Электронная подпись давно перестала быть экзотикой и превратилась в обязательный инструмент для работы с государственными системами, участия в закупках и ведения юридически значимого документооборота. Файл с расширением .sig представляет собой открепленную электронную подпись, которую требуют практически все государственные информационные системы: Росреестр, портал Госуслуг, электронные торговые площадки, системы ЭДО с контрагентами и государственными органами.
Эта статья является частью нашего большого материала про электронную подпись и работу с ней. Здесь мы подробно разберем процесс создания SIG-файла через программы КриптоПро CSP версий 4.0 и 5.0, рассмотрим работу с КриптоАРМ и КриптоАРМ ГОСТ, дадим практические рекомендации для различных сценариев использования и разберем типичные ошибки с их решениями.
В этом материале вы узнаете: что такое SIG-файл и чем он принципиально отличается от форматов P7S и SGN, как создать открепленную подпись через встроенные Инструменты КриптоПро CSP 5.0 без установки дополнительного программного обеспечения, пошаговую инструкцию для КриптоАРМ с настройкой профилей для повторного использования, способы проверки подписи через государственные порталы Госуслуг и Росреестра, решение типичных технических проблем при подписании документов.
Автор статьи — Мария Ж., кофаундер сервиса электронного документооборота Добыто. Юрист с 20-летней практикой в области корпоративного права. В 2008 году получила красный диплом по специальности корпоративная практика. Руководитель HR-отдела. Спикер на профессиональных конференциях по КЭДО и юриспруденции.
Что такое SIG-файл: техническая основа и практическое применение
SIG-файл (от английского signature — подпись) представляет собой криптографический контейнер, содержащий электронную подпись документа в соответствии со стандартом PKCS#7 (Public Key Cryptography Standards номер 7). Ключевое отличие SIG-файла от других форматов электронной подписи заключается в том, что это открепленная (отсоединенная) подпись, которая хранится отдельно от исходного документа.
При создании присоединенной подписи исходный документ и его электронная подпись объединяются в один файл. Документ становится нечитаемым без специализированного программного обеспечения, способного извлечь и отобразить оригинальный контент. В случае с открепленной подписью ситуация принципиально иная: исходный файл остается в неизменном виде и доступен для просмотра любыми стандартными средствами, а электронная подпись формируется в виде отдельного файла с расширением .sig, .p7s или .sgn.
Технически при создании SIG-подписи происходит следующая последовательность криптографических операций. На первом этапе программа-криптопровайдер вычисляет хеш-сумму (дайджест) подписываемого документа с использованием криптографически стойкого алгоритма хеширования. В соответствии с российскими стандартами это алгоритм ГОСТ Р 34.11-2012 (Стрибог), который формирует уникальный отпечаток документа фиксированной длины 256 или 512 бит.
На втором этапе полученный хеш-код шифруется с использованием закрытого ключа владельца сертификата электронной подписи по алгоритму ГОСТ Р 34.10-2012. Результат этой операции и является собственно электронной подписью документа. На третьем этапе подпись вместе с информацией о сертификате подписанта упаковывается в структуру данных формата PKCS#7 и сохраняется в файл с выбранным расширением.
Сравнительная характеристика форматов файлов электронной подписи
| Расширение файла | Тип подписи | Техническая основа | Типичные области применения |
|---|---|---|---|
| .sig | Открепленная | PKCS#7 / CMS | Росреестр, торговые площадки, государственные порталы |
| .p7s | Открепленная | PKCS#7 / S/MIME | Электронная почта, корпоративный ЭДО, международный обмен |
| .sgn | Открепленная | PKCS#7 / CMS | Отдельные системы электронного документооборота |
| .p7m | Присоединенная | PKCS#7 / CMS | Защищенный обмен конфиденциальными документами |
С практической точки зрения файлы с расширениями SIG, P7S и SGN содержат абсолютно идентичную криптографическую структуру и полностью взаимозаменяемы. Различие заключается исключительно в расширении файла, которое определяется требованиями конкретной информационной системы. КриптоПро CSP по умолчанию создает файлы подписи с расширением .p7s, однако пользователь может без каких-либо последствий для работоспособности подписи изменить расширение на .sig при сохранении файла или после его создания.
+
Выбор открепленной подписи для государственных информационных систем обусловлен несколькими практическими соображениями. Во-первых, исходный документ остается доступным для просмотра стандартными средствами операционной системы без необходимости установки криптографического программного обеспечения. Это критически важно для обеспечения доступности государственных услуг для всех категорий пользователей.
Во-вторых, разделение документа и подписи упрощает техническую обработку: система может сначала проверить формат и структуру документа, а затем независимо верифицировать электронную подпись. Это повышает надежность и производительность обработки больших объемов документов.
В-третьих, при необходимости множественного подписания (например, несколькими согласующими лицами) к одному документу можно последовательно добавить несколько подписей, не изменяя структуру исходного файла.
Системные требования и подготовка рабочего места
Успешное создание электронной подписи в формате SIG требует правильной подготовки рабочего места. Отсутствие хотя бы одного из необходимых компонентов или его неверная конфигурация неизбежно приведет к ошибкам при попытке подписания документов. Рассмотрим все компоненты системы детально, чтобы вы могли самостоятельно диагностировать и устранить возможные проблемы.
Криптопровайдер КриптоПро CSP
Криптопровайдер является центральным компонентом системы электронной подписи. КриптоПро CSP обеспечивает выполнение всех криптографических операций в соответствии с российскими государственными стандартами: ГОСТ Р 34.10-2012 для формирования и проверки электронной подписи, ГОСТ Р 34.11-2012 для вычисления хеш-функций, ГОСТ 28147-89 и ГОСТ Р 34.12-2015 для шифрования данных.
Минимально поддерживаемая версия для современных задач — КриптоПро CSP 4.0, однако настоятельно рекомендуется использовать версию 5.0 или выше. Версия 5.0 включает встроенную утилиту «Инструменты КриптоПро», которая позволяет подписывать документы без установки дополнительных программ. Дистрибутив доступен для скачивания на официальном сайте компании КриптоПро.
КриптоПро CSP является коммерческим программным продуктом. Стоимость бессрочной лицензии на одно рабочее место составляет около 2700 рублей. При этом предоставляется 90-дневный пробный период с полной функциональностью, что достаточно для тестирования системы и решения разовых задач. Некоторые удостоверяющие центры включают лицензию КриптоПро CSP в стоимость сертификата электронной подписи — уточняйте этот момент при получении сертификата.
Сертификат электронной подписи и закрытый ключ
Для создания электронной подписи необходимы два криптографически связанных компонента: сертификат открытого ключа и закрытый (секретный) ключ. Сертификат содержит открытый ключ, сведения о владельце подписи, информацию об удостоверяющем центре, сроке действия и области применения. Закрытый ключ используется непосредственно для формирования подписи и должен храниться в защищенном хранилище.
Квалифицированная электронная подпись (УКЭП) выдается аккредитованными удостоверяющими центрами. С 1 января 2022 года руководители организаций и индивидуальные предприниматели могут бесплатно получить УКЭП в Удостоверяющем центре ФНС России или у доверенных лиц УЦ ФНС. Для физических лиц УКЭП выдают коммерческие аккредитованные удостоверяющие центры.
Закрытый ключ обычно хранится на защищенном носителе: токене Рутокен, JaCarta, eToken или аналогичном устройстве. Это обеспечивает защиту ключа от несанкционированного копирования. Некоторые сценарии допускают хранение ключа в реестре операционной системы или на обычном съемном носителе, однако это снижает уровень безопасности.
Драйверы ключевого носителя
Для корректного взаимодействия операционной системы с защищенным носителем ключа необходимы специализированные драйверы. Их следует загрузить с официального сайта производителя используемого токена:
Для устройств Рутокен драйверы доступны на сайте rutoken.ru/support/download. Важно выбрать версию драйверов, соответствующую вашей операционной системе и типу токена (Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0 и другие).
Для устройств JaCarta драйверы размещены на портале Aladdin R.D.. Также доступен единый клиент JaCarta для управления токенами.
Некоторые современные токены, особенно подключаемые по USB, могут распознаваться операционной системой автоматически благодаря стандарту CCID. Однако для полноценной работы и доступа ко всем функциям рекомендуется всегда устанавливать фирменные драйверы производителя.
Корневые сертификаты удостоверяющих центров
Для проверки подлинности сертификата электронной подписи необходимо, чтобы на компьютере были установлены корневые сертификаты всей цепочки удостоверяющих центров: от корневого УЦ до УЦ, выдавшего ваш сертификат. Обычно эти сертификаты устанавливаются автоматически при получении электронной подписи или загружаются с сайта удостоверяющего центра.
Корневые сертификаты должны быть установлены в системное хранилище «Доверенные корневые центры сертификации», а промежуточные сертификаты — в хранилище «Промежуточные центры сертификации». Отсутствие какого-либо звена цепочки приведет к появлению предупреждения «Нет полного доверия к сертификату» при создании или проверке подписи.
Диагностика готовности рабочего места
Перед началом работы с электронной подписью рекомендуется выполнить комплексную проверку настройки рабочего места. Для этого откройте приложение КриптоПро CSP через Панель управления Windows (Пуск — Панель управления — КриптоПро CSP) или через поиск в меню Пуск.
На вкладке «Сервис» нажмите кнопку «Просмотреть сертификаты в контейнере». Если токен подключен и система настроена корректно, вы увидите информацию о вашем сертификате: владельца, удостоверяющий центр, срок действия. Нажав кнопку «Свойства», можно детально просмотреть все поля сертификата и проверить статус цепочки доверия.
Альтернативный способ проверки — через хранилище сертификатов Windows. Откройте консоль управления сертификатами (Пуск — выполнить — certmgr.msc) и перейдите в раздел «Личное» — «Сертификаты». Здесь должен отображаться ваш сертификат электронной подписи. Дважды щелкнув по нему, вы откроете окно свойств, где на вкладке «Путь сертификации» можно проверить корректность цепочки доверия.
Мария Ж., эксперт сервиса Добыто:
«По нашей статистике, более 70% обращений в техническую поддержку по вопросам электронной подписи связаны с неправильной установкой сертификата. Типичная ошибка — установка сертификата без привязки к закрытому ключу. Убедитесь, что сертификат установлен именно через функцию «Установить личный сертификат» в КриптоПро CSP с указанием контейнера закрытого ключа. Только при такой установке создается необходимая связь между открытым ключом в сертификате и закрытым ключом на токене.»
Создание SIG-подписи через Инструменты КриптоПро CSP 5.0
Начиная с версии 5.0, пакет КриптоПро CSP включает графическую утилиту «Инструменты КриптоПро», предоставляющую удобный интерфейс для выполнения базовых криптографических операций: создания и проверки электронной подписи, шифрования и расшифрования файлов, управления сертификатами. Это позволяет обойтись без установки дополнительных программ типа КриптоАРМ для простых сценариев использования.
Шаг 1: Запуск утилиты Инструменты КриптоПро
Откройте меню «Пуск» операционной системы Windows и найдите папку «КРИПТО-ПРО» в списке установленных программ. Внутри этой папки выберите пункт «Инструменты КриптоПро». Альтернативный способ запуска — начать вводить «КриптоПро» или «Инструменты» в строке поиска Windows 10/11 и выбрать соответствующий результат из выпадающего списка.
После запуска откроется главное окно утилиты. По умолчанию отображается базовый набор функций. Для доступа к функции создания подписи нажмите кнопку «Показать расширенные» в нижней части окна. Это откроет дополнительные разделы, включая «Создание подписи», «Проверка подписи», «Шифрование» и «Расшифрование».
Шаг 2: Переход в раздел создания подписи и выбор сертификата
В левой панели навигации нажмите на раздел «Создание подписи». В правой части окна отобразится рабочая область для подписания документов. Верхняя часть содержит список доступных сертификатов для подписи.
Выберите сертификат, которым планируете подписать документ, щелкнув по нему мышью. Обратите внимание на столбец «Срок действия» — сертификат должен быть актуальным (дата окончания не наступила). Также проверьте столбец «Назначение» — для создания электронной подписи сертификат должен иметь соответствующее назначение (обычно указывается «Проверка подлинности клиента» и/или «Подписывание кода»).
