент времени присутствует. В чем смысл лишних шагов и дополнительных обращений к информационной системе?

474...некто имярек подписал вчера...
...а завтра...
А ЭЦП верна, т.е. информация неискажена...

Как такое может быть, не понятно. В ЭЦП должен присутствовать таймстепм. Хотя, например для подписей в системе СМЭВ, никаких таймстемпов не требуется.

Но, вроде, ЭЦП без таймстемпа подписью не считается. Так, фиговый листочек поверх файла приклеенный. IMHO & AFAIK

Честно говоря, я вообще плохо понял, что хочет топик-стартер.

Тот же ГИС ГМП в СМЭВ, спокойно идентифицирует людей по их СНИЛСУ. Т.е. по ID. И, наверное, особой проблемы в этом нет (особенно с учетом, что вся эта ГИС нифига не работает). Для обмена между информационными системами ID'ников вполне может быть достаточно.

Какую задачу решает автор, не очень понятно. Мне кажется, всегда можно передавать/подписывать и данные и ID. Больше не меньше. IMHO & AFAIK