Сохранить подпись в формате SIG в КриптоПро означает создать отдельный файл с расширением .sig, в котором лежит результат криптографической операции по 63-ФЗ — присоединённая или отсоединённая подпись документа. Разберём, какими инструментами это делается, чем отличаются типы подписи, как настроить параметры сохранения через КриптоАРМ и плагин КриптоПро для браузера, что выбрать для отправки в госорганы, в суд, контрагенту. Это часть большого материала про создание отсоединённой подписи в КриптоПро, где собран весь маршрут от установки криптопровайдера до выгрузки готового sig-файла.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что представляет собой файл SIG в КриптоПро
SIG — это контейнер, в котором хранится результат криптографической операции над документом. Внутри лежит хэш исходного файла, шифрованный закрытой частью ключа, плюс открытая часть сертификата подписанта. Технически это PKCS#7 (он же CMS) — стандарт, на который опирается российский 63-ФЗ.
Сам по себе sig-файл — не электронный документ. Это служебный файл, который доказывает: конкретный человек с конкретным сертификатом подписал именно этот документ в определённый момент. Если документ изменят хоть на один байт после подписания, проверка покажет нарушение целостности.
В России sig-файлы используют для отправки отчётности в ФНС, СФР, Росстат, для регистрации сделок на Росреестре, для подачи исков в «Мой Арбитр», для заверения договоров между юриками. То же — в кадровом электронном документообороте, когда работодатель подписывает приказ или допсоглашение УКЭП.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда мы подключаем компанию к КЭДО, кадровики первым делом спрашивают — а как же sig-файл? Привыкли, что есть документ и рядом плашка с подписями. В нашем сервисе подпись внутри платформы лежит, но если нужно выгрузить документ для контрагента или для суда — формируется тот самый sig в формате CMS, который любой проверяющий откроет КриптоАРМом и увидит зелёную галочку.»
Как сохранить подпись в формате SIG через сервис Добыто Подпись
Если задача разовая — подписать договор для контрагента, выгрузку для налоговой, заявление в суд — не обязательно ставить КриптоАРМ. Подпись в формате SIG создаётся через онлайн-сервис Добыто Подпись прямо в браузере. Сертификат пользователя остаётся на его устройстве, файл документа на сервер не уходит, сервис в реестре российского ПО.
Сервис поддерживает PDF, DOC, DOCX, TXT, XLS, CSV, JPEG, PNG, TIFF и больше сотни форматов. Можно создать как открепленную подпись (sig-файл рядом с документом), так и присоединенную (документ + подпись в одном файле). С 1 марта 2026 года добавили визуальный штамп для PDF.
В практике Добыто пользователи берут онлайн-сервис для разовых операций, а для регулярного потока кадровых документов подключают полноценный КЭДО с автоматизацией маршрутов. Для проверки чужого sig-файла онлайн-сервис тоже подходит: загружаете оба файла, видите статус, информацию о сертификате, дату подписания.
Как сохранить SIG-файл в Добыто Подпись: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Убедитесь, что на компьютере установлен плагин КриптоПро ЭЦП Browser plug-in и КриптоПро CSP. USB-токен с сертификатом должен быть вставлен в порт компьютера.
- Шаг 2. Перейдите на страницу сервиса Добыто.Подпись. Регистрация не требуется, сервис бесплатный.
- Шаг 3. Загрузите файл для подписания — перетащите его в область загрузки или нажмите «Выбрать файл». Поддерживаются PDF, DOC, DOCX, XLS, XLSX, CSV, XML, JPEG, PNG, TIFF и более 100 других форматов.
- Шаг 4. Выберите тип подписи: откреплённая (формируется отдельный sig-файл) или присоединённая (документ и подпись в одном файле). Для PDF-файлов доступна встроенная подпись с визуальным штампом — укажите место размещения штампа на странице.
- Шаг 5. Выберите сертификат электронной подписи из списка установленных на устройстве.
- Шаг 6. Поставьте галочку согласия на обработку персональных данных (152-ФЗ) и нажмите кнопку «Подписать». Введите PIN-код токена при запросе.
- Шаг 7. Скачайте результат: отдельно файл подписи в формате .sig или архив, содержащий исходный документ и подпись. Файлы на сервере не сохраняются.
Какие бывают подписи в формате SIG: открепленная и присоединённая
В 63-ФЗ нет термина «sig-файл» как такового — есть формат PKCS#7/CMS. Но на практике все программы (КриптоАРМ, КриптоПро Office, Saby Crypto, OfficeCrypto, Госуслуги) сохраняют его именно с расширением .sig или .p7s. Между двумя расширениями технической разницы нет, это всё CMS-контейнер. А вот разница между присоединённой и отсоединённой — принципиальная.
Открепленная подпись. Sig-файл лежит рядом с исходным документом. Получатель должен иметь оба файла, иначе проверка невозможна. Преимущество — документ остаётся в исходном формате. Минус — файлов всегда два, легко потерять подпись.
Присоединённая подпись. Документ вшит внутрь sig-файла. Один файл — и в нём подпись, и сами данные. Прочитать содержимое без специальной программы нельзя. Государственные информационные системы (ФНС, Росреестр, Госуслуги) в большинстве случаев требуют именно открепленную — её проще автоматически проверять.
Мария Ж, юрист со стажем более 20 лет:
«Когда судебный эксперт получает на исследование электронный документ, первое, что смотрит — тип контейнера. Открепленная подпись с правильно заполненным сертификатом, действительным на момент подписания, плюс штампик времени от ТСП — это золотой стандарт для архивного хранения. Присоединённая удобнее в обмене, но при перекладывании из системы в систему чаще ломается.»
Какой тип выбирать — зависит от того, куда отправляете документ. Налоговая, Росреестр, СФР, портал Госуслуг для юриков — открепленная. Контрагент по обычной хозяйственной сделке — на ваше усмотрение. Документы с длинным сроком хранения (трудовые, бухгалтерские свыше 5 лет) — только открепленная с архивной меткой времени.
Как сохранить подпись в формате SIG через КриптоАРМ
КриптоАРМ от компании «Цифровые Технологии» — один из самых массовых инструментов для работы с электронной подписью на Windows, macOS и Linux. На середину 2026 года актуальны две сертифицированные сборки: КриптоАРМ ГОСТ 3 (версия 3737) и КриптоАРМ 6, у которого добавлен полноценный мастер подписи и защиты PDF. Обе работают в связке с КриптоПро CSP версии 5.0 R3.
Базовый сценарий: на документ в проводнике нажимаете правой кнопкой, выбираете КриптоАРМ → «Подписать». Открывается мастер. Дальше через «далее-далее-далее» задаёте параметры: тип подписи (открепленная или присоединённая), кодировку (DER или Base64), формат (CMS, CAdES-BES, CAdES-T со штампом времени, CAdES-X Long Type 1, CAdES-A для архивного хранения). Выбираете сертификат, вводите пин от токена — и готово, рядом с документом появляется .sig.
В КриптоАРМ ГОСТ 3 есть функция «профили подписи». Один раз настроили — например, открепленная, CAdES-T, конкретный сертификат — и потом каждый файл подписывается одной кнопкой по этому профилю. Это удобно для бухгалтеров и кадровиков, которые регулярно подписывают однотипные документы. Профили хранятся в самой программе, переносятся между рабочими местами.
Параметры, которые надо проверить перед подписанием
В мастере КриптоАРМ есть пункты, которые часто пропускают, а потом получают замечания при проверке:
- Кодировка. DER — двоичная, файл компактнее, но не читается как текст. Base64 — текстовая, открывается блокнотом, видно «begin signed message». По умолчанию ставится DER, для большинства задач этого достаточно.
- Формат подписи. CMS (он же базовый PKCS#7) — подпись без меток времени. CAdES-BES — то же самое, только в стандарте ETSI. CAdES-T — с меткой доверенного времени от службы ТСП. CAdES-X Long Type 1 — со статусами сертификата на момент подписи. CAdES-A — архивная подпись для хранения свыше 18 лет.
- Включать сертификаты в подпись. Если галка стоит — sig-файл автоматически содержит цепочку сертификатов, проверка проходит даже без интернета. Если галка снята — получатель должен сам найти сертификат подписанта, что бывает проблемой.
- Расширение. По умолчанию .sig, но можно поставить .p7s или .p7m. На читаемость подписи это не влияет.
Если документ нужен для длительного хранения (договор аренды на 49 лет, кадровый приказ, бухгалтерская первичка) — выбирайте CAdES-T минимум, лучше CAdES-X Long Type 1. Просто CMS через 12-15 лет станет невозможно проверить, потому что сертификат подписанта истечёт, а доказательств того, что на момент подписи он был действителен, в файле не будет.
Мария Ж, судебный эксперт по трудовому праву:
«В судебных делах по трудовым спорам, где документы 5-7-летней давности, постоянно сталкиваюсь с одной и той же бедой — подписали приказ простым CMS без меток времени. Сертификат давно истёк, проверить ничего нельзя, юридическая значимость под вопросом. Если бы при подписании поставили CAdES-T — была бы метка доверенного времени, и проблем бы не было. Это копеечная функция в КриптоАРМ, но почему-то её регулярно игнорируют.»
Альтернативные программы для создания SIG-файла
КриптоАРМ — не единственный инструмент. На рынке есть несколько программ, которые умеют создавать sig в КриптоПро.
КриптоПро PKI Studio. Идёт в составе КриптоПро CSP. Минималистичный интерфейс, базовый функционал — подписать, проверить, расшифровать. Подходит, если нужна одна-две подписи в день.
Litoria Desktop. Программа от «Газинформсервис», сертифицирована ФСБ. Поддерживает все форматы CAdES.
Crypto Expert (CrypteX). Работает на Windows, Linux, macOS, Astra Linux. Ключевая фишка — встроенная подпись PDF и работа с МЧД. Сертификата ФСБ у CrypteX нет.
КриптоАРМ ГОСТ 3 и КриптоАРМ 6. Версия 6 умеет встраивать графический штамп прямо в PDF, сертифицирована ФСБ в составе КриптоПро CSP КС1 и КС2 до мая 2027 года.
Saby Crypto и СБИС-Криптоплагин. От компании Тензор. Подпись делается прямо в личном кабинете, sig-файл скачивается как результат.
Госключ. В Госключе можно подписать УНЭП-подписью документ и получить файл, который проверяется как электронная подпись по 63-ФЗ. Для простых задач — бесплатный рабочий вариант.
Образцы документов и инструкций по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой инспекции | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец приказа о направлении на курсы повышения квалификации | Скачать |
| Примерная форма трудового договора | Скачать |
Как проверить корректность сохранённой SIG-подписи
Создать sig-файл — полдела. Перед отправкой контрагенту или в ведомство подпись стоит проверить. Иначе можно отправить документ с истекшим сертификатом, изменённой структурой или пустой подписью.
Способ первый — КриптоАРМ. Правой кнопкой по sig-файлу → «Проверить подпись». Программа покажет цепочку сертификатов, статус, хэш документа. Зелёная галочка — всё хорошо, красный крестик — подпись недействительна или документ изменён.
Способ второй — онлайн на Госуслугах. На портале Госуслуг есть сервис проверки электронной подписи — загружаете оба файла, получаете отчёт с реквизитами сертификата, датой подписания и результатом валидации. Бесплатно, без регистрации.
Способ третий — КриптоАРМ Server. Этот вариант для компаний с большим потоком документов. Сервис работает на Docker, ставится за день, проверяет подпись через REST API или Telegram-бот.
Что смотреть в отчёте:
- Сертификат действителен на момент подписания (не на момент проверки!).
- УЦ, выпустивший сертификат, аккредитован Минцифры (для УКЭП обязательно).
- Сертификат не отозван — проверяется по списку CRL или через сервис OCSP.
- Хэш документа совпадает с хэшем в подписи (документ не менялся).
- Если CAdES-T — метка времени корректна и подписана действующим сертификатом ТСП.
Когда подписывать нужно регулярно — по 5-10 кадровых документов в день, договоры с контрагентами, акты выполненных работ — возиться с настройкой профилей в КриптоАРМ и каждый раз вводить пин-код от токена становится отдельной работой. Для потокового документооборота имеет смысл смотреть в сторону КЭДО-сервиса, где маршрут согласования настроен один раз, а sig-файлы формируются автоматически с метками времени и архивной устойчивостью.
Стоимость работы с электронной подписью и КЭДО Добыто
Сама лицензия КриптоПро CSP покупается отдельно — бессрочная стоит около 2 700 руб., годовая дешевле. Токен Рутокен Lite на 64 КБ обойдётся в 1 500-2 000 руб. Сертификат КЭП через УЦ ФНС с 1 января 2022 года выдаётся бесплатно для руководителей юриков и ИП. Это разовые расходы на инфраструктуру под создание sig-файла.
Если задача не «подписать пару договоров», а вести полноценный кадровый документооборот компании — смотрите тарифы Добыто КЭДО. Электронные подписи ПЭП и УНЭП для сотрудников выпускаются бесплатно на всех тарифах, отдельно покупать токены сотрудникам не нужно.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф Старт — для небольших компаний | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны |
| Тариф Бизнес — для среднего бизнеса | от 50 ₽ за сотрудника / мес | Минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Тариф Бизнес — все виды подписей | включено в тариф | ПЭП, УНЭП и УКЭП, интеграция с 1С |
| Тариф Бизнес — электронный архив | включено в тариф | Кастомные шаблоны, приоритетная поддержка |
| Тариф Корпорация — крупный бизнес | По запросу | Выделенный сервер, SLA 99.9%, API |
| Тариф Корпорация — персональное сопровождение | По запросу | Персональный менеджер, кастомные интеграции |
Итоговая сумма зависит от численности персонала, выбранного тарифа и необходимости дополнительных модулей — актуальные тарифы Добыто КЭДО опубликованы на сайте, цена за рабочее место фиксированная, без скрытых начислений за каждое подписание или за хранение архива. На тарифах Бизнес и Корпорация интеграция с 1С:ЗУП ставится готовым модулем за один день, и кадровик подписывает документы в привычном интерфейсе одинэски.
6 типичных ошибок при создании SIG-подписи
1. Передача токена и пин-кода третьим лицам. Когда генеральный директор отдаёт свою закрытку и пин-код помощнику или бухгалтеру — юридически любой документ, подписанный с этого токена, считается подписанным самим директором. Оспорить в суде такую подпись практически невозможно. Если нужно делегировать подписание — выпускайте машиночитаемую доверенность (МЧД) на конкретного сотрудника с указанием полномочий.
2. Использование просроченного сертификата. Документ, подписанный сертификатом с истёкшим сроком, юридически ничтожен. Сертификат КЭП от УЦ ФНС действует 12-15 месяцев. КриптоПро CSP за 30 дней до истечения начинает показывать предупреждения — не игнорируйте.
3. Хранение скана паспорта в облачных сервисах. Если к облаку получат доступ злоумышленники, по скану паспорта могут оформить ЭЦП на ваше имя — известны случаи, когда мошенники продавали недвижимость по поддельным подписям.
4. Игнорирование уведомлений от удостоверяющего центра. УЦ обязан уведомлять о компрометации сертификата, отзыве, истечении срока. Письма часто падают в спам, и пользователь о проблеме узнаёт уже когда документ не подписывается. Настройте белый список для адресов УЦ.
5. Неправильная установка корневых сертификатов. Без корневого сертификата Минцифры (guc_22.crt) и сертификата УЦ ФНС (CA_FNS_Russia_2022_01.crt) подпись формально создастся, но при проверке не пройдёт. Корневые скачиваются с http://uc.nalog.ru/crt и устанавливаются в «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации».
6. Подписание с чужого компьютера или через публичный Wi-Fi. Закрытка с токена в момент подписания временно загружается в память криптопровайдера — если на машине стоит вредоносное ПО, есть риск компрометации. Используйте только доверенные устройства в защищённой сети.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самая частая боль, с которой к нам приходят клиенты — не могут проверить sig-файл, который сами же и сделали. Открывают — крестик, ругань на цепочку. В 9 случаях из 10 проблема в корневых сертификатах: УЦ установили, а корневой Минцифры забыли. Подпись формально валидная, документ нормально создан, но без корневого центр доверия не достроен. Поэтому в нашем чек-листе подключения корневые — первая позиция.»
Выводы: главное о сохранении подписи в формате SIG в КриптоПро
Sig-файл — это контейнер CMS/PKCS#7, в котором лежит результат криптографической операции по 63-ФЗ. Создаётся через КриптоАРМ, КриптоПро PKI Studio, Litoria Desktop, Crypto Expert, Saby Crypto, Госключ и онлайн-сервисы вроде Добыто Подпись. Есть два типа: открепленная (sig рядом с документом) и присоединённая (документ внутри sig). Для отправки в ФНС, СФР, Росреестр, для архивного хранения свыше 5 лет — выбирайте открепленную с форматом CAdES-T или CAdES-X Long Type 1, иначе через несколько лет проверить подпись будет невозможно.
Перед каждой массовой выгрузкой документов проверяйте sig-файл на действующем сервисе — на Госуслугах, в КриптоАРМ или через КриптоАРМ Server. Особое внимание — корневым сертификатам Минцифры и УЦ ФНС, без них любая подпись формально работает, но не валидируется получателями. Не передавайте токен и пин-код третьим лицам, отслеживайте сроки сертификата, используйте только доверенные устройства для подписания. Если документ важный — ставьте метку времени от ТСП, это копеечная функция, которая защищает от проблем при долгом хранении.
Для разовых задач достаточно онлайн-сервиса или КриптоАРМ на рабочем столе. Для регулярного потока кадровых документов — подключайте КЭДО, где маршруты, типы подписи и параметры sig-файла настраиваются один раз и работают автоматически. По 63-ФЗ и 377-ФЗ (статьи 22.1-22.3 ТК РФ) электронный кадровый документ с правильно созданным sig-файлом юридически равнозначен бумажному с собственноручной подписью.
Часто задаваемые вопросы
Чем отличается расширение .sig от .p7s и .p7m?
Можно ли сделать sig-файл бесплатно?
Какой формат sig выбрать для отправки в ФНС?
Что делать, если sig-файл не открывается КриптоАРМом?
Можно ли создать sig-файл без КриптоПро CSP?
Можно ли подписать sig-файлом несколько документов сразу?
Как долго можно проверять sig-файл после создания?
Подходит ли sig-файл для подписания трудового договора в КЭДО?
Что делать, если потерял sig-файл?
Можно ли подписать sig-файлом документ задним числом?
Хранятся ли sig-файлы на сервере Добыто Подпись?
Что выбрать: КриптоАРМ или онлайн-сервис?
Когда sig-файлы перестают быть единичными операциями и превращаются в ежедневный поток — 50 трудовых договоров на онбординге, 200 ознакомлений с инструкциями, 30 дополнительных соглашений к концу квартала — ручная работа в КриптоАРМ съедает кадровика целиком. Сервис Добыто переводит это всё в автоматический режим: маршруты согласования настроены один раз, sig-файлы генерируются с нужным форматом CAdES-T автоматически, метки времени и архивные подписи добавляются без участия пользователя.
За время работы Добыто мы подключили компании из IT, ритейла, производства и медицины — суммарно более 500 проектов внедрения. Знаем практику ГИТ в разных регионах, шаблоны ЛНА для разных отраслей, нюансы интеграции с 1С:ЗУП, SAP и Boss-Кадровиком. Подключение от 1 дня для команд до 50 человек, с пилотной группой и сопровождением методолога до полной самостоятельности.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