Если нужного сертификата нет в списке, проверьте следующие условия: установлен ли сертификат в хранилище «Личное» (certmgr.msc), подключен ли к компьютеру носитель с закрытым ключом, есть ли привязка сертификата к контейнеру закрытого ключа, не истек ли срок действия сертификата.
Шаг 3: Выбор файла для подписания
Нажмите кнопку «Выбрать файл для подписи» и в открывшемся диалоговом окне укажите путь к документу, который необходимо подписать. Утилита поддерживает подписание любых типов файлов: документов PDF, Microsoft Word и Excel, изображений, архивов, XML-файлов и других.
После выбора файла его путь отобразится под кнопкой. Также автоматически сформируется путь для сохранения файла подписи — по умолчанию он будет помещен в ту же папку, где находится исходный документ, с добавлением расширения .p7s к имени файла.
Шаг 4: Настройка параметров подписи
Критически важная настройка: По умолчанию Инструменты КриптоПро CSP 5.0 создают присоединенную подпись с расширением .p7s. Для создания открепленной подписи в формате SIG, которую принимают государственные порталы и торговые площадки, необходимо изменить настройки:
1. Найдите и установите галочку «Создать отсоединенную подпись». Если этот параметр не виден, нажмите кнопку «Дополнительные параметры» или «Расширенные настройки».
2. Нажмите кнопку «Сохранить подпись как» для указания места сохранения и имени файла подписи. В диалоговом окне сохранения измените расширение файла с .p7s на .sig вручную, отредактировав имя файла.
Дополнительные параметры, которые могут быть доступны в зависимости от версии и конфигурации: выбор алгоритма хеширования (ГОСТ Р 34.11-2012 256 или 512 бит), включение штампа времени (при наличии подключения к службе TSP), добавление списка отзыва сертификатов в подпись.
Шаг 5: Выполнение подписания
После настройки всех параметров нажмите кнопку «Подписать». Система обратится к носителю закрытого ключа и запросит PIN-код токена или пароль от контейнера закрытого ключа. Введите корректный PIN-код и нажмите «ОК».
Если все настроено правильно, через несколько секунд появится сообщение «Создание подписи завершилось успехом». В указанной папке будет создан файл электронной подписи. Например, при подписании файла «договор.pdf» рядом с ним появится файл «договор.pdf.sig» (при условии, что вы изменили расширение на SIG).
Обязательно сохраните оба файла вместе: исходный документ и файл подписи. Для проверки подписи и подтверждения её подлинности требуются оба файла. Не переименовывайте файлы после подписания — это может нарушить связь между документом и подписью.
+
Неактивная кнопка «Подписать» указывает на то, что не выполнены необходимые предварительные условия для подписания. Проверьте следующее:
— Выбран ли сертификат в списке сертификатов (он должен быть выделен, строка подсвечена)
— Указан ли файл для подписи (путь должен отображаться под кнопкой «Выбрать файл для подписи»)
— Подключен ли токен с закрытым ключом к компьютеру
— Не истек ли срок действия выбранного сертификата
+
К сожалению, встроенная утилита Инструменты КриптоПро не поддерживает пакетное подписание нескольких файлов. Каждый документ необходимо подписывать отдельно.
Для массового подписания документов рекомендуется использовать программу КриптоАРМ, которая позволяет добавить в очередь сразу несколько файлов или целую папку. Также возможна автоматизация через командную строку с помощью утилиты cryptcp, входящей в состав КриптоПро CSP.
Создание SIG-подписи через программу КриптоАРМ: расширенные возможности
КриптоАРМ представляет собой специализированное программное обеспечение для работы с электронными подписями и шифрованием документов. В отличие от базовых Инструментов КриптоПро, КриптоАРМ предоставляет существенно более широкий функционал: пакетная обработка файлов, сохранение профилей настроек, работа с несколькими подписями на одном документе, интеграция с файловым менеджером Windows через контекстное меню.
Программа доступна в нескольких редакциях: бесплатная версия КриптоАРМ Старт с ограниченным функционалом и сроком использования, КриптоАРМ Стандарт для типовых задач подписания и шифрования, КриптоАРМ СтандартPRO с поддержкой штампов времени и расширенных форматов подписи. Для большинства пользователей достаточно версии Стандарт.
Способ 1: Быстрое подписание через контекстное меню Windows
После установки КриптоАРМ в контекстное меню проводника Windows добавляются команды для работы с электронной подписью. Это самый быстрый способ подписать один или несколько файлов:
Найдите в проводнике Windows файл (или выделите несколько файлов), который необходимо подписать. Щелкните правой кнопкой мыши для вызова контекстного меню. В появившемся меню наведите курсор на пункт «КриптоАРМ» для раскрытия подменю. Выберите команду «Подписать».
Откроется окно «Мастер создания электронной подписи» с приветственным сообщением. Это пошаговый помощник, который проведет вас через все этапы настройки и создания подписи. Для продолжения нажмите кнопку «Далее».
Шаг 1: Выбор файлов для подписания
На этапе «Выбор файлов» в списке уже будет присутствовать файл (или файлы), на котором вы вызвали контекстное меню. При необходимости можно добавить дополнительные файлы кнопкой «Добавить файл» или целую папку кнопкой «Добавить папку» — в этом случае будут подписаны все файлы в указанной директории.
Для удаления ошибочно добавленного файла выделите его в списке и нажмите кнопку «Удалить». После формирования полного списка файлов для подписания нажмите «Далее».
Шаг 2: Настройка выходного формата
Этап «Выходной формат» определяет технические параметры создаваемой подписи:
Кодировка: Доступны два варианта — DER и BASE64. Для работы с государственными информационными системами (Росреестр, торговые площадки, порталы госуслуг) рекомендуется выбирать DER-кодировку. BASE64 используется преимущественно для передачи подписанных данных по электронной почте, где недопустимы бинарные символы. Если вы не уверены в требованиях получателя — выбирайте DER как более универсальный вариант.
Расширение выходного файла: По умолчанию установлено расширение SIG, что подходит для большинства сценариев. При необходимости можно изменить на P7S или SGN — содержимое файла будет идентичным.
Включить архивирование: При установке этого флажка результат подписания (исходный файл и файл подписи) будет упакован в ZIP-архив. Это может быть удобно для отправки по электронной почте.
Каталог для сохранения результатов: Можно указать папку, куда будут помещены созданные файлы подписей. По умолчанию они сохраняются рядом с исходными документами.
Шаг 3: Параметры подписи
Ключевая настройка для создания открепленной подписи:
На этом этапе обязательно установите флажок «Сохранить подпись в отдельном файле» (или «Отсоединенная подпись» в зависимости от версии программы). Это создаст открепленную подпись, которую принимают государственные системы.
Если флажок не установлен, будет создана присоединенная подпись — исходный документ и подпись объединятся в один файл с расширением .sig. Такой формат не подходит для большинства государственных порталов.
Дополнительные параметры на этом этапе:
Включить время создания подписи: В файл подписи будет добавлена метка с локальным временем компьютера. Это не является юридически значимым штампом времени, но может быть полезно для внутренних целей.
Включить штамп времени на подписываемые данные: Создает штамп времени от внешнего сервера TSP (Time Stamp Protocol). Этот штамп имеет юридическую силу и подтверждает время существования документа. Требует установленной лицензии на модуль TSP и настроенного подключения к серверу штампов времени.
Шаг 4: Выбор сертификата подписи
На этапе «Выбор сертификата подписи» нажмите кнопку «Выбрать» или «Просмотр» для открытия списка доступных сертификатов. В появившемся окне отобразятся все сертификаты из хранилища «Личное», имеющие привязку к закрытому ключу.
Выберите нужный сертификат, обращая внимание на: наименование владельца (ваше ФИО или название организации), удостоверяющий центр (кто выдал сертификат), срок действия (должен быть актуальным). После выбора нажмите «ОК» и затем «Далее».
Если список сертификатов пуст, это означает одну из следующих проблем: сертификаты не установлены в хранилище «Личное», сертификаты не имеют привязки к закрытому ключу (были установлены неправильно), носитель с закрытым ключом не подключен к компьютеру. Для устранения проблемы переустановите сертификат через КриптоПро CSP (вкладка «Сервис» — «Установить личный сертификат») с указанием контейнера закрытого ключа.
Шаг 5: Завершение и создание подписи
На финальном этапе «Завершение» отображается сводная информация о выбранных параметрах: количество файлов для подписания, выбранный сертификат, формат и кодировка подписи, каталог для сохранения. Внимательно проверьте эти данные перед созданием подписи.
Полезная функция: если вы планируете в дальнейшем подписывать документы с аналогичными параметрами, установите флажок «Сохранить данные в профиль для дальнейшего использования» и укажите имя профиля. При следующем подписании вы сможете выбрать этот профиль на первом шаге мастера и пропустить большинство настроек.
Нажмите кнопку «Готово» для запуска процесса подписания. Система запросит PIN-код от токена или пароль от контейнера закрытого ключа. Введите PIN-код и нажмите «ОК». После успешного подписания появится окно с результатом «Успех».
Файлы подписей будут созданы в указанном каталоге (по умолчанию — рядом с исходными документами) с расширением .sig. Теперь вы можете отправить пары файлов (документ + подпись) получателю.
Мария Ж., спикер конференций по КЭДО:
«В КриптоАРМ есть одна недооцененная функция — сохранение профилей подписи. Если вы регулярно отправляете документы на одну и ту же площадку с определенными требованиями к формату, создайте для неё профиль. Это экономит по 2-3 минуты на каждом подписании, что при большом документообороте выливается в существенную экономию времени. В нашей практике в Добыто.КЭДО мы реализовали автоматическое определение требуемого формата подписи в зависимости от типа документа — пользователю не нужно думать о настройках вообще.»
Особенности подписания документов для Росреестра
Федеральная служба государственной регистрации, кадастра и картографии (Росреестр) предъявляет специфические требования к формату электронных документов и их подписей. Несоблюдение этих требований приводит к отклонению документов с формулировкой «Некорректная электронная подпись» или «Неверный формат файла».
Технические требования Росреестра к электронной подписи
Формат подписи: исключительно открепленная (отсоединенная) подпись. Присоединенная подпись не принимается системой.
Расширение файла подписи: .sig (именно с точкой и в нижнем регистре).
Кодировка: DER (бинарная). Подписи в кодировке BASE64 могут некорректно обрабатываться системой.
Тип сертификата: квалифицированная электронная подпись (УКЭП), выданная аккредитованным удостоверяющим центром. Неквалифицированные и простые электронные подписи не принимаются.
Формат документов: XML для межевых планов, технических планов и большинства заявлений, PDF для некоторых приложений и образов бумажных документов.
Правила подписания XML-документов для Росреестра
XML-файлы для Росреестра генерируются специализированным программным обеспечением: ПК «Полигон» для кадастровых работ, системы формирования заявлений и другими. Эти файлы имеют строгую структуру, соответствующую XSD-схемам Росреестра.
Последовательность действий для подписания документов Росреестра:
1. Сформируйте XML-файл в специализированной программе
2. Проверьте корректность XML встроенными средствами программы (если доступна такая функция)
3. Подпишите файл открепленной подписью через КриптоПро или КриптоАРМ
4. Убедитесь, что файл подписи имеет расширение .sig
5. Загрузите оба файла (XML и SIG) на портал Росреестра или через личный кабинет
Проверка подписи перед отправкой в Росреестр
Перед отправкой документов рекомендуется проверить корректность созданной подписи. Росреестр предоставляет собственный сервис проверки электронных документов. Загрузите XML-файл и файл подписи .sig — система проверит не только подпись, но и соответствие структуры XML установленным схемам.
Альтернативно можно использовать сервис проверки подписи на портале Госуслуг. Этот сервис проверяет только криптографическую корректность подписи, без валидации структуры XML.
+
Для документов Росреестра в КриптоАРМ установите следующие параметры:
— Кодировка: DER
— Расширение выходного файла: SIG
— Обязательно установлен флажок «Сохранить подпись в отдельном файле» (открепленная подпись)
— Формат подписи: CAdES-BES или CMS (стандартный)
Создайте профиль с этими настройками под названием «Росреестр» для быстрого повторного использования.
+
Госуслуги проверяют только криптографическую корректность подписи — соответствие хеша и валидность сертификата. Росреестр дополнительно проверяет:
— Соответствие структуры XML установленным XSD-схемам
— Целостность файла (не изменялся ли он после генерации)
— Соответствие типа сертификата (нужна именно УКЭП)
— Формат файла подписи (открепленная, DER-кодировка)
Если подпись проходит на Госуслугах, но отклоняется Росреестром — проверьте XML-файл на соответствие схемам и убедитесь, что файл не открывался после генерации.
Подписание документов для электронных торговых площадок
Электронные торговые площадки (ЕИС Закупки, Сбербанк-АСТ, РТС-тендер, Национальная электронная площадка, ТЭК-Торг и другие) имеют собственные требования к формату электронной подписи. При этом большинство площадок унифицировало требования, ориентируясь на стандарты ЕИС.
Общие требования торговых площадок
Тип подписи: открепленная (отсоединенная), расширение .sig или .p7s. Кодировка: DER. Сертификат: УКЭП с OID, разрешающим работу на торговых площадках. Стандартные сертификаты ФНС обычно содержат необходимые OID.
Каждый документ в составе заявки подписывается отдельно. Если заявка состоит из 10 документов, необходимо создать 10 файлов подписей — по одному для каждого документа. Архивы (ZIP, RAR) обычно не подписываются целиком — подписывается каждый файл внутри архива до упаковки.
Процесс подписания документов для участия в закупке
Подготовьте все документы заявки в требуемых форматах. Обычно это PDF для отсканированных документов и Word/Excel для форм заявок. Некоторые площадки принимают только определенные форматы — уточняйте в документации площадки.
Используйте пакетную подпись в КриптоАРМ для эффективной обработки. Добавьте все файлы заявки в одну операцию подписания, установите параметры (DER-кодировка, открепленная подпись, расширение .sig) и подпишите все документы одним действием. PIN-код вводится один раз.
После подписания загрузите на площадку пары файлов: каждый документ вместе с его файлом подписи. Система площадки автоматически проверит подписи и примет или отклонит документы.
Проверка созданной электронной подписи
После создания файла подписи .sig настоятельно рекомендуется проверить его корректность перед отправкой получателю. Это позволяет выявить возможные проблемы заранее и избежать отклонения документов.
Проверка через портал Госуслуг
Портал Госуслуг предоставляет бесплатный сервис проверки электронной подписи, доступный без авторизации. Перейдите по адресу gosuslugi.ru/eds.
Выберите тип проверки «Проверка электронной подписи электронного документа». В первое поле «Документ» загрузите исходный файл (например, договор.pdf). Во второе поле «Подпись» загрузите файл подписи (договор.pdf.sig). Нажмите кнопку «Проверить».
При корректной подписи система отобразит: статус «Подлинность документа подтверждена», информацию о владельце сертификата (ФИО, организация), удостоверяющий центр, срок действия сертификата, серийный номер сертификата. Если какой-либо параметр некорректен, система укажет причину ошибки.
Проверка через сервис Росреестра
Для документов, предназначенных для Росреестра, используйте специализированный сервис ведомства. Он проверяет не только подпись, но и структуру XML-документов.
Перейдите на портал проверки электронных документов Росреестра. Загрузите XML-файл документа и файл подписи .sig. Система выполнит комплексную проверку и отобразит результат.
Проверка через КриптоАРМ
Программа КриптоАРМ позволяет проверить подпись локально, без отправки данных на внешние серверы. Это может быть важно для конфиденциальных документов.
Щелкните правой кнопкой мыши по файлу подписи (.sig) и выберите «КриптоАРМ» — «Проверить». Следуйте инструкциям мастера проверки. Программа отобразит: статус проверки (подпись верна / неверна), информацию о подписанте, дату создания подписи (если включена метка времени), статус сертификата.
Типичные ошибки и способы их устранения
При работе с электронной подписью пользователи регулярно сталкиваются с типичными проблемами. Большинство из них имеет простое решение, если знать причину ошибки.
Ошибка «Сертификат не найден» или «Не найден закрытый ключ»
Эта ошибка возникает, когда криптопровайдер не может установить связь между сертификатом и закрытым ключом. Возможные причины и решения:
Токен не подключен к компьютеру. Проверьте физическое подключение USB-токена. Убедитесь, что индикатор на токене светится (если предусмотрен). Попробуйте другой USB-порт.
Не установлены драйверы токена. Загрузите и установите актуальные драйверы с официального сайта производителя токена (Рутокен, JaCarta, eToken).
Сертификат установлен без привязки к закрытому ключу. Это наиболее частая причина. Сертификат был установлен напрямую из файла, без указания контейнера закрытого ключа. Решение: переустановите сертификат через КриптоПро CSP. Откройте КриптоПро CSP — вкладка «Сервис» — «Установить личный сертификат». Выберите файл сертификата, на следующем шаге укажите контейнер закрытого ключа с подключенного токена.
Считыватель токена не настроен в КриптоПро CSP. Откройте КриптоПро CSP — вкладка «Оборудование» — «Настроить считыватели». Добавьте считыватель «Все считыватели смарт-карт» или конкретную модель вашего токена.
Ошибка «Набор ключей не определен» (0x80090019)
Эта техническая ошибка указывает на проблему с контейнером закрытого ключа на токене.
Токен заблокирован многократным вводом неправильного PIN-кода. Большинство токенов блокируется после 5-10 неверных попыток. Для разблокировки используйте административный PIN-код (PUK) через утилиту управления токеном. Если административный PIN также заблокирован — обратитесь в удостоверяющий центр для перевыпуска сертификата.
Контейнер закрытого ключа поврежден. Попробуйте скопировать контейнер с токена на реестр или другой носитель через КриптоПро CSP (вкладка «Сервис» — «Скопировать»). Если копирование не удается — контейнер поврежден, необходим перевыпуск сертификата.
Ошибка «Нет полного доверия к сертификату подписи»
Это предупреждение появляется, когда не установлена полная цепочка корневых и промежуточных сертификатов удостоверяющих центров. Подпись при этом создается, но при проверке на некоторых системах может показываться как недействительная.
