Алгоритм подписания документа электронной подписью интересует каждого, кто переходит на безбумажный кадровый документооборот. Процесс кажется простым: нажал кнопку — получил подписанный файл. Но за этой кнопкой скрыт целый технический конвейер, от хеш-функции до штампа времени, и ошибка на любом этапе превращает юридически значимый документ в пустую бумажку. Кадровики и HR-специалисты сталкиваются с этим ежедневно: подпись не проходит проверку, сертификат просрочен, формат не тот. В обзоре программ для подписания документов ЭЦП мы разбирали инструменты, а здесь сосредоточимся на самом алгоритме — шаг за шагом.
Автор статьи — Мария Ж, юрист с 20-летним стажем, соучредитель сервиса КЭДО Добыто, судебный эксперт и спикер отраслевых конференций. За плечами — 13 лет практики найма персонала и более 1000 опубликованных статей по кадровому делопроизводству и электронному документообороту.
Что происходит при подписании документа ЭП — техническая сторона
Когда сотрудник нажимает кнопку «Подписать», запускается цепочка криптографических операций. Разберем каждый шаг алгоритма подписания документа электронной подписью.
Первый этап — документ передается криптопровайдеру. Это специальная программа (чаще всего КриптоПро CSP), которая выполняет все криптографические вычисления. Криптопровайдер получает файл и вычисляет хеш-функцию — уникальный «отпечаток» документа фиксированной длины. Любое изменение в файле, даже добавление пробела, полностью меняет хеш.
Второй этап — хеш подписывается закрытым ключом. Закрытый ключ хранится на токене (USB-носителе) или в облаке. Криптопровайдер формирует подпись в нужном формате: CMS, CAdES или PAdES.
Для аппаратных (неизвлекаемых) ключей процесс отличается: документ или его хеш отправляется на токен, и подпись формируется непосредственно на борту устройства. Закрытый ключ никогда не покидает токен, что исключает его перехват.
Максимальную защиту обеспечивает связка ФКН + протокол SESPAKE: канал между криптопровайдером и токеном шифруется, и даже при подключении к скомпрометированному компьютеру перехватить ключ невозможно.
Мария Ж, специалист по цифровой подписи и КЭДО:
«При настройке СКЗИ на предприятии я всегда проверяю, какой тип контейнера записан на токен — программный или аппаратный. Путаница между ними — частая причина, почему подпись не проходит валидацию на стороне контрагента. Аппаратный ключ на ФКН-токене — это, по сути, золотой стандарт для юриков.»
Цепочка сертификатов — еще один элемент, без которого подпись не пройдет проверку. На вершине — корневой сертификат Минцифры. Ниже — промежуточный сертификат аккредитованного удостоверяющего центра. На конце — сертификат пользователя. Если хотя бы одно звено отсутствует в хранилище на компьютере получателя, проверка подписи завершится ошибкой.
Виды ЭП и какую подпись ставить на какой документ
Федеральный закон 63-ФЗ выделяет три вида электронных подписей, и у каждого свое назначение в кадровом документообороте.
Простая электронная подпись (ПЭП) — это связка логин + пароль + SMS-код. ПЭП подтверждает, что документ подписал конкретный человек, но не защищает файл от изменений после подписания. Для большинства кадровых документов ПЭП допустима.
Неквалифицированная электронная подпись (НЭП) работает на криптографии: хеш документа шифруется закрытым ключом. Любое изменение в файле после подписания автоматически делает подпись невалидной. По ст. 22.3 ТК РФ, НЭП — минимально допустимый вид подписи для трудового договора, дополнительного соглашения, договора о материальной ответственности и ученического договора.
Усиленная квалифицированная электронная подпись (УКЭП) — сертификат выдан аккредитованным удостоверяющим центром, подпись приравнена к собственноручной. Работодатель обязан подписывать кадровые документы именно УКЭП.
Мария Ж, судебный эксперт по трудовому праву:
«В кадровом ЭДО часто забывают, что для ТД простой подписи недостаточно — нужна минимум НЭП. Компании подписывают трудовой договор через эсэмэску, а потом удивляются, что суд не принимает документ. В сервисе Добыто мы настраиваем минимальный уровень подписи для каждого типа документа — и эта грабля сразу уходит.»
Присоединенная и отсоединенная подпись
При подписании документа формируется файл подписи, и тут возможны два варианта размещения.
Присоединенная (attached) подпись встраивается в сам документ. Получатель видит один файл, внутри которого и документ, и подпись. Удобно для пересылки, но исходный документ без специальных средств не извлечь.
Отсоединенная (detached) подпись хранится в отдельном файле с расширением .sig или .sgn. Исходный документ остается неизменным. Для проверки нужны оба файла: документ и подпись. Этот вариант чаще применяют при сдаче отчетности и работе с госпорталами. Подробнее об этом — в статье о том, как создать отсоединенную подпись в КриптоПро.
На практике в КЭДО чаще используют присоединенную подпись: один файл проще хранить в электронном архиве, и при проверке Рострудом не нужно искать пару документов.
Форматы электронной подписи — CAdES, PAdES, CMS
Формат подписи определяет, какая информация включается в подписанный файл помимо собственно криптографической подписи.
CMS — базовый формат. Содержит подпись и сертификат подписанта. Минимум данных, минимум гарантий.
CAdES-BES — базовый усовершенствованный формат. Добавляет атрибуты подписания (время по часам компьютера, тип контента), но штампа времени от доверенного сервера нет.
CAdES-T — формат с меткой времени (timestamp). Доверенный TSP-сервер фиксирует момент подписания. Это критически важно: без метки времени невозможно доказать, что документ подписан до истечения срока сертификата.
CAdES-XLong Type 1 — расширенный формат. Включает ответ OCSP (подтверждение, что сертификат не был отозван на момент подписания) и полную цепочку сертификатов со штампами времени. Оптимален для долгосрочного хранения кадровых документов.
CAdES-A — архивный формат. Поддерживает переподписание с обновлением криптографических алгоритмов. Нужен для документов со сроком хранения 50-75 лет (личные дела, приказы по личному составу).
PAdES — формат для PDF-документов. Подпись встраивается непосредственно в PDF-файл. Проверить можно в обычном Adobe Reader без дополнительного ПО.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«При настройке архивного хранения я рекомендую CAdES-XLong Type 1 как минимальный формат для кадровых документов. Без OCSP-ответа через пять лет не получится доказать, что серт был действителен в момент подписания. А для приказов по личному составу с 50-летним хранением нужен CAdES-A с регулярным ухаживанием за подписью — переподписанием при смене криптоалгоритмов.»
Образцы документов для работы с электронной подписью и КЭДО
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой инспекции | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации — процессы формирования и проверки | Скачать |
Инструменты для подписания документов ЭП
КриптоПро CSP + КриптоАРМ ГОСТ 3
КриптоПро CSP 5.0 (сертификат действителен до мая 2027 года) — криптопровайдер, который выполняет все операции с ключами и хешами. Сам по себе CSP не имеет графического интерфейса для подписания файлов — для этого нужна программа-надстройка.
КриптоАРМ ГОСТ 3 (сертификат действителен до мая 2027 года) — программа для подписания и проверки подписей с удобным интерфейсом. Поддерживает все форматы: CAdES-BES, CAdES-T, CAdES-XLong Type 1, PAdES. Позволяет подписывать пакеты документов, что критично для кадровиков с большим объемом приказов.
Госключ
Мобильное приложение от Минцифры набрало 22,4 млн пользователей и более 24 млн подписанных документов. Рост аудитории за последний период составил 121%. Среднее время подписания — 52 секунды.
Но у Госключа есть ограничение: встроенного штампа времени (TSP) в приложении нет. Минцифры обещает добавить эту функцию, но пока подпись через Госключ формируется без метки доверенного времени. Для кадровых документов со сроком хранения более трех лет это может стать проблемой при судебном споре.
