Открепленная (отсоединенная) электронная подпись в формате SIG — это отдельный файл, который формируется при подписании документа и содержит криптографический хэш-код исходного файла. В отличие от присоединенной подписи, при создании SIG-файла сам документ остается неизменным и доступным для просмотра без специальных программ. Рассмотрим подробно, как создать такую подпись разными способами, какие инструменты использовать и как избежать типичных ошибок.
Этот материал является частью большого руководства по электронной подписи для документооборота. Автор статьи — Мария Ж., кофаундер сервиса электронного документооборота Добыто, юрист с 20-летней практикой в сфере корпоративного права.
Что такое файл SIG и как он работает
Файл с расширением .sig (от английского signature — «подпись») представляет собой контейнер с зашифрованной информацией о подписанном документе. Технически это результат криптографической операции, при которой на основе содержимого документа и закрытого ключа владельца формируется уникальный цифровой код.
Согласно статье 2 Федерального закона №63-ФЗ «Об электронной подписи», электронная подпись — это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией. Именно «иным образом связана» — это и есть механизм открепленной подписи.
В SIG-файл входят следующие данные:
- Хэш-сумма исходного документа — уникальный цифровой «отпечаток», вычисленный по алгоритму ГОСТ Р 34.11-2012 (Стрибог)
- Зашифрованный хэш — результат шифрования хэш-суммы на закрытом ключе владельца по ГОСТ Р 34.10-2012
- Данные сертификата электронной подписи: ФИО владельца, наименование организации, ИНН, ОГРН
- Дата и время подписания (метка времени)
- Информация об удостоверяющем центре, выпустившем сертификат
- Серийный номер сертификата и срок его действия
- Список точек распространения CRL (для проверки отзыва)
— Анатолий Жилёв, руководитель УЦ SignClick
При проверке подписи система выполняет обратную операцию: расшифровывает хэш с помощью открытого ключа из сертификата и сравнивает его с хэш-кодом проверяемого документа. Если значения совпадают — документ не изменялся после подписания, а подпись математически корректна.
Вывод автора: SIG-формат особенно удобен при отправке документов контрагентам, которые не имеют специализированного ПО для работы с ЭП. По статистике обращений в техподдержку, около 40% вопросов связаны именно с открытием подписанных документов. Открепленная подпись решает эту проблему — получатель может открыть исходный файл обычным способом.
Правовая основа использования открепленной подписи
Юридическая сила открепленной подписи закреплена в нескольких нормативных актах:
- 63-ФЗ «Об электронной подписи» (статьи 5, 6) — определяет виды ЭП и условия признания электронных документов равнозначными бумажным
- Гражданский кодекс РФ (статья 160) — устанавливает, что письменная форма сделки считается соблюденной при использовании ЭП
- Трудовой кодекс РФ (глава 49.1) — регулирует применение ЭП в кадровом электронном документообороте
- Приказ ФСБ России №795 — устанавливает требования к средствам электронной подписи
Отличие открепленной подписи от присоединенной
При работе с электронными документами критически важно понимать разницу между двумя типами подписи, поскольку от этого зависит способ хранения и передачи файлов. Определить нужный тип подписи для ваших задач поможет калькулятор выбора типа подписи.
Открепленная (отсоединенная) подпись:
- Создается отдельный файл .sig рядом с оригиналом документа
- Исходный документ не изменяется и открывается любой программой
- Для проверки требуются оба файла: документ и подпись
- При пересылке нужно отправлять оба файла (рекомендуется в архиве)
- Переименование любого из файлов может нарушить автоматическую проверку
Присоединенная подпись:
- Подпись встраивается внутрь документа
- Создается единый файл с двойным расширением (например, Договор.pdf.sig)
- Для просмотра содержимого нужна специальная программа-криптопровайдер
- Удобнее при хранении — один файл вместо двух
- Меньше риск потерять файл подписи
— Владимир Кузнецов, юрист в сфере ЭДО
Вывод автора: На практике государственные порталы (Госуслуги, Росреестр, ФНС, торговые площадки) принимают оба варианта. Однако в требованиях к загрузке файлов часто указывается предпочтительный формат. Перед первой отправкой документов рекомендую уточнить в техподдержке портала, какой формат они ожидают.
Что потребуется для создания открепленной подписи
Прежде чем приступить к формированию SIG-файла, подготовьте необходимые компоненты. Отсутствие любого из них приведет к ошибке при подписании.
