Лицензирование в области криптографии

Нет, не нужно. Например, некоторые системы банк-клиент такого сертификата не имеют, но пользуются лицензированными сертифицированными библиотеками (CryptoPro и т.д.) или этими вот ключиками.

В любом случае, на сайте производителя должна быть служба поддержки, которая компетентно разъяснит ситуацию с их продукцией :)

Смущает то, что как раз один из специалистов производителя токенов утверждает что для такого нужна лицензия.

Наверное имеется в виду не сертификат, а лицензия ФСБ на разработку? Лицензия скорее всего потребуется, если предполагается дальнейшая продажа продукта. А по поводу требования на контроль встраивания - это все зависит от того, с какими данными работает программа. Например если это гостайна или персональные данные, то контроль встраивания необходим 100%.

Продажа - нет. Проект предполагается социальный. Распространение будет. Если под распространением подразумевается в том числе и предоставление для скачивания без оплаты.

Сертификаты ЭЦП являются персональными данными?

Сертификат ЭЦП является средством криптозащиты, а не персональными данными.

Вообще, когда я общался с КриптоПро по поводу нашей системы, они посоветовали сделать следующее: составить письмо в 8-й отдел ФСБ с кратким описанием системы и вопросом: требуется лицензия для такой схемы или нет. И этим ответом в случае чего можно прикрываться

К сожалению, считаю, что этому отделу ФСБ совершенно не интересно что-то там анализировать и они просто сообщат что нужны лицензии. Вообще, я так понял, что если все делать по закону, даже при малейшем намеке на использование криптографии в разрабатываемом софте, компания должна оформлять все эти лицензии ФСБ. :(