Кроме того, удаление приложения Госключ с телефона приводит к потере закрытого ключа. Восстановить его невозможно — нужно получать новый сертификат.
Онлайн-сервисы — Контур.Крипто, Добыто.Подпись
Контур.Крипто позволяет подписать документ прямо в браузере. Штамп времени от СКБ Контур включен «из коробки» — не нужно настраивать TSP-сервер вручную.
Saby Крипто (СБИС) — аналогичный онлайн-инструмент от Тензор. Интегрирован с системой ЭДО СБИС.
КриптоПро DSS/MyDSS — решение для облачного и мобильного подписания. Закрытый ключ хранится на сервере, подтверждение операции — через мобильное приложение MyDSS. Удобно для руководителей, которые подписывают документы «на ходу».
В сервисе Добыто. КЭДО подписание документов реализовано через встроенный модуль, который автоматически выбирает формат подписи в зависимости от типа документа и настроек организации. Сотрудник видит документ, нажимает одну кнопку, а система сама обращается к криптопровайдеру, формирует подпись нужного формата и сохраняет результат в электронном архиве.
Подписать документ электронной подписью онлайн
1 Загрузите необходимые файлы:
2 Выберите электронную подпись:
Мария Ж, HR-эксперт с 13-летним стажем:
«На одном из проектов — логистика, 800 сотрудников — первые три месяца после раскатывания КЭДО получали массу тикетов: люди не понимали, почему КриптоАРМ просит выбрать серт из списка. На токенах было по два-три контейнера, и сотрудники выбирали просроченный. После перехода на Добыто эта грабля ушла — сервис сам определяет действующий сертификат.»
Настройка криптопровайдера, выбор формата подписи, штампы времени, цепочки сертификатов — всё это отнимает время кадровиков. В сервисе Добыто подписание работает в один клик: система сама обращается к криптопровайдеру, определяет действующий сертификат и формирует подпись нужного формата. Тариф Старт — от 30 руб./сотрудник/мес.
Штамп времени и OCSP — зачем нужны при подписании
Штамп времени (TSP, Time Stamp Protocol) — это обращение к доверенному серверу точного времени в момент подписания. Сервер формирует документ с меткой времени и хешем подписанного файла. Штамп доказывает, что подпись была создана в конкретный момент, даже если срок сертификата к моменту проверки уже истек.
Без штампа времени через три года (типичный срок действия УКЭП) доказать, что документ подписан в период действия сертификата, практически невозможно. Суд может не принять такой документ.
OCSP (Online Certificate Status Protocol) — ответ удостоверяющего центра, подтверждающий, что сертификат не был отозван на момент подписания. Ответ OCSP встраивается в подпись формата CAdES-XLong Type 1 и выше.
Где штамп времени доступен «из коробки»: СКБ Контур, ФНС (при подписании через личный кабинет), 1С:Архив. Госключ пока не поддерживает TSP. Проверить подлинность подписи можно на портале Госуслуг.
Мария Ж, юрист со стажем более 20 лет:
«В моей практике был случай: компания оспаривала дату подписания приказа об увольнении. УКЭП стояла, но без TSP. Серт к моменту суда истек, и доказать, что подпись была валидна на дату приказа, не удалось. С тех пор я настаиваю на CAdES-T как минимуме для кадровых документов.»
МЧД при подписании документов в 2026 году
С 1 сентября 2023 года сотрудники организаций подписывают документы от имени юрлица только двумя способами: ЭП физического лица + машиночитаемая доверенность (МЧД), либо ЭП руководителя организации.
МЧД — это XML-файл, подписанный УКЭП руководителя. Доверенность содержит полномочия сотрудника, срок действия и идентификаторы. МЧД регистрируется в распределенном реестре ФНС (построенном на блокчейн-технологии). Проверить действующую МЧД можно на сайте ФНС: m4d.nalog.ru.
На практике это означает, что при подписании кадрового документа от имени организации система должна автоматически приложить МЧД к подписи. Без доверенности контрагент или госорган не примет документ — подпись физлица сама по себе не подтверждает полномочий действовать от юрлица.