- Действующий сертификат электронной подписи — квалифицированной (КЭП) или неквалифицированной (НЭП). Квалифицированную подпись выдают аккредитованные удостоверяющие центры (полный список на сайте Минцифры) или ФНС России для руководителей организаций. Неквалифицированную подпись можно получить удаленно через сервисы электронной подписи без личного визита — процедура занимает 10-15 минут.
- Криптопровайдер — программа, реализующая криптографические алгоритмы ГОСТ. Рассчитать стоимость лицензий для вашей организации можно с помощью калькулятора КриптоПро. Сертифицированы ФСБ России:
- КриптоПро CSP 5.0 — лидер рынка (более 80% установок), поддерживается всеми государственными системами
- ViPNet CSP — альтернативный криптопровайдер от ИнфоТеКС
- Сигнал-КОМ — менее распространен, применяется в специализированных системах
- Программа для подписания — пользовательский интерфейс для взаимодействия с криптопровайдером. Полный обзор доступного софта смотрите в статье программы для подписания документов ЭЦП:
- КриптоАРМ ГОСТ — универсальное платное решение (от 3000 руб.)
- Инструменты КриптоПро — бесплатная утилита, входит в состав CSP
- Контур.Крипто — онлайн-сервис, до 29 операций бесплатно
- СБИС — в составе платного тарифа
- Добыто.Подпись — полностью бесплатный онлайн-сервис
- Носитель ключа — устройство хранения закрытого ключа (если подпись не облачная). Определить оптимальный носитель для ваших задач поможет калькулятор подбора токена:
- Рутокен Lite/ЭЦП 2.0 — наиболее распространенный (синий или красный корпус)
- JaCarta LT/ГОСТ — популярен в банковской сфере (черный корпус)
- eToken — применяется реже, в основном в legacy-системах
- eSmart — встречается при работе с отдельными УЦ
- Установленные драйверы носителя — скачиваются с сайта производителя:
- Рутокен: rutoken.ru/support/download/
- JaCarta: aladdin-rd.ru/support/downloads/jacarta
- Документ для подписания — электронный файл любого формата: PDF, DOCX, XML, XLSX, изображения и др.
Способ 1: Создание SIG через КриптоАРМ ГОСТ
КриптоАРМ — одна из самых функциональных программ для работы с электронными подписями. Она поддерживает создание присоединенной и открепленной подписи, шифрование документов, работу с архивами подписей, массовое подписание и соподпись.
Пошаговая инструкция по созданию открепленной подписи:
- Запустите программу КриптоАРМ (ярлык на рабочем столе или через меню Пуск → КриптоАРМ)
- В главном окне программы найдите и нажмите кнопку «Подписать» на панели инструментов
- Откроется мастер создания электронной подписи — нажмите «Далее»
- Нажмите кнопку «Добавить файл» и выберите документ, который требуется подписать. Можно добавить несколько файлов для пакетного подписания
- На этапе выбора выходного формата укажите кодировку:
- DER — бинарный формат, компактнее по размеру (рекомендуется для большинства случаев)
- BASE64 — текстовый формат, удобнее для передачи по email через системы с ограничением бинарных вложений
- Обязательно установите галочку «Сохранить подпись в отдельном файле» — именно эта опция создает открепленную подпись
- На следующем шаге нажмите кнопку «Выбрать» и укажите ваш сертификат из списка. Если сертификат не отображается:
- Проверьте, что носитель (Рутокен/JaCarta) подключен к USB-порту
- Убедитесь, что драйверы носителя установлены
- Откройте КриптоПро CSP → Сервис → Просмотреть сертификаты — сертификат должен быть в списке
- При запросе введите пароль (ПИН-код) от контейнера закрытого ключа:
- Стандартный ПИН для Рутокен — 12345678
- Стандартный ПИН для JaCarta — 1234567890
- Если ПИН менялся — введите актуальный
- Нажмите «Готово» и дождитесь завершения операции (1-3 секунды)
В результате в той же папке, где находился исходный документ, появится файл электронной подписи. Имя файла формируется автоматически: к имени документа добавляется расширение .sig. Например: «Договор_поставки.pdf» → «Договор_поставки.pdf.sig».
Вывод автора: КриптоАРМ — оптимальный выбор для организаций, которые ежедневно работают с электронными подписями. Программа платная (лицензия от 3000 рублей), но имеет 14-дневный пробный период с полным функционалом. По опыту внедрений, окупается за 2-3 месяца за счет экономии времени на ручных операциях.
Способ 2: Создание SIG через Инструменты КриптоПро
При установке криптопровайдера КриптоПро CSP версии 5.0 и выше автоматически устанавливается бесплатная утилита «Инструменты КриптоПро». Она обладает базовым, но достаточным функционалом для подписания и проверки документов.
Пошаговая инструкция:
- Откройте меню «Пуск», найдите папку «КриптоПро» и запустите «Инструменты КриптоПро»
- В нижней части экрана нажмите кнопку «Показать расширенные» для доступа ко всем функциям
- Перейдите на вкладку «Создание подписи»
- Установите галочку «Создать отсоединенную подпись» — это ключевой параметр
- Нажмите «Выбрать файл для подписи» и укажите документ
- Нажмите «Сохранить подпись как» и выберите формат файла подписи:
- .sig — стандартное расширение для российских государственных порталов
- .p7s — международный формат PKCS#7, применяется в B2B и при работе с иностранными контрагентами
- .sgn — альтернативное расширение, встречается редко
- Укажите папку для сохранения файла подписи (рекомендую ту же папку, где лежит документ)
- Нажмите кнопку «Подписать»
- Выберите сертификат из списка и введите ПИН-код при запросе
Технически все три расширения содержат идентичную криптографическую информацию в формате CMS/PKCS#7 (RFC 5652). Разница в том, какие системы их принимают: российские государственные порталы ожидают .sig, международные системы и банки — .p7s. Для проверки на Госуслугах рекомендуется .sig. При необходимости файл можно переименовать, изменив расширение — содержимое при этом не меняется.
Способ 3: Создание SIG через онлайн-сервис Добыто.Подпись
Онлайн-сервис Добыто.Подпись позволяет создавать открепленную электронную подпись прямо в браузере без установки дополнительных программ. Сервис внесен в реестр российского ПО (запись №2411798), что подтверждает соответствие требованиям законодательства и прохождение проверок регуляторов.
Предварительные требования:
- Установленный криптопровайдер КриптоПро CSP версии 5.0 R2 и выше
- Установленный и включенный плагин КриптоПро ЭЦП Browser Plug-in
- Сертификат электронной подписи, установленный в личное хранилище Windows
- Браузер: Chrome, Яндекс.Браузер, Firefox или Edge (с установленным расширением)
Пошаговая инструкция:
- Перейдите на страницу сервиса по адресу dobyto.ru/sign/
- Загрузите документ одним из способов:
- Перетащите файл в область загрузки (drag-and-drop)
- Нажмите на область и выберите файл в проводнике
Поддерживаются форматы: PDF, DOCX, XLSX, XML, JPG, PNG, TIFF и более 100 других типов
- В разделе выбора подписи укажите сертификат из выпадающего списка. При первом использовании браузер запросит разрешение на доступ к сертификатам — нажмите «Разрешить»
- Выберите тип подписи — «Открепленная» для создания отдельного SIG-файла
- Нажмите кнопку «Подписать» и подождите 2-5 секунд
- После завершения скачайте результат:
- Отдельно файл подписи в формате .sig (кнопка «Скачать подпись»)
- Или архив ZIP с документом и подписью вместе (кнопка «Скачать архив»)
Важно: Документы не сохраняются на сервере — вся криптография выполняется на стороне браузера с использованием локального криптопровайдера. Файлы доступны только подписанту.
Вывод автора: Онлайн-сервисы оптимальны для эпизодического подписания — когда нужно подписать 5-10 документов в месяц и нет смысла покупать КриптоАРМ. Если объем документооборота растет, рассмотрите внедрение системы КЭДО — она автоматизирует весь цикл: создание, подписание, отправку, хранение и контроль сроков.
Способ 4: Создание SIG через СБИС (Saby)
Система СБИС широко используется для сдачи отчетности и B2B-документооборота. В ней предусмотрена функция формирования открепленной подписи для загрузки на внешние порталы.
Порядок действий:
- Подключите носитель с электронной подписью к USB-порту компьютера
- Откройте СБИС и перейдите в раздел «Документы» → «Мой диск»
- Загрузите документ для подписания: нажмите «+» или «с компьютера»
- Наведите курсор на загруженный файл и нажмите значок подписания (иконка ручки)
- Выберите ЭП из списка доступных сертификатов
- В окне «Выходной формат» укажите:
- Кодировку: DER (по умолчанию) или BASE64
- Расширение файла: .sig
- Установите флаг «Сохранить подпись в отдельном файле»
- Нажмите «Далее», выберите сертификат и введите ПИН-код
- Дождитесь сообщения «Операция завершена успешно»
- Наведите курсор на файл, нажмите «Сохранить» → укажите папку для выгрузки
Файл подписи появится в указанной папке с именем формата «ИмяДокумента.расширение.sig».
Способ 5: Создание SIG через ViPNet CryptoFile
Для пользователей криптопровайдера ViPNet CSP доступна бесплатная программа ViPNet CryptoFile. Она менее распространена, чем решения на базе КриптоПро, но полностью функциональна.
Настройка и подписание:
- Откройте программу ViPNet CryptoFile
- Перейдите в раздел «Настройки» (меню или значок шестеренки)
- Снимите флаг «Использовать прикрепленную подпись»
- В разделе «Параметры подписи» выберите расширение: .sig
- Установите флаг «Открепленная подпись»
- Сохраните настройки и вернитесь в главное окно
- Нажмите «Добавить файлы в список» или перетащите документ в окно программы
- Нажмите кнопку «Подписать»
- Введите ПИН-код контейнера при запросе
- Для выгрузки: выделите файл → «Выгрузить» → укажите папку
Инструкция по установке КЭП на компьютер — пошаговое руководство по установке и настройке квалифицированной электронной подписи на рабочем месте: определение типа ключевого носителя, скачивание и установка драйверов, настройка криптопровайдера.
Памятка по настройке КЭП для налоговой инспекции — инструкция по настройке рабочего места для работы с квалифицированной электронной подписью УЦ ФНС России.
Ответы на вопросы об установке ЭЦП — решения типичных проблем и ошибок, возникающих при настройке электронной подписи на компьютере.
Руководство пользователя Добыто.КЭДО — полное руководство по работе с платформой кадрового электронного документооборота.
Как проверить созданную подпись
После создания SIG-файла обязательно проверьте его корректность перед отправкой. По статистике техподдержки, около 15% документов отклоняются из-за ошибок при подписании, которые можно было обнаружить заранее.
Способы проверки:
- Портал Госуслуг (gosuslugi.ru/pgu/eds) — загрузите исходный документ и файл подписи, получите официальный протокол проверки. Результат принимается государственными органами.
- Контур.Крипто — бесплатный онлайн-сервис с расширенным протоколом и проверкой цепочки сертификатов
- КриптоАРМ — функция «Проверить» в основном меню. Удобно при массовой проверке.
- Инструменты КриптоПро — вкладка «Проверка подписи». Показывает техническую информацию.
При проверке система анализирует:
- Статус сертификата — действителен или отозван (проверка по CRL/OCSP)
- Срок действия — не истек ли сертификат на момент подписания
- Целостность документа — совпадает ли хэш-сумма (документ не изменялся)
- Математическая корректность — верна ли криптографическая подпись
- Цепочка доверия — установлены ли корневые сертификаты УЦ и Минцифры
Вывод автора: Возьмите за правило проверять каждую созданную подпись. Это занимает 10-15 секунд, но экономит часы на повторной отправке документов и переписке с техподдержкой портала. Особенно важно при работе с торгами — там жесткие дедлайны.
Типичные ошибки и их решение
Не установлены корневые и промежуточные сертификаты. Решение: скачайте с сайта вашего УЦ архив «Цепочка сертификатов» и установите все файлы. Корневой сертификат Минцифры — в хранилище «Доверенные корневые ЦС», промежуточные — в «Промежуточные центры сертификации». После установки перезапустите браузер.
Проверьте: 1) Носитель (Рутокен/JaCarta) подключен и мигает индикатор. 2) Драйверы установлены — в Диспетчере устройств нет неизвестных устройств. 3) Сертификат в личном хранилище — откройте certmgr.msc → Личное → Сертификаты. 4) Для облачной подписи — проверьте авторизацию в личном кабинете УЦ и интернет-соединение.
Документ был изменен после подписания. Причины: открытие и сохранение в редакторе (даже без явных изменений Word может добавить метаданные), копирование через буфер обмена, конвертация формата. Решение: используйте строго оригинальный файл, который подписывали. Храните его отдельно, не открывая для редактирования.
Переименуйте файл, изменив расширение с .p7s на .sig. Содержимое файла идентично (это один и тот же формат CMS/PKCS#7), различается только расширение. Если после переименования ошибка сохраняется — создайте подпись заново, явно указав формат .sig в настройках программы.
Сертификат выпущен по новому ГОСТу (2012), а криптопровайдер устаревший. Решение: обновите КриптоПро CSP до версии 5.0 R2 или выше. Скачайте с cryptopro.ru актуальный дистрибутив. При установке выберите «Обновить» — настройки и сертификаты сохранятся.
Варианты: 1) Приложение Госключ — бесплатная мобильная КЭП для физлиц, выпускается через Госуслуги. 2) Облачная подпись через SMS-код — можно подписывать кадровые документы без установки криптографического ПО. 3) MyDSS 2.0 от КриптоПро — для владельцев облачных КЭП.
Сравнение способов создания открепленной подписи
| Способ | Стоимость | Сложность | Установка ПО | Массовое подписание | Соподпись |
|---|---|---|---|---|---|
| КриптоАРМ ГОСТ | От 3000 руб./год | Средняя | Да | Да | Да |
| Инструменты КриптоПро | Бесплатно* | Низкая | Да (в составе CSP) | Нет | Нет |
| Добыто.Подпись | Бесплатно | Низкая | Только плагин | Нет | Нет |
| СБИС | По тарифу ЭДО | Средняя | Да | Да | Да |
| ViPNet CryptoFile | Бесплатно* | Низкая | Да (требует ViPNet CSP) | Да | Да |
* При наличии лицензии на криптопровайдер (КриптоПро CSP / ViPNet CSP)
Какие документы можно подписать открепленной подписью
Формат SIG универсален — ограничений по типу файла нет. Подписать можно любой электронный документ независимо от его формата и размера:
- Кадровые документы — трудовые договоры, приказы о приеме и увольнении, заявления на отпуск, графики отпусков, должностные инструкции. Подробнее о требованиях читайте в материале подписание кадровых документов
- Бухгалтерские документы — счета-фактуры, акты выполненных работ, товарные накладные, УПД, счета на оплату
- Технические документы — межевые планы, технические планы зданий, акты обследования для Росреестра, проектная документация
- Юридические документы — договоры, дополнительные соглашения, доверенности, претензии, исковые заявления для kad.arbitr и ГАС «Правосудие»
- Машиночитаемые доверенности (МЧД) — для регистрации в реестре ФНС (m4d.nalog.gov.ru). Рассчитать количество МЧД для вашей компании поможет калькулятор МЧД
- Заявки на торгах — документы для ЕИС Закупки, Сбербанк-АСТ, РТС-Тендер, ЕЭТП и других ЭТП
- Отчетность — налоговая, статистическая, в СФР, в Росалкогольтабакконтроль
Вывод автора: Единственное исключение — случаи, когда нормативный акт прямо требует встроенную (embedded) подпись. Например, некоторые XML-формы отчетности в ФНС должны содержать подпись внутри XML-структуры. Но это редкость — в 95% случаев открепленная подпись принимается наравне с присоединенной.
Заключение
Создание открепленной электронной подписи в формате SIG — стандартная операция при работе с электронными документами в России. Выбор инструмента зависит от частоты использования и бюджета: для разового подписания оптимален бесплатный онлайн-сервис, для регулярной работы — КриптоАРМ или утилиты криптопровайдера.
Ключевые правила:
- Всегда проверяйте созданную подпись перед отправкой
- Храните вместе исходный документ и SIG-файл
- Не открывайте подписанный документ для редактирования
- Установите корневые сертификаты для корректной проверки
При внедрении кадрового электронного документооборота на предприятии рассмотрите комплексное решение — оно автоматизирует процессы подписания, хранения и обмена документами в соответствии с требованиями Трудового кодекса РФ и избавляет сотрудников от рутинных операций с криптографией.
Часто задаваемые вопросы
Да, для этого используется механизм соподписи (cosign). В КриптоАРМ: выберите уже существующий SIG-файл и примените функцию «Соподписать». Все подписи сохранятся в одном файле с фиксацией порядка подписания. Это применяется, когда документ должны завизировать несколько должностных лиц.
Да, для проверки подписи математически необходимы и исходный документ, и файл подписи. Без одного из них проверка невозможна — хэш не с чем сравнивать. Рекомендация: отправляйте оба файла в одном ZIP-архиве, чтобы исключить потерю или случайное разделение.
Подпись действительна в течение срока действия сертификата — обычно 12 или 15 месяцев для КЭП. Однако если при подписании добавлена метка доверенного времени (TSP/TSA), подпись сохраняет юридическую силу и после истечения срока сертификата — зафиксирован момент, когда сертификат еще был действителен.
Технически содержимое файла не изменится. Однако многие системы автоматической проверки ожидают стандартное соответствие имен: ИмяДокумента.расширение → ИмяДокумента.расширение.sig. При ручной проверке (загрузка двух файлов) переименование не критично. Для автоматизированных систем — лучше сохранять оригинальные имена.
Технически процесс идентичен — обе подписи создают SIG-файл одинакового формата с использованием одних и тех же ГОСТов. Разница в юридической силе: КЭП автоматически приравнивается к собственноручной подписи (п.1 ст.6 63-ФЗ), НЭП требует предварительного соглашения между сторонами о признании такой подписи (п.2 ст.6 63-ФЗ).