Как подписать RAR-архив электронной подписью — значит создать для него откреплённый файл подписи в формате SIG, потому что сам архив остаётся бинарным контейнером и подпись внутрь него не вшивается. Эта статья нужна, если вы отдаёте подрядчику сборку, отправляете контрагенту пакет документов одним файлом или закладываете архив на долгое хранение и хотите, чтобы получатель смог проверить — кто и когда его подписал, и что после подписания внутри ничего не меняли. Разберём, какой подписью подписывать, чем создаётся SIG-файл в КриптоПро и КриптоАРМ, как подписать архив онлайн и как сделать так, чтобы подпись не протухла через год хранения. Это часть большого материала про программы для подписания документов ЭЦП, где собраны инструменты под все основные форматы файлов.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Можно ли подписать RAR-архив электронной подписью
Подписать можно любой файл. Архив RAR, ZIP, 7z, дистрибутив, образ диска — для криптографии это просто последовательность байтов. По 63-ФЗ электронная подпись — это информация в электронной форме, которая присоединена к другой информации или иным образом с ней связана и определяет подписавшее лицо. Закон не делает исключений по типу файла. Поэтому вопрос не в том, можно ли, а в том — какой результат вы получите на выходе.
С текстовыми форматами и PDF есть удобная штука — встроенная подпись, когда штампик с информацией о подписанте кладётся прямо внутрь документа. С архивом так не выйдет. Структуру RAR-контейнера ломать нельзя, иначе он перестанет распаковываться. Значит, подпись будет лежать рядом — отдельным файлом. Это и есть откреплённая, она же отсоединённая подпись. Выглядит как файл с тем же именем плюс расширение .sig: например, release_2026.rar.sig.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Главная путаница у айтишников в том, что они ищут, как засунуть подпись внутрь rar. Никак. Архив — это закрытый контейнер, туда крипту не подмешать, иначе хеш поедет и распаковка отвалится. Подписываете отсоединёнкой, рядом ложится сиг-файл, и вот эту пару — архив плюс серт — вы и передаёте. Потеряли .sig — считайте, подписи нет.»
Какой электронной подписью подписывать архив
Вид подписи определяется не форматом файла, а тем, для кого и зачем вы его подписываете. Тут три варианта, и путать их — дорого.
ПЭП, простая подпись — это про код из СМС или логин-пароль. Подписать ей архив технически можно внутри какой-то информационной системы, но юридическую значимость такая подпись получает только при наличии соглашения между сторонами. Для отдельно лежащего RAR-файла, который вы кому-то отправляете по почте, ПЭП бесполезна — получателю нечем её проверить.
НЭП, неквалифицированная — уже криптографическая подпись на закрытом ключе, даёт и целостность, и авторство. Но для обмена с внешними сторонами по ней тоже нужно соглашение о признании.
УКЭП, квалифицированная — рабочий вариант для архива, который уходит наружу. Никакие соглашения не требуются, документ по умолчанию равнозначен бумажному с собственноручной подписью, госорганы обязаны её принимать. Для УКЭП нужен сертификат от аккредитованного удостоверяющего центра и сертифицированное средство криптозащиты — тот же КриптоПро CSP. Если кратко: внутренний обмен в своей системе — можно НЭП, всё остальное — УКЭП.
Мария Ж, судебный эксперт по трудовому праву:
«Когда архив с документами идёт в суд или контрагенту, я всегда говорю — не экономьте, берите УКЭП. Видела дело, где сторона подписала пакет неквалифицированной подписью без соглашения о признании, и вторая сторона на голубом глазу заявила, что ничего не подписывала. Доказать авторство без соглашения — тот ещё головняк. С тройкой, с шестьдесят третьим законом, такой фокус не проходит: квалифицированная признаётся по умолчанию.»
Что нужно для подписания: токен, КриптоПро и сертификат
Перед тем как подписывать, на машине должна быть собрана связка из трёх частей.
Первое — закрытый ключ и сертификат. Чаще всего ключ хранится на USB-токене, Рутокен или JaCarta, и не покидает память чипа. Если ключ сгенерирован средствами самого токена, его значение невозможно вытащить программно — закрытка работает только внутри флешки. Это и есть та защита, ради которой токены и существуют.
Второе — криптопровайдер. КриптоПро CSP, на сегодня актуальна версия 5.0 R3. Это движок, который и считает подпись по ГОСТу. Нюанс: не все информационные системы дружат со старыми версиями провайдера, некоторые работают только с пятёркой и выше, так что качайте свежую. КриптоПро ставится первым, до всего остального, иначе программа подписи просто не увидит ключ.
Третье — программа, в которой вы будете нажимать кнопку подписать. КриптоПро сам по себе подпись для произвольного файла через привычный интерфейс не делает — ему нужна надстройка. Дальше разберём, какие есть.
Мария Ж, юрист со стажем более 20 лет:
«Девяносто процентов обращений в духе у меня не подписывает — это не про сломанный архив, а про то, что серт не установлен в личное хранилище, или КриптоПро не видит токен, или закончилась лицензия на провайдер. Сначала проверьте, что подпись вообще создаётся на тестовом файле, а уже потом грешите на rar.»
Как подписать RAR-архив через КриптоАРМ
КриптоАРМ — самый распространённый инструмент под эту задачу. Работает поверх КриптоПро, поддерживает разные стандарты подписи, мультиплатформенный — Windows, Linux, macOS и российские ОС. В версии КриптоАРМ ГОСТ 3 есть и почтовый клиент, и поддержка подписи с МЧД, и формирование подписи долгосрочного формата для архивного хранения. Сертифицирован ФСБ в составе КриптоПро CSP по классам КС1 и КС2.
Логика простая: добавляете RAR-файл, выбираете сертификат, ставите тип откреплённая и формат кодировки, жмёте подписать. Рядом с архивом появляется .sig. Главное на этом шаге — не перепутать откреплённую с присоединённой, потому что присоединённая для архива создаст единый запакованный контейнер, и распаковщик RAR его уже не откроет напрямую. Если нужно подробнее разобрать сам механизм откреплёнки и форматы CMS, есть отдельный материал про то, как создать отсоединённую подпись в КриптоПро — там механика расписана по шагам с картинками.
Как подписать архив электронной подписью: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Установите КриптоПро CSP 5.0 R3 и перезагрузите компьютер. Подключите токен с сертификатом, убедитесь, что провайдер видит контейнер.
- Шаг 2. Установите личный сертификат в хранилище через КриптоПро (вкладка Сервис, Просмотреть сертификаты в контейнере, Установить).
- Шаг 3. Откройте КриптоАРМ и запустите мастер подписи. Добавьте ваш RAR-файл в список подписываемых.
- Шаг 4. В параметрах укажите тип подписи откреплённая (отсоединённая), кодировку DER или BASE64, при необходимости включите штамп времени.
- Шаг 5. Выберите ваш сертификат, введите ПИН-код токена и нажмите Подписать. Рядом с архивом появится файл с расширением .sig — это и есть подпись.
- Шаг 6. Передавайте получателю пару файлов: сам архив и .sig. Без архива подпись не проверить, без .sig подписи нет.
Как подписать архив электронной подписью онлайн
Не у всех стоит десктопная программа, и не всегда её можно поставить — например, на рабочей машине с урезанными правами. Тогда выручают онлайн-сервисы. Контур Крипто формирует и проверяет подпись прямо в браузере, нужно только расширение и установленный КриптоПро. Загружаете архив, выбираете сертификат — получаете .sig. У КриптоПро есть свой тестовый веб-сервис создания подписи. Saby Crypto тоже умеет работать с ЭП через браузер.
Подвох онлайн-подписания в одном: закрытый ключ всё равно остаётся на вашем токене и в браузер не уезжает, но сам архив вы на сервис загружаете. Для публичной сборки или открытого пакета это не проблема. Для архива с персональными данными или коммерческой тайной я бы онлайн-вариант не рекомендовала — тут лучше десктоп, где файл с машины никуда не уходит. В сервисе Добыто Подпись подписание и проверка идут так, что исходный файл не покидает периметр — это закрывает вопрос с конфиденциальными архивами.
Если архив уходит в суд, в госорган или важному контрагенту, а вы подписываете такое первый раз — цена ошибки тут не в потраченном часе, а в том, что подпись не примут или признают недействительной. Перепутанный тип подписи, забытый штамп времени, просроченный сертификат всплывают в самый неподходящий момент. Специалисты Добыто помогают выстроить процесс подписания и проверки файлов так, чтобы подпись проходила с первого раза.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Образцы документов для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
Как проверить подпись на архиве
Получатель должен иметь возможность убедиться, что подпись настоящая. Проверка идёт по той же паре файлов: исходный архив плюс .sig. Загружаете оба в программу проверки — КриптоАРМ, Контур Крипто или онлайн-сервис проверки — и видите статус: кто подписал, когда, действителен ли был сертификат на момент подписи, не менялся ли архив после.
Тонкий момент с откреплённой подписью: если просто открыть архив, никаких следов подписания вы не увидите — подпись-то лежит отдельно. У человека возникает ощущение, что документ не подписан. Поэтому на практике для наглядности делают визуализацию: формируют копию с штампиком об ЭП, а целостность оригинала при этом не трогают. Проверять подлинность всё равно надо программно, по .sig, а плашка с подписями — это уже про удобный просмотр. Для государственной проверки подписи можно воспользоваться сервисом на портале Госуслуг для проверки электронной подписи — туда загружается файл и подпись, и система выдаёт заключение.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Мария Ж, HR-эксперт с 13-летним стажем:
«Передаёте архив — передавайте сразу пару: сам файл и сиг рядом. Я регулярно вижу, как айтишник отправил сборку, а .sig забыл, и на той стороне сидят, разводят руками. Без открепленного файла подпись не существует. И назовите .sig так же, как архив, чтобы проверяющий не гадал, какой замочек к какому файлу.»
Хранение подписанного архива: как подпись не протухает
Сертификаты сейчас выдают не на 15 месяцев, как раньше, а бывает и на больший срок. Но архив вы можете хранить 5, 10, 50 лет. И вот когда срок действия сертификата истечёт, обычная подпись на классическом формате CMS станет непроверяемой — формально невозможно подтвердить, что на момент подписания серт был действующим.
Решение — усовершенствованная подпись. К обычной добавляют доказательства подлинности: штамп времени, метку удостоверяющего центра о действительности сертификата на момент подписания, а сверху — архивную метку, которая объединяет и заверяет предыдущие. Это форматы CAdES-X Long Type 1 и CAdES-A. В народе это называют ухаживанием за подписью: когда меняются криптоалгоритмы, поверх старой подписи накладывают новую, архивную. КриптоАРМ ГОСТ 3 умеет формировать подпись долгосрочного формата сразу при подписании.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Если архив ложится в долгий ящик — например, пакет кадровых документов на 50 лет — подписывать надо сразу усовершенствованной, с штампом времени. Иначе через пять лет вы откроете архив, а проверялка скажет: серт истёк, подтвердить ничего не могу. Переподписывать задним числом уже поздно. Это та грабля, на которую наступают все, кто впервые делает электронный архив.»
Типичные ошибки при подписании архивов
Первая ошибка — присоединённая подпись вместо откреплённой. Делают так, чтобы был один файл вместо двух, ради кажущегося удобства. В итоге получают контейнер, который штатный RAR не распакует, и получателю нужна та же программа подписи, чтобы сначала извлечь архив. Цена ошибки — сорванная передача и переподписание всего пакета.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Вторая — подписали, но забыли штамп времени для архивного хранения. Мотив простой: на момент подписания всё работает, проверка зелёная. Через год-два сертификат истекает, и подпись в архиве уже не подтвердить. Цена — юридически архив перестаёт быть доказательством, восстановить статус нельзя.
Третья — подписали не тем видом подписи. НЭП для внешнего контрагента без соглашения о признании, или вовсе ПЭП. Делают ради экономии на квалифицированном сертификате. Цена ошибки всплывает в споре: вторая сторона отрицает подписание, и доказывать авторство приходится отдельно, иногда через экспертизу.
Стоимость подписания и сервиса Добыто
Сама по себе подпись архива денег не стоит — платите вы за сертификат, токен и лицензию КриптоПро. А если подписание и проверку файлов нужно встроить в рабочий процесс компании, поставить на поток для отдела или всей организации, то это уже задача уровня сервиса. Стоимость здесь зависит от числа сотрудников, выбранного тарифа и набора подключаемых модулей.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | от 50 сотрудников, 30 000 ₽ в год |
| Корпорация — всё из Бизнес, выделенный сервер, SLA 99.9%, API | по запросу | персональный менеджер |
Итоговая сумма зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Тариф Бизнес закрывает все три вида подписи и электронный архив, а это как раз то, что нужно для долгосрочного хранения подписанных файлов.
Подписать документ электронной подписью онлайн
Выводы: подписание RAR-архива электронной подписью
Архив RAR подписывают откреплённой подписью — рядом с файлом формируется отдельный .sig в формате CMS или CAdES. Сам контейнер при этом не меняется, и передавать нужно всегда пару: архив и файл подписи. Для внешнего обмена и суда берут УКЭП, для внутренней системы допустима НЭП с соглашением о признании. На машине должна стоять связка из токена с ключом, КриптоПро CSP 5.0 R3 и программы подписи — КриптоАРМ, либо онлайн-сервис в браузере.
Главная практическая рекомендация — заранее решить, как долго будет жить архив. Если хранение длительное, подписывайте сразу усовершенствованной подписью со штампом времени и архивной меткой, формат CAdES-A, иначе после истечения сертификата подпись станет непроверяемой. Не путайте откреплённую подпись с присоединённой, не теряйте .sig, называйте его так же, как архив, и проверяйте результат программно, а не по штампику на копии.
Тренд ближайших лет — смещение к долгосрочным форматам и автоматизации проверки. Сервисы вроде КриптоАРМ Server уже умеют периодически обходить электронный архив и переподписывать документы, у которых подпись пора усовершенствовать. Для разовой задачи хватит десктопной программы, для потока подписаний имеет смысл сразу закладывать инструмент с автоматической поддержкой архивных меток.
Часто задаваемые вопросы
Можно ли подписать RAR-архив, не распаковывая его?
Чем откреплённая подпись отличается от присоединённой?
Какой формат у файла подписи для архива?
Подойдёт ли простая электронная подпись для архива?
Что делать, если потерял файл .sig?
Можно ли подписать архив несколькими подписями?
Нужен ли КриптоПро, чтобы подписать архив?
Как подписать сразу несколько архивов?
Будет ли подпись действительна после истечения сертификата?
Можно ли подписать архив на Linux или macOS?
Безопасно ли подписывать архив онлайн?
Подписать один архив несложно. Сложности начинаются, когда подписание и проверку файлов нужно поставить на поток для всей компании — чтобы сотрудники не путали виды подписи, не теряли .sig и не подписывали важные архивы подписью, которая через год протухнет в хранилище. Тут уже нужен инструмент, который ведёт процесс от создания подписи до архивного хранения.
Добыто закрывает этот процесс целиком: подписание, проверка и хранение подписанных файлов с поддержкой всех видов электронной подписи. Сервис работает со штатными сотрудниками, самозанятыми и подрядчиками по ГПХ, а вся цепочка подписей фиксируется с отметками времени — это пригодится и при проверках, и в суде.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — под любую задачу подписания файлов
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
- Электронный архив с хранением документов и доступом к нему даже при расторжении договора с провайдером
- Готовый коннектор с 1С, SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Три вида поставки — облачная, on-premise, гибридная — под требования ИБ и VPN-периметра компании
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