Как подписать документ электронной подписью: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Убедитесь, что на компьютере установлен криптопровайдер (КриптоПро CSP 5.0) и корневые сертификаты Минцифры + промежуточный сертификат вашего УЦ.
- Шаг 2. Подключите токен с закрытым ключом к USB-порту или убедитесь, что облачный ключ (КриптоПро DSS) активен.
- Шаг 3. Откройте программу для подписания (КриптоАРМ ГОСТ 3, веб-интерфейс КЭДО-системы или онлайн-сервис).
- Шаг 4. Выберите документ для подписания. Проверьте содержание — после подписания изменения аннулируют подпись.
- Шаг 5. Выберите сертификат подписанта. Убедитесь, что срок действия сертификата не истек и это нужный сертификат (не тестовый, не просроченный).
- Шаг 6. Выберите формат подписи: CAdES-BES для текущего обмена, CAdES-T или CAdES-XLong Type 1 для долгосрочного хранения, PAdES для PDF.
- Шаг 7. Выберите тип подписи: присоединенная или отсоединенная.
- Шаг 8. Включите штамп времени (TSP), если программа поддерживает и задача требует долгосрочного хранения.
- Шаг 9. Нажмите «Подписать». Введите PIN-код токена, если система его запрашивает.
- Шаг 10. Проверьте результат: откройте подписанный файл и убедитесь, что подпись валидна, сертификат действителен, цепочка доверия выстроена.
- Шаг 11. Если подписываете от имени организации — убедитесь, что МЧД приложена к подписи или зарегистрирована в реестре ФНС.
Типичные ошибки при подписании документов ЭП
Практика внедрения КЭДО в организациях выявила ряд повторяющихся ошибок, которые приводят к невалидным подписям и судебным рискам.
Отсутствие корневых сертификатов в цепочке. Подпись сформирована корректно, но на компьютере получателя не установлен корневой сертификат Минцифры или промежуточный сертификат УЦ. Проверка завершается ошибкой, хотя подпись в порядке. Решение — убедиться, что на всех рабочих станциях установлена актуальная цепочка сертификатов.
Выбор просроченного сертификата. Если на токене записано несколько контейнеров (например, старый и новый сертификат), сотрудник может случайно выбрать просроченный. Подпись будет сформирована, но при проверке окажется невалидной.
Путаница между извлекаемыми и неизвлекаемыми ключами. Программные (извлекаемые) ключи генерируются КриптоПро CSP и записываются на токен как на обычную флешку — ключ кратковременно попадает в оперативную память. Аппаратные (неизвлекаемые) ключи генерируются криптоядром токена и никогда не покидают устройство. ФНС выдает только неэкспортируемые контейнеры. Попытка скопировать такой контейнер на другой носитель завершится ошибкой.
Визуальный штамп на PDF вместо ЭП. Некоторые сотрудники вставляют картинку печати или подписи в PDF и считают документ подписанным. Визуальный штамп не имеет юридической силы — это просто изображение. Юридически значимая подпись формируется криптографическим способом.
Подписание без штампа времени. Если подпись создана в формате CAdES-BES (без TSP), через три года невозможно доказать, что документ подписан в период действия сертификата. Для кадровых документов со сроком хранения 5-75 лет это критично.
Хранение токенов в незапертых сейфах. Показательный случай из судебной практики: в компании Сбер сотрудник оспорил увольнение. Токены с УНЭП хранились в сейфе, который периодически оставался открытым. Суд встал на сторону работника, поскольку работодатель не обеспечил надлежащую защиту средств подписания.
Подмена документа при подписании. В деле Winlab сотрудник полагал, что подписывает заявление на больничный, а фактически подписал заявление об увольнении. Суд восстановил работника. Этот случай показывает, почему важно проверять содержание документа перед нажатием кнопки «Подписать» — а система КЭДО должна показывать документ целиком, без возможности подмены.
Мария Ж, спикер по КЭДО и юриспруденции:
«После дела Winlab мы полностью пересмотрели UX подписания в Добыто. Сотрудник видит полный текст документа с прокруткой, а кнопка подписания становится активной только после скролла до конца. Подмена документа при таком подходе — нереальна.»
Стоимость подписания документов ЭП в 2026 году
Стоимость внедрения электронного подписания зависит от масштаба организации. В сервисе Добыто. КЭДО действуют три тарифных плана.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф Старт (ПЭП, УНЭП) | от 30 руб./сотрудник/мес | до 25 сотрудников |
| Тариф Бизнес (ПЭП, УНЭП, УКЭП, интеграция 1С, электронный архив) | от 50 руб./сотрудник/мес | мин. 50 сотрудников, 30 000 руб./год |
| Тариф Корпорация (выделенный сервер, SLA 99.9%, API) | по запросу | без ограничений |
Актуальные цены и условия — на странице тарифов Добыто КЭДО.
Дополнительно стоит учесть расходы на криптопровайдер (лицензия КриптоПро CSP — разовая покупка), токены (от 1500 руб. за штуку для аппаратных ключей) и, при необходимости, на программу подписания (КриптоАРМ ГОСТ 3). При использовании облачного КЭДО-сервиса большинство этих расходов включены в тариф.
Выводы: алгоритм подписания документа ЭП
Алгоритм подписания документа электронной подписью включает несколько технических этапов: вычисление хеш-функции, подписание хеша закрытым ключом, формирование подписи в нужном формате и, в идеале, получение штампа времени и ответа OCSP. Каждый этап влияет на юридическую силу документа, и пропуск любого из них создает риски при судебном споре или проверке.
Для кадрового документооборота критически важен выбор правильного вида подписи. Работодатель подписывает УКЭП, сотрудник — НЭП или УКЭП для трудовых договоров и соглашений, ПЭП для остальных документов. С 2023 года подписание от имени организации требует МЧД, зарегистрированной в реестре ФНС. Формат подписи определяет срок ее проверяемости: для документов с длительным хранением необходим CAdES-T или CAdES-XLong Type 1 со штампом времени.
Инструменты для подписания разнообразны — от десктопного КриптоАРМ до мобильного Госключа и облачных КЭДО-систем. Выбор зависит от задачи: массовое подписание кадровых документов удобнее проводить через специализированный сервис КЭДО, разовое подписание для ФНС — через личный кабинет налогоплательщика, а быстрое подписание «на ходу» — через Госключ или КриптоПро MyDSS.
Часто задаваемые вопросы
Что такое алгоритм подписания документа электронной подписью?
Чем отличается присоединенная подпись от отсоединенной?
Какой формат подписи выбрать для кадровых документов?
Зачем нужен штамп времени при подписании?
Может ли сотрудник подписать трудовой договор простой электронной подписью?
Что такое МЧД и когда она нужна?
Что произойдет, если удалить приложение Госключ?
Чем отличаются извлекаемые и неизвлекаемые ключи?
Как проверить электронную подпись на документе?
Почему подпись не проходит проверку, хотя сертификат действителен?
Сколько стоит внедрение электронного подписания в организации?
Можно ли подписать документ без токена?
Визуальный штамп на PDF — это электронная подпись?
Как подписать несколько документов сразу?
Алгоритм подписания документа ЭП включает десяток технических нюансов — от выбора формата CAdES до настройки штампа времени и цепочки сертификатов. Сервис Добыто берет эту техническую сложность на себя: кадровик работает в привычном интерфейсе, а система сама определяет нужный формат подписи, проверяет срок сертификата и сохраняет подписанный документ в электронном архиве. За время работы мы подключили более 500 компаний к КЭДО — и в каждом проекте настройка подписания занимала меньше дня.
Тариф Старт — от 30 руб./сотрудник/мес. Бизнес — от 50 руб./сотрудник/мес с интеграцией 1С и электронным архивом.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — ставится за час без привлечения разработчиков
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров