Подписать ZIP-архив электронной подписью онлайн можно так же, как любой другой файл — сервис берёт архив целиком и формирует к нему отсоединённый файл подписи в формате sig либо складывает архив и подпись вместе. Здесь разберём, какой вид подписи подходит для архива, чем отсоединённая подпись отличается от присоединённой, как подписать ZIP за пару минут через браузер без установки криптопровайдера и что делать, когда внутри архива десятки файлов. Тема входит в большой блок про программы для подписания документов ЭЦП, где описаны все инструменты для работы с подписью — от десктопных до облачных.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что значит подписать ZIP-архив электронной подписью
ZIP-архив для криптографии — это обычный бинарный файл. Подпись не заглядывает внутрь, не проверяет каждый документ по отдельности, она работает с архивом как с единым объектом. Считается хеш всего архива, к хешу применяется закрытый ключ, на выходе — файл подписи. Поменяете в архиве хоть один байт, добавите или удалите файл — подпись сразу станет недействительной. В этом и смысл: вы фиксируете состояние всего пакета целиком на конкретную дату.
Зачем айтишнику или кадровику подписывать именно архив, а не файлы внутри? Причин несколько. Когда нужно передать комплект — например, пакет ЛНА, набор закрывающих документов, выгрузку из системы — проще завернуть всё в один ZIP и подписать одной подписью, чем городить подпись на каждый из сорока файлов. Получатель скачивает один архив плюс один sig — и проверяет целостность всего комплекта за один проход. Удобно для архивного хранения, удобно для отправки контрагенту, удобно для загрузки в информационную систему, которая ждёт ровно один подписанный объект.
Мария Ж, специалист по цифровой подписи и КЭДО:
«К нам часто прилетает вопрос — а можно ли подписать сразу всю папку. Папку нет, а вот ZIP — да. Завернули папку в архив, и дальше это для крипты один файл. Подписал, скачал, рядом лёг sig. Главное потом не лезть в архив руками, иначе подпись отвалится и вся работа насмарку.»
Какая подпись подходит для ZIP-архива: ПЭП, УНЭП или УКЭП
Виды электронной подписи описаны в 63-ФЗ, в народе — «тройка». Их три, и для архива технически подойдёт любая, но юридический вес у них разный.
Простая электронная подпись, ПЭП, — это коды, логины-пароли, одноразки. Для подписания файла как такового она не формирует криптографический sig, поэтому для архива в привычном смысле её не используют. Усиленная неквалифицированная, УНЭП, уже строится на криптографии и создаёт настоящий файл подписи. Усиленная квалифицированная, УКЭП, — тот же механизм, но сертификат выпущен аккредитованным удостоверяющим центром, а средство подписи прошло оценку соответствия ФСБ. По закону документ, подписанный УКЭП, равнозначен собственноручной подписи без дополнительных соглашений.
Для архива, который пойдёт в госорган, в суд, контрагенту по сделке — берите УКЭП. Тут без вариантов. Для внутреннего обмена внутри компании, где между сторонами заключено соглашение об использовании подписи, хватит и УНЭП — а это, между прочим, совсем другие денежки для работодателя. Логику закона тут искать не нужно, её нужно просто учитывать: чем выше юридические последствия, тем выше требования к подписи.
Мария Ж, судебный эксперт по трудовому праву:
«Частый затык — человек подписывает архив УНЭП и уверен, что этого хватит для суда. А там просят УКЭП. Поэтому правило простое: если архив уходит за периметр компании, не экономьте на типе подписи. Серт от аккредитованного УЦ закрывает 90% вопросов на корню.»
Присоединённая или отсоединённая подпись для архива — что выбрать
Тут развилка, на которой спотыкаются чаще всего. Подпись бывает двух видов, и для ZIP это принципиально.
Присоединённая подпись упаковывает архив и саму подпись в один новый файл с расширением sig. Получается матрёшка — sig, внутри которого лежит ваш ZIP. Чтобы достать архив обратно, получателю нужна криптографическая программа: КриптоАРМ, КриптоПро или аналог. Без неё файл просто не открыть и не распаковать.
Отсоединённая подпись (её ещё называют откреплённой) ведёт себя иначе. Исходный архив остаётся нетронутым, рядом появляется отдельный файл подписи — например, для archive.zip создаётся archive.zip.sig. Хранить и пересылать нужно оба файла, и переименовывать их нельзя, иначе при проверке подпись не подтянется к архиву. Зато сам ZIP остаётся обычным архивом: его можно открыть, распаковать, прочитать содержимое без всякой крипты. Программа понадобится только тому, кто захочет проверить подпись.
Для архивов я почти всегда советую отсоединённую. С ней любой файл любого формата и размера остаётся самим собой, а подпись лежит рядом отдельным sig. Это удобнее для хранения и для передачи: контрагент видит архив, открывает, при необходимости проверяет sig. Присоединённую берут, когда система-получатель прямо требует единый подписанный объект — такое встречается при загрузке в отдельные информационные системы.
Как подписать ZIP-архив электронной подписью онлайн
Онлайн-подписание решает главную головную боль — не нужно ставить криптопровайдер, плагины и разбираться с настройкой рабочего места. Вы открываете сервис в браузере, цепляете архив, выбираете подпись, жмёте кнопку. На выходе — либо отдельный sig-файл, либо архив с документом и подписью внутри. В сервисе Добыто.Подпись так подписывают PDF, Word, картинки, таблицы, XML и любые другие файлы, включая ZIP — механика для всех одинаковая.
Один нюанс по размеру. У онлайн-сервисов обычно есть лимит на вес загружаемого файла, и тяжёлый архив на пару гигабайт через браузер может не пройти. Для увесистых пакетов разумнее десктопная программа. Но для типового комплекта документов в несколько десятков мегабайт онлайн-подписание — самый быстрый путь.
Проверка электронной подписи онлайн — сервис Добыто
Как подписать ZIP-архив онлайн: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Подключите носитель с подписью — токен или флешку (Рутокен, JaCarta) — к компьютеру, если ключ хранится на устройстве. Для облачной подписи носитель не нужен.
- Шаг 2. Откройте сервис подписания в браузере и прикрепите ZIP-архив через кнопку загрузки файла.
- Шаг 3. Выберите сертификат подписи из списка. Сервис проверит срок действия сертификата — просроченным подписать не даст.
- Шаг 4. Укажите вид подписи: отсоединённая (рядом ляжет отдельный sig) или присоединённая (архив и подпись в одном файле).
- Шаг 5. Нажмите «Подписать». Дождитесь формирования файла и скачайте результат — sig-файл или архив с подписью.
- Шаг 6. Сохраните оба файла (архив и sig) в отдельную папку с датой. Для отсоединённой подписи это обязательно: без одного из файлов проверка не пройдёт.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Главная ошибка после подписания — не сохранить sig-файл. Подписал, скачал, отправил контрагенту, а у себя удалил. А через полгода приходит проверка или контрагент заявляет, что ничего не подписывал. И у вас нет ни архива, ни подписи. Мы клиентам вбиваем одно правило: подписал — закинь архив и sig в папку с датой. В КЭДО Добыто это происходит автоматом, а при разовом подписании через сервис — это уже ваша зона ответственности.»
Чем подписать ZIP офлайн: программы для работы с подписью
Когда архив большой, когда подписывать нужно регулярно или когда так требует регламент информационной системы — используют десктопные программы. Их на рынке несколько, и каждая со своими особенностями.
КриптоАРМ ГОСТ 3 от Цифровых Технологий — универсальное приложение для работы с электронными документами. Подписывает файлы любого формата и размера отсоединённой подписью: загружаете архив в мастер «Подпись и шифрование», выбираете операцию «Подписать», в настройках ставите вид подписи «Отсоединённая». Формат файла подписи — sig, sgn, p7s, bin. Работает на Windows, Linux, macOS и отечественных ОС, сертифицирован ФСБ в составе КриптоПро CSP. Есть и пакетная подпись — когда нужно подписать сразу большое количество файлов.
КриптоПро CSP 5.0 — криптопровайдер, которым пользуется большинство. Работает с аппаратной криптографией Рутокен ЭЦП 2.0 в режиме неизвлекаемого ключа, то есть закрытый ключ не покидает токен. Это самый безопасный сценарий хранения «закрытки».
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Из других программ — Saby Crypto (бывший СБИС) формирует и присоединённую, и отсоединённую подпись; Контур.Крипто умеет подписывать онлайн и работает в том числе на Linux; ViPNet CryptoFile создаёт откреплённый sig. Для разовой задачи проще онлайн, для потока — десктоп.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Айтишники любят спрашивать, какой серт лучше держать на флешке, а какой — неизвлекаемым на токене. Для архивов, которые подписывают руками раз в неделю, неизвлекаемый ключ на рутокене — золотой стандарт. А вот для автоматического подписания в фоне, без графического интерфейса, заводят обезличку — обезличенный сертификат под информационную систему.»
Образцы документов и инструкции по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Криптографическая защита информации: формирование и проверка подписи | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Руководство пользователя сервиса Добыто КЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Приложение по формату электронных документов | Скачать |
Массовое подписание: когда вместо архива подписывают файлы по отдельности
Бывает обратная задача. Не «подписать архив целиком», а «подписать каждый файл внутри». Например, у вас 200 актов или приказов, и каждый должен иметь собственную подпись, потому что дальше они разойдутся по разным получателям и системам. Заворачивать их в один ZIP и подписывать оптом тут нельзя — получите одну подпись на пакет, а не двести подписей на двести документов.
Для таких случаев есть пакетная подпись. Программа берёт папку с файлами и подписывает каждый своей подписью, формируя для каждого отдельный sig. КриптоАРМ умеет так подписывать большие объёмы за один проход. Если перед вами стоит выбор — подписать комплект как единый архив или каждый документ отдельно, отталкивайтесь от того, как дальше будут использоваться файлы. Подробнее про массовое подписание нескольких файлов сразу — там разобраны оба сценария с примерами.
В практике Добыто мы видим обе задачи постоянно. Кадровики чаще подписывают комплекты ЛНА архивом, а бухгалтерия гоняет первичку и закрывашки поштучно через пакетную подпись. Под каждый сценарий настройка своя.
Запутались, что подписывать — архив целиком или каждый файл, и какой подписью? Это та точка, где разовая ошибка тиражируется на сотни документов, и переподписывать потом приходится всё. Наши специалисты настраивают маршрут подписания под конкретный процесс: какие документы идут архивом, какие поштучно, какой тип подписи на каждом этапе.
Юридическая значимость и хранение подписанного архива
Подписали архив — дальше его надо хранить так, чтобы подпись осталась проверяемой. И вот тут многие спотыкаются. Сертификат подписи действует ограниченный срок. После того как срок сертификата истёк, проверить подпись на момент подписания можно только при наличии доказательств — что в момент подписи сертификат был действителен.
Эти доказательства формируются меткой времени по протоколу ТСП плюс данными о статусе сертификата. Вместе они дают усовершенствованную подпись. По законодательству срок действия закрытого ключа — 3 года, плюс 15 лет хранения сертификата, итого до 18 лет проверяемости при использовании службы штампов времени. Для архива, который должен жить дольше, применяют механизм, который криптографы между собой называют «ухаживание за подписью»: система мониторит сроки и переподписывает документ, продлевая его значимость. А при смене поколения криптоалгоритмов сверху ставится новая подпись — «подпись архивариуса», и процесс начинается заново.
Для долговременного хранения работают и нормативы по архивам: 125-ФЗ «Об архивном деле» и ГОСТ Р 57762-2017 про долговременную сохранность электронных документов. Если вы храните подписанные архивы 10+ лет, метку времени надо закладывать сразу при подписании, а не вспоминать о ней через пять лет. Проверить действительность подписи на архиве можно бесплатно — например, через сервис проверки электронной подписи на Госуслугах, загрузив архив и файл подписи.
Мария Ж, юрист со стажем более 20 лет:
«Самая обидная история — подписали архив УКЭП, всё по закону, а через четыре года сертификат протух, метку времени не поставили, и доказать момент подписания нечем. Подпись как бы есть, а юридически провисает. Поэтому для архивного хранения метка времени — это не плюшка, а обязательный элемент. Заложили один раз — и спите спокойно.»
Типичные ошибки при подписании ZIP-архива
Первая и самая массовая — переименовать или потерять sig-файл при отсоединённой подписи. Файл подписи привязан к имени архива. Переименовали archive.zip — всё, archive.zip.sig к нему уже не привяжется при проверке. Цена ошибки: подпись не подтверждается, документ юридически пустой, переподписывать заново.
Вторая — залезть в архив после подписания. Добавили внутрь ещё один файл, удалили лишнее, пересохранили — хеш изменился, подпись недействительна. Делают это обычно «чтобы поправить мелочь», а получают необходимость подписывать весь пакет с нуля.
Третья — выбрать не тот тип подписи под задачу. Отправили контрагенту присоединённую подпись, а у него нет криптопровайдера, и он не может достать архив. Или наоборот — система требует единый объект, а вы прислали архив и sig отдельно. Цена ошибки тут — потерянное время на переписку и переподписание.
Четвёртая — подписать просроченным или отозванным сертификатом. Хорошие сервисы проверяют действительность сертификата при подписании и не дают подписать «мёртвым» ключом, но если подписываете старым инструментом без такой проверки — рискуете получить заведомо недействительную подпись.
Стоимость подписания архивов и сервиса электронной подписи
Разовое онлайн-подписание архива через сервис обычно бесплатно. Затраты начинаются там, где подписание становится регулярным процессом внутри компании — тогда подключают сервис КЭДО с подписанием на потоке. Итоговая стоимость зависит от численности сотрудников, выбранного тарифа, набора видов подписи и подключаемых модулей.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 руб. за сотрудника / мес | до 25 сотрудников, ПЭП и УНЭП |
| Бизнес — для среднего бизнеса с полным набором функций | от 50 руб. за сотрудника / мес | неограниченно сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С |
| Корпорация — для крупного бизнеса с расширенными требованиями и SLA | по запросу | выделенный сервер, SLA 99.9%, API и кастомные интеграции |
Минимальная оплата по тарифу Бизнес — 50 сотрудников за 30 000 руб. в год. Точную сумму под вашу численность и набор подписей удобно прикинуть заранее: актуальные тарифы сервиса Добыто помогут сориентироваться, что входит в каждый пакет и какой вид подписи доступен.
Выводы: подписание ZIP-архива электронной подписью
ZIP-архив подписывается как единый файл: к нему формируется подпись, фиксирующая состояние всего пакета на дату подписания. Для архивов, уходящих в госорганы, суд или контрагенту, используют УКЭП — она равнозначна собственноручной подписи по 63-ФЗ. Для внутреннего обмена при наличии соглашения сторон достаточно УНЭП. Онлайн через браузер подписать архив быстрее всего, без установки криптопровайдера, но для тяжёлых архивов разумнее десктопная программа вроде КриптоАРМ.
Для большинства задач выбирайте отсоединённую подпись: исходный архив остаётся читаемым, рядом лежит отдельный sig. Храните оба файла вместе и не переименовывайте их — это две самые частые причины, по которым подпись потом не проходит проверку. Если внутри много документов и каждый нужен с собственной подписью, вместо подписания архива применяйте пакетную подпись по отдельным файлам.
Для долговременного хранения сразу закладывайте метку времени по протоколу ТСП — она обеспечивает проверяемость подписи до 18 лет, а при более длительных сроках подключается механизм переподписания. Без метки времени подпись со временем теряет доказательную силу, даже если изначально была оформлена правильно.
Часто задаваемые вопросы
Можно ли подписать ZIP-архив электронной подписью онлайн без установки программ?
Подпись защищает весь архив или каждый файл внутри него?
Чем отсоединённая подпись лучше присоединённой для архива?
В каком формате создаётся файл подписи для архива?
Какой вид подписи нужен, чтобы архив имел юридическую силу?
Можно ли проверить подпись архива без специальных программ?
Что будет с подписью, если изменить файлы в архиве после подписания?
Как долго хранится проверяемость подписи на архиве?
Какими программами можно подписать ZIP-архив на компьютере?
Нужен ли токен для подписания архива онлайн?
Можно ли подписать архив несколькими подписями?
Разовое подписание архива через сервис закрывает точечную задачу. Но когда подписание превращается в регулярный процесс — комплекты ЛНА, первичка, выгрузки, передача документов между подразделениями и контрагентами — ручное подписание начинает съедать время и плодить ошибки с потерянными sig и переименованными файлами. Здесь помогает сервис КЭДО Добыто: подписание встроено в маршрут, а архив и подпись сохраняются автоматически.
За время работы мы подключили сотни компаний и настроили подписание под разные сценарии — от поштучной первички до комплектов документов архивом. Сервис поддерживает все три вида подписи и работает со штатными сотрудниками, самозанятыми и ГПХ в одном окне.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого процесса подписания
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Гибкая маршрутизация — параллельные и последовательные маршруты, выбор типа подписи на каждом этапе
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
- Три вида поставки — облачная, on-premise, гибридная — под требования информационной безопасности компании
- Хранение документов и подписей с автоматической систематизацией, доступ к архиву сохраняется надолго
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному