Подписать ZIP архив ЭЦП через КриптоПро можно двумя путями: заверить сам файл архива целиком как единый объект или подписать вложенные документы по отдельности и упаковать их вместе с файлами подписи. Разберём оба варианта, чтобы вы выбрали тот, который примет ваша принимающая сторона — суд, контрагент, площадка или госорган. Покажу, чем отличается присоединённая подпись от отсоединённой, какой формат запросит проверяющая система, и почему ZIP вообще удобен для пакета документов. Это часть большого материала про подписание документов электронной подписью, где собраны инструкции под разные форматы файлов.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что значит подписать ZIP архив электронной подписью
ZIP архив для криптопровайдера — такой же файл, как PDF, Word или XML. КриптоПро не разбирает, что у него внутри, он считает хэш по всему массиву байтов архива и шифрует этот хэш закрытым ключом. На выходе вы получаете либо обновлённый файл со встроенной подписью, либо отдельный файл подписи рядом. Поэтому технически вопрос не в том, можно ли подписать ZIP — можно, как любой файл, — а в том, какой результат вам нужен на выходе.
И тут начинается развилка, которую большинство пропускает. Подпись на весь архив целиком фиксирует архив как один объект. Сломали целостность хоть на байт — подпись слетела. А вот подпись на каждый вложенный документ внутри — это уже другая история, там каждый файл живёт своей жизнью со своим сиг-файлом. Какой вариант правильный? Зависит от того, кто будет проверять и зачем. Для отправки пакета на электронную площадку чаще нужен второй. Для архивного хранения комплекта — иногда первый.
В сервисе Добыто мы сталкиваемся с этим в каждом втором обращении по подписанию: человек хочет «подписать папку», а на деле принимающей стороне нужны отдельные сиг-файлы по каждому документу. Сначала разберитесь с требованиями получателя, потом запускайте КриптоПро.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая ошибка — человек берёт ворох документов, жмёт zip, подписывает архив целиком одной подписью и отправляет на площадку. А там ждут присоединённую подпись по каждому файлу. И всё, затык. Прежде чем лезть в КриптоПро, выясните формат у того, кто будет проверять — это сэкономит вам пару кругов переподписания.»
Присоединённая и отсоединённая подпись: в чём разница для архива
Подпись бывает двух видов, и для ZIP это критично. Присоединённая подпись включается внутрь результирующего файла — исходные данные и сама подпись лежат в одном контейнере формата CMS (он же PKCS#7). Открыть такой файл и достать оригинал можно только специальной программой. Плюс — ничего не потеряется, всё едет в одном файле. Минус — без криптопровайдера или плагина исходный документ не извлечь.
Отсоединённая (открепленная) подпись формирует отдельный файл — чаще всего это сиг-файл с расширением .sig. Принцип создания отсоединённой подписи в КриптоПро один и тот же что для архива, что для отдельного документа. Исходный ZIP остаётся нетронутым, рядом с ним появляется файлик подписи. Когда нужно проверить, в проверяющую программу загружают оба: и сам архив, и сиг-файл. Потеряете один из двух — проверка не пройдёт.
Для ZIP архива практика такая. Если архив — это просто транспортная упаковка и вам важно сохранить его читаемым любым архиватором, делайте отсоединённую подпись, исходный zip останется обычным zip. Если важно намертво связать данные и подпись в один объект — присоединённую. Большинство госсистем и операторов ЭДО работают с отсоединённой подписью в формате CAdES — это усовершенствованный вариант CMS с дополнительными доказательствами подлинности.
Мария Ж, судебный эксперт по трудовому праву:
«В суде штампик ничего не значит — это просто визуализация для глаза. Юридическую силу несёт электронный оригинал и сиг-файл, по которым проверяется подпись. Если у вас ZIP с отсоединённой подписью, в суд несёте и архив, и .sig, и желательно с меткой времени. Без метки доказать, когда именно подписали, будет тяжело.»
Что нужно установить перед подписанием
Базовый комплект для подписания ZIP через КриптоПро состоит из трёх вещей. Первое — криптопровайдер КриптоПро CSP. На текущий момент актуальная сертифицированная версия 5.0 R2 и 5.0 R3, при этом единая лицензия одинаково подходит и под R2, и под R3. Без CSP подпись по ГОСТ просто не сформируется, это ядро всей схемы. Скачивается дистрибутив с официального сайта cryptopro.ru, раздел «Скачать», сертифицированные версии, выбор операционной системы. Если подпись потом понадобится для отчётности, пригодится сервис ФНС по представлению отчётности на nalog.gov.ru, где те же требования к настроенному рабочему месту.
Второе — драйвер для носителя, если закрытый ключ хранится на токене. Это Рутокен, JaCarta или eSmart, у каждого свой драйвер с сайта производителя. Народное название токена — «флешка», хотя это не флешка, а защищённое устройство, которое хранит закрытый ключ и не отдаёт его наружу. Третье — сам сертификат, установленный в хранилище личных сертификатов компьютера через вкладку «Сервис» в КриптоПро CSP, кнопка «Просмотреть сертификат в контейнере».
Для подписания именно файлов, а не работы в браузере, понадобится программа с интерфейсом подписи. Чаще всего это КриптоАРМ — КриптоАРМ ГОСТ 3 или КриптоАРМ 6. Удобно, что для проверки подписи КриптоАРМ ГОСТ лицензия не требуется вообще: поставил и проверяешь. А вот для создания подписи лицензия нужна. КриптоПро ЭЦП Browser Plug-in ставят отдельно, он нужен для подписания в браузере и онлайн-сервисах, а не для подписания файла с рабочего стола.
Как установить КриптоПро для подписания ZIP: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите тип носителя с подписью (Рутокен, JaCarta, eSmart) и скачайте драйвер с сайта производителя. Установите его в режиме по умолчанию, нажимая «Далее».
- Шаг 2. Скачайте КриптоПро CSP 5.0 R2 или R3 с сайта cryptopro.ru из раздела сертифицированных версий под вашу операционную систему. Установите и перезагрузите компьютер.
- Шаг 3. Подключите токен в USB-порт. Откройте КриптоПро CSP, вкладка «Сервис», кнопка «Просмотреть сертификат в контейнере», через «Обзор» выберите контейнер с действующим сертификатом.
- Шаг 4. Установите сертификат в хранилище личных сертификатов, проходя мастер кнопками «Далее» и «Готово».
- Шаг 5. Установите программу подписи (КриптоАРМ ГОСТ 3 или КриптоАРМ 6). Для проверки подписи лицензия не нужна, для создания — нужна.
Как подписать ZIP архив через КриптоАРМ: вариант с архивом целиком
Сначала самый простой сценарий — подписать готовый ZIP как единый файл. Собираете нужные документы в один архив любым архиватором, получаете, условно, dogovory.zip. Дальше открываете КриптоАРМ, запускаете мастер создания подписи, добавляете в него этот zip как исходный файл. Программа спросит формат подписи и вид — присоединённая или отсоединённая.
Выбираете вид под задачу. Хотите оставить архив читаемым обычным архиватором — ставите отсоединённую, на выходе получаете dogovory.zip.sig рядом с исходником. Нужен единый контейнер — присоединённую, тогда КриптоАРМ соберёт новый файл, внутри которого и архив, и подпись. Затем выбираете сертификат, которым подписываете, вводите пароль (пин-код) от контейнера токена и подтверждаете. Подпись формируется на борту — то есть закрытый ключ не покидает токен, операция идёт внутри устройства.
Здесь важный нюанс по форматам. Если документы нужны для долгого хранения — кадровый комплект, финансовые бумаги со сроком хранения 5, 10, 50 лет, — подпись стоит делать в усовершенствованном формате CAdES с меткой времени. Обычная подпись CMS после истечения срока действия сертификата теряет доказуемость момента подписания. КриптоАРМ ГОСТ 3 умеет формировать долгосрочный формат для архивного хранения, это его штатная функция.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Подпись на борту токена — это не маркетинг, это про безопасность. Закрытка живёт внутри чипа и наружу не вылезает. Поэтому даже если кто-то залез в ваш компьютер, без самого токена и пин-кода подписать он ничего не сможет. Для подписания ценных пакетов документов я всегда советую неизвлекаемый ключ на Рутокен ЭЦП 2.0, а не закрытку файлом на диске.»
Как подписать документы внутри архива по отдельности
Второй сценарий встречается чаще, особенно когда пакет уходит на площадку или контрагенту через оператора ЭДО. Здесь подписывается не архив, а каждый документ внутри него. Сначала подписываете все файлы, потом собираете в ZIP уже подписанные документы вместе с их сиг-файлами.
Чтобы не подписывать по одному вручную, используют пакетную подпись. Принцип массового подписания документов ЭЦП избавляет от перебора файлов поштучно. В КриптоАРМ можно подписать одновременно достаточно большое количество документов — выделяете весь набор, запускаете мастер, задаёте формат и сертификат один раз, и программа проходит по всем файлам. На каждый документ создаётся свой файл подписи. Затем всё это — оригиналы плюс сиг-файлы — упаковываете в один ZIP и отправляете.
Почему именно так делает большинство принимающих систем? Потому что проверяющему сервису удобно: он загружает zip, разбирает его и сопоставляет каждый документ с его подписью. Многие сервисы проверки прямо принимают на вход zip архив, внутри которого лежат подписанные файлы, — распаковывают и проверяют все подписи разом. Это стандартная схема для пакетной отправки.
Если документов реально много — сотни приказов, заявлений, актов — ручная пакетная подпись на одной машине превращается в долгую операцию. Для таких объёмов существуют серверные решения вроде КриптоАРМ Server: он работает по API, забирает файлы из заданного каталога, подписывает любым количеством, складывает результат. Пакетная подпись там штатная, человек только смотрит за отчётами.
Когда документов в архиве десятки и сотни, а форматы подписи у принимающих сторон разные, ручное подписывание через КриптоАРМ на одной машине превращается в источник ошибок: где-то перепутали присоединённую с отсоединённой, где-то забыли метку времени. В Добыто мы автоматизируем подписание пакетов кадровых документов так, что система сама определяет нужный формат под маршрут и подписывает любым количеством, без ручного перебора файлов.
Образцы документов и инструкции для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
Проверка подписи на ZIP архиве
Подписали — проверьте. Это не формальность, а способ убедиться, что получатель сможет открыть и подтвердить вашу подпись. Проверка зависит от вида. Для присоединённой подписи в проверяющую программу загружают один файл — тот самый контейнер, где данные и подпись вместе. Для отсоединённой — оба: исходный ZIP и сиг-файл. Если загрузить только один из двух, проверка отсоединённой подписи не пройдёт, программа скажет, что нет данных для сверки.
Удобный момент: многие онлайн-сервисы и десктопные проверялки принимают zip архив целиком, разбирают его внутри и проверяют все подписи вложенных файлов сразу. То есть если вы собрали пакет из подписанных документов и сиг-файлов в один zip, проверяющая сторона загрузит этот архив, и сервис покажет статус по каждой подписи. На выходе можно получить отчёт о проверке в формате PDF — наглядный протокол со статусом и информацией о сертификате.
В сервисе Добыто вся цепочка подписей фиксируется с отметками времени, поэтому при выгрузке пакета вы получаете не только документы и подписи, но и доказательную базу на случай проверки или спора. Проверить отдельную подпись или документ можно прямо онлайн.
Подписать документ электронной подписью онлайн
Мария Ж, юрист со стажем более 20 лет:
«Никогда не отправляйте пакет, не проверив подпись на своей стороне. Я видела, как люди подписывали отсоединённой, отправляли только архив без сиг-файла, и контрагент неделю не мог понять, почему «зелёной галочки» нет. Проверка на своей машине занимает минуту и снимает половину головняка с переотправками.»
Стоимость подписания и сервиса электронного документооборота
Стоимость зависит от того, что именно вам нужно: разовая подпись своими силами через КриптоАРМ или системное подписание пакетов документов в составе сервиса КЭДО. Для разового подписания основные затраты — это лицензия КриптоПро CSP и токен с сертификатом. Если же речь о потоке кадровых или финансовых документов, которые нужно подписывать пачками и хранить с метками времени, считать надо по тарифу сервиса — он зависит от численности сотрудников и набора функций.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны |
| Бизнес — оптимальный набор функций для среднего бизнеса | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив |
| Корпорация — для крупного бизнеса с требованиями к SLA | По запросу | Всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, API |
В тарифе Бизнес минимальная оплата начинается от 50 сотрудников за 30 000 ₽ в год, дальше стоимость считается за рабочее место. Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее.
Частые ошибки при подписании архива
Первая и главная ошибка — подписать архив целиком, когда принимающей стороне нужны подписи по отдельным файлам. Делают так ради скорости: проще один раз нажать подпись на zip, чем возиться с каждым документом. Цена ошибки — переотправка всего пакета и потерянное время, а если был дедлайн на площадке, то и сорванная подача.
Вторая — отправить отсоединённую подпись без самого сиг-файла или, наоборот, потерять оригинал. Отсоединённая подпись бессмысленна без пары «данные плюс подпись». Третья — подписать обычной подписью CMS документы, которые лягут на долгое хранение, и не поставить метку времени. Через несколько лет, когда сертификат протухнет, доказать момент подписания будет нечем. Для архивного хранения нужен формат CAdES с меткой и, в идеале, периодическое ухаживание за подписью — продление архивными метками при смене криптоалгоритмов.
Четвёртая — перепутать сертификат при подписании. Когда в персональном менеджере несколько сертификатов с разными сроками, легко выбрать просроченный. Смотрите на дату и берите актуальный. В сервисе Добыто эту проблему мы закрываем тем, что система сама подставляет действующий сертификат и не даёт подписать просроченным.
Выводы: подписание ZIP архива через КриптоПро
Подписать ZIP через КриптоПро можно двумя способами, и выбор между ними решает всё. Подпись на архив целиком фиксирует весь файл как один объект и подходит для хранения комплекта или передачи единым контейнером. Подпись по отдельным документам внутри с последующей упаковкой в ZIP — стандарт для отправки на площадки и контрагентам через операторов ЭДО. До запуска КриптоАРМ выясните, какой формат и вид подписи ждёт принимающая сторона, иначе придётся переподписывать.
Технически нужен комплект из КриптоПро CSP версии 5.0 R2 или R3, драйвера токена и программы подписи — КриптоАРМ ГОСТ 3 или 6. Присоединённая подпись держит данные и подпись в одном контейнере CMS, отсоединённая формирует отдельный сиг-файл, который проверяется только вместе с оригиналом. Для документов с долгим сроком хранения подписывайте в формате CAdES с меткой времени, иначе после окончания срока сертификата момент подписания не докажете. Большие пакеты подписывайте пакетной подписью, а при потоке документов — серверными решениями или сервисом КЭДО.
Проверяйте подпись на своей стороне до отправки. Минута проверки экономит дни на переотправках. Если архив идёт в суд — несите и оригиналы, и файлы подписи, и метки времени, потому что графический штамп юридической силы не несёт, её несёт проверяемая электронная подпись.
Часто задаваемые вопросы
Можно ли подписать ZIP архив одной подписью целиком?
Чем присоединённая подпись отличается от отсоединённой?
Какая программа нужна для подписания архива через КриптоПро?
Как подписать много документов внутри архива сразу?
В каком формате подписывать архив для долгого хранения?
Как проверить подпись на ZIP архиве?
Какой нужен токен для подписания и обязателен ли он?
Имеет ли юридическую силу графический штамп подписи на документе?
Зачем нужна метка времени при подписании архива?
Что делать, если в КриптоПро несколько сертификатов и непонятно, какой выбрать?
Можно ли подписать архив сразу несколькими подписями?
Подписание ZIP архива своими руками через КриптоАРМ работает, пока документов немного и формат у всех получателей один. Как только речь о кадровом или финансовом потоке — сотни приказов, заявлений, актов с разными требованиями к виду подписи и обязательными метками времени — ручная схема начинает съедать время и плодить ошибки.
Сервис Добыто закрывает эту задачу системно. Мы подключили к КЭДО более 500 компаний и в каждом проекте автоматизировали подписание так, чтобы сотрудник не думал про форматы CMS и CAdES, а кадровик не перебирал файлы вручную. Подписание идёт пачками, с фиксацией всей цепочки и метками времени — то, что нужно для проверки ГИТ и для суда.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого документа в пакете
- Пакетное подписание любого количества документов без ручного перебора файлов
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
- Хранение документов до 50 лет с доступом к архиву даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Защищённые каналы, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