Решение: Установите корневые и промежуточные сертификаты удостоверяющего центра, выдавшего ваш сертификат. Обычно они доступны на сайте УЦ в разделе «Корневые сертификаты», «Инструкции» или «Поддержка». Корневые сертификаты устанавливаются в хранилище «Доверенные корневые центры сертификации», промежуточные — в «Промежуточные центры сертификации».
Для сертификатов ФНС необходимо также установить корневые сертификаты Минцифры России, доступные на портале Госуслуг.
Ошибка «Сертификат недействителен» или «Срок действия сертификата истек»
Истек срок действия сертификата. Сертификаты электронной подписи выдаются на ограниченный срок, обычно 12-15 месяцев. Проверьте дату окончания в свойствах сертификата. При истечении необходимо получить новый сертификат в удостоверяющем центре.
Сертификат отозван удостоверяющим центром. Сертификат может быть отозван по различным причинам: компрометация ключа, изменение данных владельца, прекращение деятельности. Обратитесь в удостоверяющий центр для уточнения причины и получения нового сертификата.
Неправильная системная дата на компьютере. Если системная дата установлена раньше даты выдачи сертификата или позже даты его окончания, сертификат будет определяться как недействительный. Исправьте дату и время в настройках операционной системы.
+
Файлы с расширениями .p7s и .sig содержат абсолютно идентичную криптографическую структуру. Различие только в расширении файла. Вы можете безопасно переименовать файл, изменив расширение:
— договор.pdf.p7s → договор.pdf.sig
Подпись останется действительной, никакие данные не изменятся. Для будущих подписаний измените настройки в КриптоПро или КриптоАРМ, чтобы сразу создавать файлы с нужным расширением.
+
Если вместо отдельного файла подписи .sig создался один файл, содержащий и документ, и подпись — это присоединенная подпись. Она не подходит для большинства государственных систем.
Исправление: удалите созданный файл и повторите подписание с правильными настройками. В Инструментах КриптоПро установите галочку «Создать отсоединенную подпись». В КриптоАРМ установите флажок «Сохранить подпись в отдельном файле».
Извлечь исходный документ из присоединенной подписи можно через КриптоАРМ: правой кнопкой по файлу — «КриптоАРМ» — «Извлечь исходные данные».
+
Да, это стандартная практика для документов, требующих согласования несколькими лицами (договоры, акты, протоколы).
В КриптоАРМ: откройте существующий SIG-файл и выберите «Добавить подпись». Следуйте мастеру, выберите второй сертификат. Вторая подпись будет добавлена в тот же файл подписи.
Каждая подпись независима: если один из подписантов отзовет свой сертификат, остальные подписи сохранят действительность.
Мобильные и облачные решения для электронной подписи
Современный бизнес требует возможности подписывать документы не только с рабочего компьютера, но и со смартфона, планшета, из любой точки мира. Рассмотрим доступные решения для мобильной работы с электронной подписью.
Мобильное приложение Госключ
Госключ — официальное мобильное приложение от Минцифры России для работы с электронной подписью. Доступно для iOS и Android бесплатно. Позволяет получить усиленную неквалифицированную электронную подпись (УНЭП) непосредственно в приложении, используя подтвержденную учетную запись Госуслуг.
УНЭП через Госключ подходит для: подписания кадровых документов в рамках КЭДО, договоров между физическими лицами, обращений в государственные органы через Госуслуги, ряда внутрикорпоративных документов.
Ограничения: УНЭП из Госключа не подходит для работы с торговыми площадками, Росреестром и большинством систем, требующих квалифицированную электронную подпись. Для этих целей необходима УКЭП.
Мобильные версии КриптоАРМ
Компания Крипто-АРМ разработала мобильное приложение КриптоАРМ ГОСТ для платформ iOS и Android. Приложение позволяет работать с квалифицированной электронной подписью, однако требует специального мобильного токена (Рутокен ЭЦП Bluetooth, JaCarta PKI BIO) или облачного сертификата.
Функционал мобильной версии: подписание и проверка документов, шифрование и расшифрование, работа с архивами подписанных документов.
Облачная электронная подпись (DSS)
Технология облачной подписи (DSS — Digital Signature Service) предполагает хранение закрытого ключа на защищенном сервере удостоверяющего центра. Пользователь авторизуется через веб-интерфейс или мобильное приложение, подтверждает операцию подписания (обычно через SMS-код или push-уведомление), а криптографические операции выполняются на стороне сервера.
Преимущества: не требуется токен и специальное программное обеспечение, можно подписывать с любого устройства с доступом в интернет. Недостатки: зависимость от интернет-соединения, регулярная плата за использование, концептуальная уязвимость при компрометации серверов УЦ.
Облачную УКЭП предлагают ряд удостоверяющих центров: СКБ Контур, Калуга Астрал, СБИС и другие.
Мария Ж., кофаундер сервиса КЭДО Добыто:
«Мобильная подпись — это не просто тренд, а необходимость для современного бизнеса. В нашем сервисе Добыто.КЭДО мы интегрировали поддержку различных видов электронных подписей: классическая УКЭП на токене, Госключ, облачные сертификаты. Сотрудник может подписать кадровый документ со смартфона, находясь в командировке или на удаленной работе. Система автоматически определяет доступный вид подписи и предлагает оптимальный способ подписания.»
Автоматизация подписания документов
При большом объеме документооборота ручное подписание каждого файла через графический интерфейс становится неэффективным. Существуют способы автоматизации этого процесса.
Подписание через командную строку (cryptcp)
КриптоПро CSP включает утилиту командной строки cryptcp, позволяющую выполнять криптографические операции из скриптов и пакетных файлов. Это основа для автоматизации.
Пример команды для создания открепленной подписи:
cryptcp -sign -detach -cert -thumbprint ОТПЕЧАТОК_СЕРТИФИКАТА document.pdf document.pdf.sig
Параметры команды:
-sign — операция подписания
-detach — создание открепленной подписи
-cert — включить сертификат в подпись
-thumbprint — указание сертификата по его отпечатку (SHA1)
Для пакетной обработки можно создать скрипт, который перебирает все файлы в папке и подписывает каждый. При использовании в автоматическом режиме необходимо предусмотреть способ ввода PIN-кода: либо кеширование (для токенов с поддержкой), либо хранение ключа в реестре без PIN-защиты.
Серверные решения для корпоративного использования
Для организаций с большим документооборотом существуют серверные продукты: КриптоАРМ Server для массового подписания документов с централизованным управлением, КриптоПро DSS для облачного подписания с веб-интерфейсом, интеграционные модули для систем документооборота (1С, Directum, Docsvision и других).
Эти решения обеспечивают: централизованное управление сертификатами и правами доступа, аудит всех операций подписания, интеграцию с существующими бизнес-процессами, масштабируемость для обработки тысяч документов в день.
Интеграция с системами электронного документооборота
Наиболее удобный вариант для конечных пользователей — работа с электронной подписью непосредственно в интерфейсе системы документооборота. Современные системы КЭДО, такие как Добыто, предоставляют встроенные средства подписания: документ подписывается в один клик, без необходимости выгрузки файлов и работы с отдельными программами.
В системе КЭДО Добыто реализован полный цикл работы с электронной подписью для кадрового документооборота: формирование документов по шаблонам, маршрутизация на согласование и подписание, подписание УКЭП или УНЭП (включая Госключ), хранение подписанных документов в юридически значимом электронном архиве.
Хранение и архивирование подписанных документов
Электронные документы с подписью требуют особого подхода к хранению. Неправильная организация архива может привести к невозможности подтвердить подлинность документов спустя годы.
Основные правила хранения
Храните документ и подпись вместе. Исходный файл и его SIG-подпись должны находиться в одной папке или связанном хранилище. Разделение файлов приводит к потере возможности проверки подписи.
Не переименовывайте файлы. Имя файла подписи стандартно формируется как «имя_документа.расширение.sig». Изменение имени любого из файлов может нарушить их связь. Если переименование необходимо — изменяйте имена обоих файлов синхронно.
Сохраняйте информацию о сертификате. Для проверки подписи спустя длительное время может потребоваться сертификат подписанта и вся цепочка корневых сертификатов. Рекомендуется экспортировать и сохранять сертификаты отдельно.
Используйте надежные носители. Для длительного хранения выбирайте надежные системы хранения с резервным копированием. Оптические диски, USB-флешки не обеспечивают достаточной надежности для архивного хранения.
Усовершенствование подписи для долгосрочного хранения
Стандартная электронная подпись формата CAdES-BES имеет ограниченный срок проверяемости — до истечения срока действия сертификата подписанта. После этого проверка подписи технически возможна, но юридический статус становится неопределенным.
Для документов, требующих длительного хранения (договоры, акты, документы постоянного хранения), рекомендуется использовать усовершенствованные форматы подписи:
CAdES-T — подпись со штампом времени. К базовой подписи добавляется криптографический штамп времени от доверенного сервера TSP, подтверждающий момент создания подписи. Это позволяет доказать, что подпись существовала до определенного момента.
CAdES-XL — расширенная подпись с полной информацией для проверки. Включает все необходимые сертификаты и списки отзыва, что позволяет проверить подпись автономно, без обращения к внешним источникам.
CAdES-A — архивная подпись. Предусматривает периодическое добавление новых штампов времени для поддержания проверяемости на неограниченный срок.
Создание усовершенствованных подписей требует подключения к службам штампов времени (TSP) и обычно является платной услугой. КриптоАРМ СтандартPRO поддерживает работу с усовершенствованными форматами.
Юридические аспекты электронной подписи
Правовую основу использования электронной подписи в России составляет Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи». Закон определяет виды электронных подписей, условия их применения и юридическую силу подписанных документов.
Виды электронной подписи по 63-ФЗ
Простая электронная подпись (ПЭП) — подтверждает факт формирования подписи определенным лицом посредством кодов, паролей или иных средств. Не обеспечивает неизменность документа. Пример: вход по логину и паролю с последующим нажатием кнопки «Подписать».
Усиленная неквалифицированная электронная подпись (УНЭП) — создается с помощью криптографических средств, обеспечивает обнаружение изменений в документе, создается с использованием ключа подписи. Пример: подпись через приложение Госключ.
Усиленная квалифицированная электронная подпись (УКЭП) — УНЭП с дополнительными требованиями: сертификат выдан аккредитованным удостоверяющим центром, средства подписи сертифицированы ФСБ России. Имеет высший юридический статус.
Юридическая значимость УКЭП
Согласно статье 6 Федерального закона № 63-ФЗ, информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.
Это означает, что подписанный УКЭП SIG-файл: имеет полную юридическую силу, может использоваться как доказательство в суде, обязателен для принятия государственными органами и организациями, не требует дополнительного подтверждения или заверения.
Условия юридической значимости
Для признания электронного документа юридически значимым должны выполняться условия:
— Использована квалифицированная электронная подпись (УКЭП)
— Сертификат выдан аккредитованным удостоверяющим центром
— На момент подписания сертификат был действующим (не истек, не отозван)
— Электронная подпись математически корректна (проверяема)
— Закрытый ключ находился под контролем владельца
+
Технически подделать квалифицированную электронную подпись без доступа к закрытому ключу практически невозможно благодаря криптографической стойкости алгоритмов ГОСТ.
Согласно закону, владелец сертификата несет ответственность за сохранность закрытого ключа и обязан незамедлительно сообщить в удостоверяющий центр о компрометации ключа для отзыва сертификата.
Если вы подозреваете несанкционированное использование вашей подписи — немедленно обратитесь в удостоверяющий центр для отзыва сертификата и в правоохранительные органы. Документы, подписанные после отзыва сертификата, не будут иметь юридической силы.
Практические кейсы использования SIG-подписи
Кейс 1: Подача межевого плана в Росреестр
Ситуация: Кадастровый инженер подготовил межевой план в формате XML для государственной регистрации права на земельный участок. Необходимо подать документы через личный кабинет на портале Росреестра.
Решение:
1. Инженер формирует XML-файл межевого плана в специализированной программе (ПК «Полигон» или аналог)
2. Не открывая XML для просмотра, сразу подписывает его в Инструментах КриптоПро: галочка «Отсоединенная подпись», расширение .sig
3. Проверяет подпись через сервис Росреестра
4. Загружает пару файлов (XML + SIG) через личный кабинет
5. Система принимает документы для обработки
Кейс 2: Участие в государственной закупке
Ситуация: Компания участвует в электронном аукционе на площадке РТС-тендер. Заявка состоит из 12 документов: учредительные документы, лицензии, коммерческое предложение, декларации соответствия.
Решение:
1. Специалист по закупкам подготавливает все документы в формате PDF
2. Открывает КриптоАРМ, добавляет все 12 файлов в очередь подписания
3. Устанавливает параметры: DER-кодировка, открепленная подпись, расширение .sig
4. Подписывает все файлы одним действием (PIN вводится один раз)
5. Получает 12 пар файлов (документ + подпись)
6. Загружает на площадку, система автоматически проверяет подписи
Кейс 3: Внедрение кадрового электронного документооборота
Ситуация: Компания с 200 сотрудниками переводит кадровое делопроизводство в электронный формат в соответствии со статьей 22.1 Трудового кодекса РФ.
Решение:
1. Компания внедряет систему КЭДО Добыто
2. Руководитель и кадровая служба получают УКЭП в УЦ ФНС
3. Сотрудники подключают приложение Госключ для получения УНЭП
4. Кадровые документы (трудовые договоры, приказы, заявления) формируются в системе
5. Документы маршрутизируются на подписание через систему
6. Сотрудники подписывают в мобильном приложении или на компьютере
7. Подписанные документы хранятся в электронном архиве системы
Мария Ж., эксперт по автоматизации HR:
«Переход на кадровый электронный документооборот — это не просто замена бумаги на файлы. Это трансформация процессов. При правильном внедрении КЭДО компания получает: сокращение времени оформления документов в 3-5 раз, снижение затрат на бумагу и хранение на 70-80%, мгновенный доступ к документам из любой точки, полный аудит всех операций. В Добыто.КЭДО мы реализовали автоматическое определение требуемого типа подписи для каждого документа — пользователям не нужно разбираться в технических деталях.»
Заключение и рекомендации
Создание SIG-подписи в КриптоПро — технически несложный процесс, который требует правильной настройки рабочего места и понимания параметров подписания. Подведем итоги и сформулируем ключевые рекомендации.
Основные тезисы для запоминания:
SIG-файл — это открепленная электронная подпись, которая хранится отдельно от документа. Форматы SIG, P7S и SGN технически идентичны и взаимозаменяемы.
Для создания подписи необходимы: КриптоПро CSP версии 4.0+, действующий сертификат электронной подписи с привязкой к закрытому ключу, драйверы токена (при использовании аппаратного носителя).
В Инструментах КриптоПро CSP 5.0 для создания открепленной подписи установите галочку «Создать отсоединенную подпись» и измените расширение файла на .sig.
В КриптоАРМ установите флажок «Сохранить подпись в отдельном файле» и выберите DER-кодировку для государственных систем.
Всегда проверяйте созданную подпись перед отправкой через Госуслуги или сервис получателя.
Храните документ и подпись вместе, не переименовывайте файлы после подписания.
Для организаций с регулярным документооборотом рекомендуется рассмотреть внедрение специализированной системы электронного документооборота. Сервис КЭДО Добыто позволяет автоматизировать все процессы работы с электронными документами: от формирования до подписания и архивного хранения. Особенно это актуально для компаний, переходящих на кадровый электронный документооборот в соответствии с требованиями Трудового кодекса Российской Федерации.
▼
1. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»
2. Трудовой кодекс Российской Федерации, статья 22.1 (кадровый электронный документооборот)
3. Федеральный закон от 22.11.2021 № 377-ФЗ о внесении изменений в ТК РФ в части кадрового ЭДО
4. ГОСТ Р 34.10-2012 «Процессы формирования и проверки электронной цифровой подписи»
5. ГОСТ Р 34.11-2012 «Функция хэширования»
6. Официальная документация КриптоПро CSP 5.0
7. Руководство пользователя КриптоАРМ
8. Портал Госуслуг — сервис проверки электронной подписи
9. Официальный сайт Росреестра — требования к электронным документам
Частые вопросы читателей
+
Создание самой подписи бесплатно при наличии действующего сертификата и лицензированного КриптоПро CSP.
Стоимость компонентов: лицензия КриптоПро CSP — около 2700 рублей за бессрочную версию на одно рабочее место (есть 90-дневный пробный период), сертификат электронной подписи — от 1500 рублей в коммерческих УЦ (для руководителей ИП и ООО бесплатно в УЦ ФНС), токен для хранения ключа — от 1000 рублей.
+
Технически да, если закрытый ключ хранится в реестре Windows или на обычном съемном носителе (флешке). Однако это снижает уровень безопасности, поскольку ключ может быть скопирован.
Для квалифицированной электронной подписи (УКЭП), используемой для работы с государственными системами, настоятельно рекомендуется хранение ключа на защищенном токене (Рутокен, JaCarta и аналоги).
+
Сама подпись не имеет срока действия как отдельный объект. Однако для проверки подписи используется сертификат, который имеет ограниченный срок действия (обычно 12-15 месяцев).
После истечения срока действия сертификата проверка стандартной подписи (CAdES-BES) может давать неопределенный результат — подпись математически корректна, но сертификат недействителен.
Для документов длительного хранения рекомендуется использовать усовершенствованную подпись со штампом времени (CAdES-T или CAdES-XL), которая сохраняет проверяемость независимо от срока действия сертификата.
+
Да, КриптоПро CSP имеет версии для MacOS (версии 10.13 и выше) и различных дистрибутивов Linux (Ubuntu, CentOS, Astra Linux, ALT Linux и другие).
Функционал аналогичен Windows-версии. Для MacOS доступен графический интерфейс. В Linux чаще используется подписание через командную строку (утилита cryptcp) или веб-интерфейс при наличии Browser plug-in.
+
Принципиально — ничем. Все три формата содержат абсолютно идентичную криптографическую структуру PKCS#7 / CMS. Различается только расширение файла.
Выбор расширения определяется требованиями системы-получателя. Росреестр и большинство торговых площадок требуют .sig. Системы электронной почты (S/MIME) традиционно используют .p7s. Файл можно безопасно переименовать, изменив расширение — содержимое и криптографическая корректность не изменятся.