Подписать ZIP открепленной подписью SIG нужно тогда, когда комплект файлов отправляют одним архивом, а принимающая система требует подпись отдельным файлом — на торгах, в арбитраже, при подаче проектной документации. Здесь разберем, чем подпись архива отличается от подписи отдельных документов, как сформировать .sig в КриптоПро и КриптоАРМ, что положить внутрь ZIP, а что оставить снаружи, и как потом эту пару проверить. Это часть большого материала про создание файла электронной подписи в формате SIG, где собраны все способы получения открепленной подписи.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что значит подписать ZIP открепленной подписью SIG
ZIP для криптопровайдера — это обычный файл. Байты и байты. Когда вы накладываете на архив открепленную подпись, программа берет весь архив целиком, считает от него хеш по ГОСТ Р 34.11-2012 и кладет результат в отдельный файл с расширением .sig. Сам архив при этом не меняется — ни на байт. На выходе два объекта рядом: documents.zip и documents.zip.sig.
Вот тут важный момент, который путают чаще всего. Подпись ложится на архив как на контейнер, а не на каждый файл внутри него по отдельности. То есть проверяется целостность всей упаковки. Распаковали, добавили туда лишний файлик, перепаковали — подпись слетела, потому что хеш архива изменился. Так что подписывают ZIP в самую последнюю очередь, когда внутри уже лежит финальный набор.
Открепленная (она же отсоединенная, detached) — значит подпись лежит снаружи. Есть еще присоединенная, когда документ и подпись сворачиваются в один контейнер CMS. Для архивов почти всегда берут именно открепленную: получателю нужен живой ZIP, который он откроет штатным архиватором без всякого крипто-софта, а .sig идет довеском. Технически и .sig, и .p7s, и .sgn — это один формат, PKCS#7 поверх ГОСТ. Отличается только расширение и кодировка. Подробнее про различие присоединенного и открепленного варианта мы разобрали в материале про создание отсоединенной подписи в КриптоПро.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самый частый затык — человек подписывает архив, а потом докладывает в него еще один файл и удивляется, почему подпись невалидна. ZIP подписывают финальным. Сначала собрали все бумажки скопом, проверили состав, и только потом накладываете подпись. Любое шевеление внутри после подписания — и весь sig в мусорку.»
Когда архив подписывают целиком, а когда каждый файл внутри
Две разные истории, которые легко перепутать.
Первая. Вам надо отправить пачку документов одним отправлением, и система-получатель принимает «архив + подпись на архив». Тогда вы пакуете все в ZIP, подписываете сам ZIP, отправляете два файла. Так делают, когда важна целостность всего комплекта как единого целого — например, многотомная проектная документация, где порядок и состав файлов критичны.
Вторая. Каждый файл внутри должен иметь свою собственную подпись. Это сценарий госзакупок и ряда порталов: внутри ZIP лежат пары — смета.pdf и смета.pdf.sig, пояснительная.docx и пояснительная.docx.sig, и так далее. В этом случае ZIP — просто транспортная коробка, его самого никто не подписывает, он нужен только чтобы не плодить десяток вложений в письме. Подписи стоят на отдельных документах, а архив их перевозит.
Как понять, какой вариант ваш? Смотрите требования принимающей стороны. Если в инструкции площадки написано «загрузите архив и файл подписи к нему» — подписываете сам ZIP. Если «каждый документ должен быть подписан УКЭП» — подписываете файлы по отдельности, потом складываете в архив. Перепутаете — заявку или комплект завернут. Логику в этих требованиях искать бессмысленно, у каждой системы своя, ее нужно просто выполнить.
В практике Добыто мы видим этот вопрос в каждом втором обращении по подписанию архивов — люди подписывают ZIP целиком, а площадка ждала подпись на каждый файл. Поэтому первым делом смотрим регламент конкретного портала, а уже потом беремся за подписание.
Мария Ж, судебный эксперт по трудовому праву:
«В судебных спорах открепленная подпись доставляет больше всего головняка. Стороны приносят архив, а sig потеряли. Или sig есть, а исходный ZIP уже не тот — кто-то его перепаковал. Я всегда советую держать пару «архив + sig» вместе и не трогать архив после подписания вообще.»
Что нужно для подписания: программы и сертификат
Минимальный набор на рабочем месте такой. Криптопровайдер КриптоПро CSP версии 5.0 R2 или выше — с января 2026 года поддержка четвертой версии прекращена, на пятерку переходить обязательно. Драйверы вашего ключевого носителя — Рутокен, JaCarta, eSmart. Личный сертификат УКЭП, установленный в хранилище. И программа, которая умеет делать открепленную подпись: либо Инструменты КриптоПро (идут в комплекте с CSP), либо КриптоАРМ ГОСТ.
Про сертификат. Для архива, который уходит во внешнюю систему, нужна именно усиленная квалифицированная подпись — УКЭП. ПЭП и УНЭП годятся для внутреннего обмена, а вот госзакупки, Росреестр, арбитраж принимают только квалифицированную. Если не уверены, какой у вас вид подписи, это видно в свойствах сертификата.
Отдельно про обновление. С 1 апреля 2026 года ФНС перешла на новые стандарты шифрования ГОСТ Р 34.12-2018 и ГОСТ Р 34.13-2018 (кузнечик и магма). Кто не обновил КриптоПро до сборки 12000 и выше — ловит ошибки при формировании подписи и отправке. Так что перед тем как подписывать что-то важное, проверьте сборку. Это пять минут, а нервов экономит много.
Мария Ж, юрист со стажем более 20 лет:
«Денюжки на лицензию КриптоПро тут не сэкономить — без актуальной сборки подпись просто не сформируется по новому ГОСТу. И токен под рукой держите. Каждый второй вопрос «почему не подписывается» — это либо старая сборка, либо флешку забыли воткнуть.»
Как подписать ZIP открепленной подписью SIG: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Соберите финальный архив. Положите в ZIP все нужные файлы, проверьте состав. После подписания трогать архив нельзя.
- Шаг 2. Подключите носитель с УКЭП в USB-порт. Убедитесь, что КриптоПро CSP видит сертификат (Сервис — Просмотреть сертификаты в контейнере).
- Шаг 3. Откройте Инструменты КриптоПро, перейдите в раздел «Создание подписи», нажмите «Показать расширенные настройки».
- Шаг 4. Поставьте флажок «Сохранять подпись в отдельном файле» (открепленная подпись), выберите ваш сертификат, при необходимости укажите формат — для архива подойдет CAdES-BES.
- Шаг 5. Нажмите «Подписать», выберите ваш ZIP, введите PIN-код носителя. Рядом с архивом появится файл с расширением .p7s или .sig.
- Шаг 6. Если система-получатель требует именно .sig, а файл создался как .p7s — переименуйте расширение вручную, содержимое идентично.
- Шаг 7. Отправьте оба файла вместе: исходный ZIP и файл подписи. Без одного из них проверка невозможна.
Подписание ZIP через КриптоАРМ ГОСТ
КриптоАРМ удобнее, когда подписей много и хочется графику. Алгоритм простой. Кликаете по архиву правой кнопкой, выбираете КриптоАРМ — Подписать. Запускается мастер. В окне выбора выходного формата ставите DER-кодировку и галочку «Сохранять подпись в отдельном файле» — это и есть открепленный вариант, на выходе получите .sig. В параметрах подписи выбираете «Подписано» или «Утверждено» (зависит от роли), указываете сертификат, жмете Далее и подписываете.
Если работаете через новый интерфейс КриптоАРМ ГОСТ 3, путь чуть другой: раздел «Документы», мастер «Подпись и шифрование», перетаскиваете архив, активируете функцию «Подписать», напротив личного сертификата нажимаете «Редактировать» и выбираете нужный. Здесь же можно поднять стандарт подписи — с базового CAdES-BES до CAdES-T (со штампом времени), CAdES-X Long Type 1 или архивного CAdES-A. Для этого понадобятся лицензии на КриптоПро TSP Client и OCSP Client плюс адреса служб штампов времени.
Отдельная фишка КриптоАРМ ГОСТ 3 — пакетная подпись. Когда нужно подписать не один архив, а сразу несколько файлов или собрать единый архив из подписанных данных вместе с файлом МЧД. Это закрывает второй сценарий, про который я писала выше: каждый файл получает свою подпись, а потом все скопом летит в ZIP.
Когда архивов десятки, а на каждом еще и разные стандарты подписи с метками времени — ручное подписание превращается в рутину, в которой легко ошибиться форматом или потерять пару «файл + sig». В сервисе Добыто документ и его подпись связываются автоматически в одной карточке, разорвать пару случайно нельзя, а архив с подписями уходит в защищенное хранилище одной кнопкой.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Образцы документов и памятки по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Криптографическая защита информации (процессы формирования и проверки) | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
Подписать ZIP онлайн через сервис Добыто Подпись
Если ставить КриптоАРМ и возиться с расширенными настройками не хочется, архив можно подписать в браузере. Логика та же, что у любого файла: загружаете ZIP, выбираете тип подписи — открепленная или присоединенная, указываете сертификат из установленных на устройстве, жмете «Подписать», скачиваете .sig или подписанный пакет. Архив на сервере не сохраняется, обработка идет локально. Поддерживается больше сотни форматов, ZIP среди них.
Мы в Добыто специально оставили этот путь для тех, кому надо подписать один-два архива без регистрации в системах ЭДО — в командировке, из дома, с чужого компьютера. За пару минут, без установки тяжелого софта.
Подписать файл электронной подписью онлайн
Как проверить подпись на архиве
Проверка — зеркало подписания. Загружаете два файла: сам ZIP и .sig к нему. Система пересчитывает хеш архива и сверяет с тем, что зашит в подписи. Совпало — подпись валидна, не совпало — значит архив меняли после подписания, либо sig от другого файла.
Где проверять. Бесплатный государственный сервис — портал Госуслуг по адресу gosuslugi.ru/eds: выбираете «Проверить электронную подпись», грузите архив в одно поле, .sig в другое, получаете результат — валидна или нет, ФИО владельца сертификата, наименование удостоверяющего центра, дату и время подписания. Работает со всеми аккредитованными УЦ и понимает как открепленные, так и присоединенные подписи. Альтернативы — Контур.Крипто, портал ФНС, локальный КриптоАРМ, а с недавних пор и бесплатная проверка в мессенджере Max.
Удобный момент: сервисы проверки умеют принимать ZIP-архив, внутри которого лежат и документы, и файлы подписи. То есть если вам прислали один архив с парами «файл + sig», не нужно их доставать по одному — загружаете весь ZIP, и система сама разбирает содержимое и проверяет каждую подпись.
Мария Ж, HR-эксперт с 13-летним стажем:
«При работе с открепленной подписью складывайте пару «архив + sig» в один ZIP с понятным именем сразу после подписания. Потеряли sig — подпись не проверить. Потеряли исходник — тоже, сам sig документа не содержит, это только слепок хеша. Это совет из практики, а не из учебника.»
Типичные ошибки при подписании архива
Разберу те, что встречаются постоянно, и во что они обходятся.
Подписали архив, потом доложили в него файл. Делают ради экономии времени — «забыл вложить смету, сейчас добавлю». Цена ошибки: подпись становится невалидной, комплект заворачивают, переподписывать приходится заново, а если дедлайн на торгах прошел — заявка не принята вообще. Правило железное: архив подписывается последним действием.
Перепутали открепленную и присоединенную подпись. Площадка ждала отдельный .sig, а вы прислали единый контейнер — или наоборот. Документы на выпуск некоторых сертификатов, кстати, наоборот принимают только присоединенную подпись и не в архиве. Цена: отказ в приеме, потеря дня-двух на переделку. Лечится чтением требований до подписания, а не после.
Старая сборка КриптоПро. После перехода ФНС на ГОСТ Р 34.12-2018 с апреля 2026 года подпись на сборке младше 12000 либо не формируется, либо не принимается. Цена — сорванная отправка отчетности. Обновление бесплатное в рамках эксперимента ФНС, занимает минуты.
Потеряли sig или исходный архив. Открепленная подпись живет только в паре. Один файл без второго — бесполезен. Цена при споре: невозможность доказать факт и время подписания. Особенно больно с долгим хранением: подпись CAdES-BES не содержит метку доверенного времени, и через 5-7 лет, когда сертификат подписанта истечет и выпадет из реестров УЦ, проверить ее станет нельзя. Для архива на годы берут CAdES-T или CAdES-XL с архивной меткой — их делают КриптоАРМ ГОСТ 3 и КриптоПро PDF.
Стоимость подписания и хранения документов в Добыто
Само формирование открепленной подписи через Инструменты КриптоПро или КриптоАРМ — бесплатно, если у вас уже есть действующая УКЭП и лицензия КриптоПро CSP. Платить приходится за инфраструктуру, когда подписей много и нужно где-то надежно хранить пары «архив + sig», вести их историю и не терять связки. Здесь стоимость зависит от численности сотрудников, выбранного тарифа и набора подключаемых модулей.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны |
| Бизнес — для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, ПЭП, УНЭП и УКЭП, электронный архив |
| Корпорация — для крупного бизнеса с расширенными требованиями и SLA | По запросу | Всё из Бизнеса, выделенный сервер, SLA 99.9%, API |
На тарифе Бизнес минимальная оплата — 50 сотрудников за 30 000 ₽ в год, подписи внутри сервиса выпускаются без отдельной доплаты. Итоговая сумма зависит от числа активных кабинетов, выбранного тарифа и набора модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее под вашу численность.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Выводы: подписание ZIP открепленной подписью SIG
Подпись архива технически ничем не отличается от подписи любого файла: криптопровайдер считает хеш всего ZIP по ГОСТ Р 34.11-2012 и кладет его в отдельный .sig рядом. Главное — определить заранее, что именно требует получатель: подпись на сам архив-контейнер или на каждый файл внутри него. От этого зависит весь порядок действий, и ошибка здесь стоит завернутого комплекта. Для внешних систем нужна УКЭП, а КриптоПро обязательно версии 5.0 R2 и выше со сборкой 12000+ после апрельского перехода на новые ГОСТы 2026 года.
Практический минимум такой. Архив подписывают финальным действием и после этого не трогают вообще. Открепленную подпись хранят строго в паре с исходником — без одного файла второй бесполезен. Для долгого хранения берут усиленный формат CAdES-T или CAdES-XL с архивной меткой времени, иначе через несколько лет подпись станет непроверяемой. Проверять удобнее всего на gosuslugi.ru/eds — бесплатно, со всеми аккредитованными УЦ, с поддержкой ZIP-архивов внутри.
Инструментов на рынке хватает: Инструменты КриптоПро для разовых задач, КриптоАРМ ГОСТ 3 для пакетной подписи и усиленных форматов, онлайн-сервисы для быстрого подписания без установки софта. Выбор зависит от объема и от того, нужны ли вам метки времени и архивные подписи для длительного хранения.
Часто задаваемые вопросы
Можно ли вообще подписать ZIP-архив электронной подписью?
Подписывать сам архив или каждый файл внутри него?
Чем отличается .sig от .p7s и .sgn?
Что будет с подписью, если изменить архив после подписания?
Какая версия КриптоПро нужна для подписания в 2026 году?
Какой подписью подписывать архив — ПЭП, УНЭП или УКЭП?
Как проверить открепленную подпись на архиве?
Что делать, если потерял файл .sig, а архив остался?
Подойдет ли подпись CAdES-BES для долгого хранения архива?
Можно ли подписать архив онлайн без установки программ?
Нужно ли распаковывать архив для проверки подписей внутри него?
Чем подписать архив — Инструментами КриптоПро или КриптоАРМ?
Подписать пару архивов вручную — дело пяти минут. А вот когда в компании сотни приказов, договоров и комплектов документов, ручное подписание превращается в источник ошибок: то sig потеряли, то архив перепаковали, то стандарт подписи перепутали. Сервис Добыто связывает документ и его подпись автоматически в одной карточке, ведет историю действий и хранит подписанные пакеты в защищенном архиве с поиском.
За время работы мы подключили компании из ритейла, медицины, IT и производства, в том числе с распределенными филиалами и удаленными сотрудниками. Вся цепочка подписей фиксируется с отметками времени, что защищает при проверках и в суде.
- Поддержка всех трех видов подписей — ПЭП, УНЭП, УКЭП — для любого документа и архива
- Открепленная и присоединенная подпись, формат .sig, встроенный штамп в PDF
- Документ и его .sig связаны автоматически — разорвать пару случайно нельзя
- Электронный архив с разграничением доступа, бэкапом и поиском по типу, дате и сотруднику
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Работа в браузере, сервис в реестре российского ПО, документы не сохраняются на сервере
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному