Подписать PDF ЭЦП можно тремя способами: встроенной подписью внутри самого файла, отсоединённым файлом формата SIG рядом с документом или через онлайн-сервис прямо в браузере. Разберём, чем эти варианты отличаются, какой софт ставить под каждый, как потом проверить результат и почему синий штампик на распечатке сам по себе ничего не доказывает. Тема входит в большой материал про программы для подписания документов ЭЦП, где собраны все инструменты и сценарии работы с подписью.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что значит подписать PDF электронной подписью
Электронная подпись — это не картинка с факсимиле и не отсканированная закорючка. Это число, которое вычисляется на основе содержимого документа с помощью закрытого ключа. При подписании сначала считается хэш файла — длинное число, однозначно соответствующее каждому байту PDF. Потом этот хэш зашифровывается закрытым ключом. Изменили в файле хоть один символ — хэш не сойдётся, и проверка покажет, что подпись не валидна.
Отсюда главное свойство, которое отличает усиленную подпись от простой: целостность. Простая электронная подпись (ПЭП) фиксирует только факт, что кто-то нажал кнопку. Проверить, меняли ли документ после подписания, через ПЭП нельзя. А вот усиленная неквалифицированная (УНЭП) и усиленная квалифицированная (УКЭП) получаются криптографическим преобразованием с ключом, поэтому ловят любую правку. Для PDF, который вы кому-то отправляете и который должен иметь вес, нужна как минимум УНЭП. УКЭП по статье 6 закона 63-ФЗ равнозначна собственноручной подписи на бумаге — и для этого не требуется никаких дополнительных соглашений между сторонами.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая путаница у новичков — они думают, что «плашка» с ФИО на странице PDF и есть подпись. Нет. Эта плашка — визуализация, картинка для человека. Сама «крипта» лежит либо внутри файла в служебной области, либо рядом отдельным сиг-файлом. Если выкинуть закрытку и оставить только штампик — юридически у вас на руках пусто.»
Виды подписи PDF: встроенная и отсоединённая
Есть два формата того, как подпись физически связывается с документом. Их надо различать, потому что от формата зависит, чем потом проверять и что отправлять контрагенту.
Присоединённая (встроенная) подпись. Криптография зашивается внутрь самого PDF. Открываете файл — и видите там штамп об электронной подписи, информацию о сертификате, иногда зелёную галочку валидности. Такой формат вы встречаете каждый день: выписка из ЕГРЮЛ, штраф ГИБДД, справка из госоргана — всё это PDF со встроенной подписью. Удобно тем, что документ один, ничего не потеряется. Минус — не каждая программа умеет встраивать подпись именно в тело PDF.
Отсоединённая (открепленная) подпись. Это отдельный файл с расширением .sig (или .p7s), который лежит рядом с исходным документом. Формат — PKCS#7, он же CMS. Сам PDF при этом остаётся нетронутым: откроете его — и никакого следа подписания не увидите. Поэтому многие создают копию документа с добавленным штампиком — чисто для наглядности. При отправке контрагенту нужно передавать оба файла: и сам PDF, и его сиг-файл. Потеряли сиг — проверить нечего.
Если разбираетесь, как из обычного файла получить открепленную подпись, посмотрите отдельный разбор про то, как из PDF сделать SIG-файл — там пошагово показано формирование отсоединённой подписи в разных программах.
Программы для подписания PDF: что выбрать
Чтобы подписать PDF на компьютере, нужны две вещи: криптопровайдер (он считает саму криптографию по ГОСТ) и программа-обёртка с интерфейсом, в которой вы выбираете файл, сертификат и жмёте кнопку. Криптопровайдер чаще всего — КриптоПро CSP, актуальные версии 5.0 R2 и R3. Программ-обёрток несколько, и они заметно отличаются по работе с PDF.
КриптоАРМ ГОСТ 3 от компании Цифровые технологии — универсальное средство подписи. Подписывает, шифрует, проверяет, есть встроенный почтовый клиент с S/MIME. Сертифицировано ФСБ. Но есть нюанс: в сертифицированную версию встроенная подпись внутри PDF не попала. КриптоАРМ ГОСТ 3 умеет визуализацию — добавит штамп на копию документа, — но полноценную встроенную подпись в тело PDF делает уже КриптоАРМ версии 6. В шестёрке появился отдельный Мастер подписи и защиты PDF: загружаете документ, нажимаете «подписать и защитить», мышкой размещаете штамп на странице, настраиваете ширину, высоту, на каких страницах он будет. Там же можно сертифицировать документ — после этого в него уже нельзя внести изменения.
Crypto Expert от CrypteX — один из самых простых интерфейсов, работает на Windows, Linux и macOS. Главная фишка — именно подпись и проверка PDF, плюс защита после подписания. У этой программы нет сертификата ФСБ, что важно учитывать, если вам нужна именно квалифицированная подпись.
КриптоПро PDF — плагин, который встраивает работу с электронной подписью прямо в Adobe Acrobat и Adobe Reader. Подписываете и проверяете, не выходя из привычного просмотрщика PDF.
Отдельно про лицензии. Для подписания КриптоАРМ требует лицензию. А вот для проверки подписи — не требует. И КриптоАРМ ГОСТ, и КриптоАРМ ГОСТ 3 проверяют чужие подписи бесплатно, без всякой активации. Поставили, проверили — и всё.
Мария Ж, судебный эксперт по трудовому праву:
«Совет из практики: не гонитесь сразу за УКЭП на токене, если вам надо разово подписать пару PDF между двумя юриками. Иногда хватает УНЭП по соглашению сторон — и это совсем другие денюжки. А вот для документов, которые реально могут уйти в суд, экономить на сертифицированной «крипте» не советую. Винлаб и Сбер уже проходили это — и оба проиграли работникам именно на том, как была организована подпись.»
Как подписать PDF электронной подписью: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Установите криптопровайдер (КриптоПро CSP 5.0 R2 или R3) и подключите носитель с сертификатом — токен Рутокен либо контейнер с ключом. Убедитесь, что сертификат виден в менеджере сертификатов.
- Шаг 2. Откройте программу для подписи: КриптоАРМ 6, Crypto Expert или Adobe Reader с плагином КриптоПро PDF. Загрузите нужный PDF-документ.
- Шаг 3. Выберите тип подписи. Для встроенной — режим «подпись внутри PDF». Для отсоединённой — формат CMS с созданием отдельного SIG-файла рядом с документом.
- Шаг 4. Настройте визуализацию штампа, если нужна: разместите его на странице, задайте размер и страницы. Выберите свой сертификат из списка и подтвердите подписание.
- Шаг 5. Введите PIN-код токена. После подписания сразу проверьте результат в той же программе — статус должен быть «подпись действительна», с данными сертификата и цепочкой сертификации.
Как проверить подпись на PDF после подписания
Подписать мало — надо убедиться, что подпись валидна, сертификат действовал на момент подписания и документ не меняли. Проверка отвечает на три вопроса: кто подписал, не изменился ли файл после подписания и был ли сертификат действителен. Способов несколько.
Через программу подписи. Тот же КриптоАРМ или Adobe Reader с плагином после загрузки документа сразу показывают статус: действительна подпись или нет, чей сертификат, срок его действия, целостность файла. Самый быстрый вариант, если софт уже стоит.
Через портал Госуслуг. В личном кабинете на портале Госуслуг в разделе настроек и безопасности видны все сертификаты, выпущенные на ваше имя: серийный номер, срок действия, удостоверяющий центр. Там же чужой сертификат на ваше имя можно отозвать. Для онлайн-проверки конкретного документа и файла подписи у Госуслуг работает отдельный сервис проверки (актуальная версия — e-trust.gosuslugi.ru, раздел проверки подписи): загружаете документ и сиг-файл, и портал показывает результат.
Через онлайн-сервисы. Загружаете документ и файл подписи в браузерный сервис проверки, нажимаете «проверить» — и получаете статус подписи плюс информацию о сертификате. Для присоединённой подписи грузите один файл, для откреплённой — и документ, и сиг отдельно, либо zip-архив с обоими. Многие сервисы сразу формируют отчёт о проверке в виде отдельного PDF, который можно скачать и приложить к делу.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
В практике Добыто мы для проверки подписей на стороне сервиса используем API удостоверяющих центров и формируем отчёт по каждому документу — кадровик видит статус, не открывая отдельную программу. Это снимает с человека рутину: не нужно вручную перетаскивать каждый файл в проверялку.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Самостоятельно настроить связку КриптоПро плюс токен плюс программа подписи, да ещё с правильным форматом для PDF — задача, на которой спотыкаются даже опытные пользователи. Особенно когда документов много, а ошибиться с типом подписи нельзя: суд потом смотрит именно на формат и на файлы подписи, а не на красивый штамп.
Наши специалисты настраивают подписание и проверку PDF под конкретный процесс компании — от выпуска сертификатов до автоматической проверки целых архивов.
Почему штамп на распечатке не имеет юридической силы
Это место, где ошибается большинство. Человек подписал PDF, распечатал его со штампиком «документ подписан электронной подписью, сертификат №…» — и думает, что у него на руках полноценный документ. Юридически у него на руках бумага с нарисованной картинкой.
Штампик — это визуализация для человека. Он нарисован поверх документа и сам по себе ничего не подтверждает. Проверить подпись по распечатке невозможно: криптография осталась в электронном файле. Когда дело доходит до суда или проверки, нужен электронный оригинал — сам PDF плюс файлы подписи. Именно их выгружают из системы, а не картинки. Суд при споре проверяет: подписан ли документ конкретной подписью, которой доверяют, и не был ли он изменён после подписания.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Мария Ж, юрист со стажем более 20 лет:
«Когда меня спрашивают, можно ли в суд принести распечатку с плашкой подписей, я отвечаю прямо: можно, но это макулатура. Эти штампики не несут никакой юридической силы. Несёт силу электронный оригинал с подписью, который можно проверить. Поэтому выгружайте архивы целиком — документ, сиг-файлы, всё остальное. Глотаем слёзы, но формат тут решает.»
Отсюда практический вывод: храните не распечатки, а электронные оригиналы с файлами подписи. И при отправке контрагенту по почте отправляйте PDF вместе с сиг-файлом, а не PDF со штампом.
Метка времени и долгосрочное хранение подписанных PDF
Сертификат подписи живёт не вечно. В удостоверяющем центре ФНС срок действия сертификата — 1 год и 3 месяца, то есть 15 месяцев. Бывают сертификаты и на больший срок. Возникает вопрос: а что будет с подписью на PDF, когда сертификат истечёт? Подписывать документ можно до истечения срока ключа подписи, а проверять — до истечения срока ключа проверки. Дальше начинаются сложности.
Здесь на помощь приходит усовершенствованная подпись — формат, к которому добавляются доказательства подлинности. Первое — метка доверенного времени (штамп времени): обращаемся к доверенной службе, она формирует документ с точным временем подписания и хэшем файла. Второе — ответ службы актуальных статусов сертификатов (OCSP): подтверждение, что сертификат на момент подписания не был отозван. Третье — архивная метка, которая объединяет и заверяет предыдущие. Эти доказательства позволяют проверить подпись даже после того, как срок сертификата вышел.
Для PDF, которые надо хранить годами — кадровые документы, финансовые, договоры, — это критично. Сроки хранения кадровых документов доходят до 50 лет, и обычная подпись столько не проживёт. Поэтому при формировании электронных архивов используют именно усовершенствованные форматы CAdES (например, CAdES-X Long Type 1, CAdES-A). А долговременная сохранность электронных документов регулируется ГОСТ Р 57762-2017, где прописаны требования к читаемости, аутентичности, миграции и конвертации данных.
Образцы документов для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Криптографическая защита информации — процессы формирования и проверки | Скачать |
Типичные ошибки при подписании и проверке PDF
Эти грабли встречаются в каждом втором обращении. Разберу четыре самых дорогих.
Ошибка 1: хранить распечатку вместо электронного оригинала. Делают так ради привычки к бумаге — распечатал, подшил в папку, спокоен. Цена ошибки: при споре документ невозможно проверить, подпись фактически отсутствует. Восстановить электронный оригинал, если его не сохранили, нельзя.
Ошибка 2: отправить контрагенту PDF без сиг-файла. Делают по незнанию — кажется, что документ со штампом самодостаточен. Цена ошибки: получатель не может проверить подпись, документооборот стопорится, приходится пересылать заново.
Ошибка 3: подписать важный документ простой подписью. Делают ради экономии и простоты. Цена ошибки: невозможно доказать, что документ не меняли после подписания. Именно на этом построены проигранные работодателями дела — когда сотрудник заявлял, что подписывал другой документ.
Ошибка 4: не ставить метку времени на документы длительного хранения. Делают, потому что подпись и так «работает» сегодня. Цена ошибки: через 15 месяцев сертификат истечёт, и подтвердить момент подписания будет нечем. Для архивных PDF это означает потерю доказательной базы.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Мы закладываем отдельный этап на обучение — объясняем, что выгружать из системы. Это экономит клиенту нервы потом. Самый частый затык даже не технический: люди привыкли к бумаге и тащат на проверку распечатки. А надо тащить архив с подписями. Один раз показал на пилоте — дальше работает само.»
Стоимость подключения подписания и проверки PDF в Добыто
Стоимость зависит от численности персонала, выбранного тарифа и набора функций — какие виды подписи нужны, требуется ли интеграция с 1С и электронный архив для долгосрочного хранения подписанных PDF. Для разовой работы с подписью хватает базового тарифа, для потокового подписания кадровых документов берут вариант с УКЭП и архивом.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — ПЭП и УНЭП, базовые шаблоны | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | неограниченно сотрудников |
| Корпорация — всё из Бизнеса, выделенный сервер, API | по запросу | SLA 99.9% |
В тарифе Бизнес минимальная оплата — 30 000 ₽ в год за 50 сотрудников. Итоговая сумма зависит от штата, набора модулей и вида подписи — актуальные тарифы сервиса Добыто помогут сориентироваться точнее под вашу задачу.
Выводы: подписание и проверка PDF электронной подписью
Подписать PDF можно встроенной подписью внутри файла или отсоединённым сиг-файлом рядом с документом, а для разовых задач — через онлайн-сервис в браузере. Под десктопную работу нужна связка криптопровайдера КриптоПро CSP и программы-обёртки: встроенную подпись в тело PDF делает КриптоАРМ 6 или плагин КриптоПро PDF в Adobe Reader. Для документа, который должен иметь юридический вес, берут усиленную подпись — ПЭП не позволяет проверить целостность файла после подписания, а УКЭП по статье 6 закона 63-ФЗ равнозначна собственноручной без всяких соглашений.
Проверять результат обязательно: через программу подписи, на портале Госуслуг или онлайн-сервисом, который покажет статус подписи и данные сертификата. Главное правило — синий штамп на распечатке юридической силы не несёт, это картинка для человека. Доказательную силу имеет только электронный оригинал с файлами подписи, поэтому хранить и передавать нужно именно его, а не бумагу со штампиком. При отправке контрагенту PDF идёт вместе с сиг-файлом.
Для документов длительного хранения подпись усиливают меткой доверенного времени и переводят в формат CAdES — иначе после истечения 15-месячного срока сертификата подтвердить момент подписания будет нечем. Долговременная сохранность регулируется ГОСТ Р 57762-2017. Под кадровые и финансовые PDF со сроком хранения до 50 лет это не опция, а необходимость.
Часто задаваемые вопросы
Чем отличается встроенная подпись PDF от отсоединённой?
Какой программой подписать PDF, чтобы подпись была видна в самом файле?
Имеет ли юридическую силу распечатка PDF со штампом об электронной подписи?
Можно ли проверить подпись на PDF бесплатно?
Что нужно отправить контрагенту, если подпись отсоединённая?
Какой вид подписи нужен для PDF — ПЭП, УНЭП или УКЭП?
Что будет с подписью на PDF после истечения срока сертификата?
Что такое метка доверенного времени и зачем она нужна?
Где хранить подписанные PDF и как долго?
Как проверить, не выпустил ли кто-то подпись на моё имя?
Нужна ли лицензия КриптоПро, чтобы подписать PDF?
Можно ли подписать сразу несколько PDF одной операцией?
Вы разобрались, как подписать PDF и как проверить результат. Но между «понял теорию» и «настроил рабочий процесс на всю компанию» — дистанция. Связать криптопровайдер, токены, нужный формат подписи под PDF, а потом ещё наладить проверку и хранение архива с метками времени — это та работа, на которой проще не наступать на грабли самостоятельно.
Сервис Добыто подключает подписание и проверку электронной подписью под конкретный процесс: от выпуска сертификатов до автоматической проверки целых архивов PDF. Мы реализовали отправку документов на подпись через Госключ и контур по API, ведём клиента до самостоятельной работы и закладываем юридическую обвязку из коробки.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого документа
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
- Хранение документов до 50 лет с сохранением проверяемости подписи
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без разработчиков
- Мобильное приложение для подписания PDF с телефона, в том числе по NFC
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Сопровождение до первых 50 подписаний — до момента полностью самостоятельной работы