Как создать отсоединённую подпись в КриптоПро: инструкция 2026

Создание отсоединённой электронной подписи в КриптоПро CSP является одной из базовых операций для работы с юридически значимым электронным документооборотом. В этом материале подробно разберём, как правильно сформировать файл подписи формата .sig или .p7s, чтобы он проходил проверку на порталах Госуслуг, ФНС, торговых площадках и в любых других информационных системах.

Эта статья является частью большого материала про электронную подпись. Здесь мы подробно разберём именно процесс создания отсоединённой подписи различными способами: через графический интерфейс КриптоПро CSP 5.0, через программу КриптоАРМ, через командную строку cryptcp, а также рассмотрим типичные ошибки и способы их устранения.

В этом материале вы узнаете: что такое отсоединённая подпись и чем она отличается от присоединённой; пошаговую инструкцию по созданию подписи в КриптоПро CSP 5.0; как работать с командной строкой cryptcp; различия форматов CAdES-BES, CAdES-T и CAdES-XLT1; как проверить созданную подпись на порталах Госуслуг и КриптоПро DSS; решения типичных ошибок при подписании.

Автор статьи — Мария Ж., кофаундер сервиса электронного документооборота Добыто. Юрист с 20-летней практикой. В 2008 году получила красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что такое отсоединённая электронная подпись

Отсоединённая (открепленная) электронная подпись представляет собой отдельный файл, который хранится рядом с подписываемым документом. При таком способе подписания исходный документ не изменяется, что даёт ряд существенных преимуществ при работе с различными форматами файлов.

Технически отсоединённая подпись формируется по стандарту PKCS#7 (CMS) и записывается в файл с расширением .sig, .p7s или .sgn. Внутри этого файла содержится криптографическая информация: хеш-значение подписанного документа, данные сертификата подписанта, временная метка и другие атрибуты в зависимости от формата подписи (CAdES-BES, CAdES-T, CAdES-XLT1).

Отличия отсоединённой подписи от присоединённой

При формировании присоединённой подписи исходный документ и электронная подпись объединяются в один файл. Получатель видит единый контейнер, из которого можно извлечь оригинальный документ. Отсоединённая подпись работает иначе: после подписания появляется два файла, например, договор.pdf и договор.pdf.sig.

Основное преимущество отсоединённой подписи заключается в универсальности. Подписанный документ можно открыть любым стандартным приложением без специальных средств криптографической защиты. Файл PDF откроется в Adobe Reader, документ Word откроется в Microsoft Office, изображение JPEG откроется в любом просмотрщике. Для проверки подписи потребуется криптопровайдер или онлайн-сервис, но сам документ останется полностью читаемым.

Именно поэтому отсоединённая подпись является стандартом для государственных информационных систем. Федеральная налоговая служба, портал Госуслуг, электронные торговые площадки, система ЕФРСБ и многие другие системы требуют представления документов с отсоединённой подписью в формате PKCS#7.

Мария Ж., эксперт сервиса Добыто:
«При работе с кадровыми документами мы рекомендуем использовать отсоединённую подпись формата CAdES-XLT1. Это обеспечивает возможность проверки подписи даже после истечения срока действия сертификата, что критично для документов длительного хранения: трудовых договоров, приказов, личных дел сотрудников.»

Форматы файла электронной подписи

Расширение файла подписи может быть .sig, .p7s или .sgn. По содержимому эти файлы идентичны, различается только расширение. Выбор расширения зависит от требований конкретной информационной системы.

Для отправки документов в налоговую инспекцию, Росреестр и участия в государственных закупках обычно требуется формат .sig. Для юридически значимого обмена документами с контрагентами чаще используется .p7s. Программа КриптоПро CSP по умолчанию создаёт файлы с расширением .p7s, но расширение можно изменить вручную или указать при создании подписи.

Требования к рабочему месту для работы с КриптоПро

Прежде чем приступить к созданию электронной подписи, необходимо убедиться в правильной настройке рабочего места. Минимальный набор программного обеспечения включает криптопровайдер КриптоПро CSP версии 5.0 или выше, установленный личный сертификат электронной подписи и драйверы для ключевого носителя.

Операционная система должна быть поддерживаемой версией: Windows 10/11, Windows Server 2016/2019/2022, современные дистрибутивы Linux (Astra Linux, ALT Linux, РЕД ОС, Ubuntu, Debian) или macOS 10.15 и выше. Для корректной работы криптографических функций рекомендуется установить все актуальные обновления операционной системы.

Аппаратные требования минимальны: процессор с поддержкой SSE2, не менее 512 МБ оперативной памяти, свободный USB-порт для подключения ключевого носителя. Если планируется работа с большими объёмами документов или автоматизация подписания, рекомендуется использовать более производительное оборудование.

Типы ключевых носителей

Закрытый ключ электронной подписи может храниться на различных типах носителей. Наиболее распространены USB-токены: Рутокен Lite, Рутокен ЭЦП 2.0, JaCarta LT, JaCarta-2 ГОСТ, eSmart Token, ESMART Token ГОСТ. Каждый тип носителя имеет свои особенности и уровень защиты.
Рутокен Lite является простым пассивным носителем с защитой PIN-кодом. Он подходит для большинства задач, однако не обеспечивает криптографической защиты канала связи с компьютером. Рутокен ЭЦП 2.0 относится к активным носителям с неизвлекаемым ключом: закрытый ключ генерируется внутри устройства и никогда не покидает его пределы.

JaCarta представляет линейку носителей от компании «Аладдин Р.Д.». Модели JaCarta-2 ГОСТ поддерживают российские криптографические алгоритмы ГОСТ Р 34.10-2012 и могут использоваться для формирования квалифицированной электронной подписи.

Выбор носителя определяется требованиями информационной системы и политикой безопасности организации. Для работы с порталами государственных услуг и электронными торговыми площадками подходят любые сертифицированные носители.

Установка КриптоПро CSP

Дистрибутив программы доступен на официальном сайте cryptopro.ru. Для скачивания потребуется бесплатная регистрация в личном кабинете. После регистрации можно загрузить версию КриптоПро CSP, соответствующую операционной системе: Windows, Linux или macOS. Рассчитать стоимость лицензий для вашей организации поможет калькулятор КриптоПро.

Установка выполняется от имени администратора. Во время установки следует закрыть все работающие приложения, особенно браузеры и офисные программы. После завершения установки рекомендуется перезагрузить компьютер.

Программа КриптоПро CSP является платной, однако производитель предоставляет 90-дневный пробный период. Также существуют сертификаты со встроенной лицензией на КриптоПро CSP, в этом случае дополнительная покупка лицензии не требуется. Информацию о наличии встроенной лицензии можно уточнить в удостоверяющем центре, выдавшем сертификат.

Проверка установки криптопровайдера

После установки необходимо убедиться в корректной работе программы. Откройте меню «Пуск», найдите папку КРИПТО-ПРО и запустите приложение «КриптоПро CSP». В открывшемся окне на вкладке «Общие» отображается версия программы и срок действия лицензии.

Для подписания документов с использованием утилиты «Инструменты КриптоПро» необходима версия 5.0 или выше. Если установлена более старая версия, рекомендуется обновить программу до актуальной сборки.

Установка личного сертификата

Сертификат электронной подписи должен быть установлен в хранилище «Личные» текущего пользователя. Если сертификат записан на ключевой носитель (Рутокен, JaCarta, eToken), необходимо предварительно установить драйверы носителя.

Для установки драйверов Рутокен перейдите на сайт rutoken.ru/support/download. Для JaCarta загрузите драйверы с aladdin-rd.ru/support/downloads/jacarta. Для eSmart используйте сайт esmart.ru/download. Выберите версию, соответствующую операционной системе, и запустите установку от имени администратора.

После установки драйверов вставьте ключевой носитель в USB-порт компьютера. Система должна распознать устройство. Далее откройте КриптоПро CSP, перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере». Выберите контейнер с сертификатом и нажмите «Установить». Сертификат будет добавлен в хранилище «Личные».

Создание отсоединённой подписи в КриптоПро CSP 5.0

В версии КриптоПро CSP 5.0 появилась встроенная утилита «Инструменты КриптоПро», позволяющая подписывать документы без дополнительного программного обеспечения. Это наиболее простой способ создания отсоединённой подписи для обычных пользователей.

Утилита входит в стандартный пакет установки КриптоПро CSP и не требует отдельной лицензии. Функционал включает создание и проверку электронной подписи, шифрование и расшифрование файлов, управление сертификатами и контейнерами закрытых ключей.

Интерфейс программы интуитивно понятен и рассчитан на пользователей без технического образования. Все основные операции выполняются в несколько щелчков мыши, а подробные подсказки помогают избежать ошибок.

Запуск утилиты «Инструменты КриптоПро»

Существует несколько способов запуска утилиты. Первый способ: откройте меню «Пуск» и начните вводить «Инструменты КриптоПро» или просто «крипто». Windows найдёт приложение и отобразит его в результатах поиска. Щёлкните по значку для запуска.

Второй способ: откройте меню «Пуск», найдите папку «КРИПТО-ПРО» в списке установленных программ. Внутри папки находятся несколько приложений: «КриптоПро CSP», «Инструменты КриптоПро» и другие. Выберите «Инструменты КриптоПро».

Третий способ: откройте панель управления КриптоПро CSP (через «Пуск» или панель управления Windows). В нижней части окна находится ссылка «Открыть инструменты КриптоПро». Этот способ удобен, если вы уже работаете с настройками криптопровайдера.

Пошаговая инструкция по созданию подписи

Шаг 1. Запустите утилиту «Инструменты КриптоПро». Для этого откройте меню «Пуск», в строке поиска введите «крипто» и выберите «Инструменты КриптоПро» из списка результатов. Также можно открыть приложение через папку КРИПТО-ПРО в меню программ.

Шаг 2. В главном окне утилиты перейдите в раздел «Создание подписи». Этот раздел находится в левой части окна среди других доступных операций: проверка подписи, шифрование, расшифрование.

Шаг 3. Выберите сертификат для подписания. В списке сертификатов отображаются все установленные в хранилище «Личные» сертификаты, имеющие связанный закрытый ключ. Выберите нужный сертификат и убедитесь, что он действителен (срок действия не истёк).

Шаг 4. Нажмите кнопку «Выбрать файл для подписи» и укажите документ, который необходимо подписать. Можно выбрать файл любого формата: PDF, DOC, DOCX, XLS, XLSX, XML, TXT, изображения и другие.

Шаг 5. При необходимости укажите путь для сохранения файла подписи. По умолчанию файл подписи сохраняется в той же папке, что и оригинальный документ, с добавлением расширения .p7s.

Шаг 6. Нажмите кнопку «Показать расширенные» в нижней части окна. Появятся дополнительные настройки подписания.

Шаг 7. Поставьте галочку «Создать отсоединённую подпись». Это ключевой параметр, определяющий формат создаваемой подписи. Если галочка не установлена, будет создана присоединённая подпись.

Шаг 8. При необходимости настройте дополнительные параметры. Кнопка «Дополнительные параметры» открывает расширенные настройки, где можно выбрать формат подписи (CAdES-BES, CAdES-T, CAdES-XLT1), указать адрес службы штампов времени и другие параметры.

Шаг 9. Нажмите кнопку «Подписать». Если ключевой носитель требует ввода PIN-кода, появится соответствующий запрос. Введите PIN-код и подтвердите операцию.

Шаг 10. Дождитесь завершения операции. При успешном подписании под кнопкой «Подписать» появится сообщение об успехе, а в указанной папке будет создан файл подписи.

Изменение расширения файла подписи

По умолчанию КриптоПро CSP создаёт файл подписи с расширением .p7s. Если информационная система требует расширение .sig (например, для электронных торговых площадок), необходимо изменить расширение в поле «Сохранить подпись как».

Перед нажатием кнопки «Подписать» отредактируйте путь сохранения: замените .p7s на .sig в конце имени файла. Например, вместо «договор.pdf.p7s» укажите «договор.pdf.sig». После подписания файл будет создан с требуемым расширением.

Мария Ж., эксперт по кадровому документообороту:
«В системе кадрового электронного документооборота Добыто подписание документов происходит автоматически, без необходимости вручную создавать файлы подписей. Сотрудник просто нажимает кнопку «Подписать», и система формирует отсоединённую подпись в требуемом формате. Это существенно упрощает работу HR-отдела.»

Форматы электронной подписи CAdES

Стандарт CAdES (CMS Advanced Electronic Signatures) определяет несколько форматов усовершенствованной электронной подписи. Выбор формата зависит от требований к сроку хранения документа и необходимости подтверждения времени подписания.

Стандарт CAdES описан в документе ETSI EN 319 122 и является развитием базового формата CMS (PKCS#7), определённого в RFC 5652. CAdES расширяет возможности CMS, добавляя механизмы для обеспечения долгосрочной верифицируемости подписей.

В России стандарт CAdES широко применяется в государственных информационных системах, электронных торговых площадках, системах электронного документооборота. КриптоПро CSP поддерживает все основные форматы CAdES, обеспечивая совместимость с российскими и международными стандартами.

CAdES-BES: базовая электронная подпись

Формат CAdES-BES (Basic Electronic Signature) является простейшим и наиболее распространённым. В состав подписи входят: хеш-значение подписываемого документа, значение электронной подписи, сертификат подписанта и его цепочка доверия.

Подпись CAdES-BES не содержит достоверных данных о времени подписания. Атрибут signing-time берётся из системного времени компьютера, которое может быть изменено пользователем. После истечения срока действия сертификата доказать, что подпись была создана в период его действия, становится затруднительно.

Формат CAdES-BES подходит для оперативного документооборота, когда документы обрабатываются в течение срока действия сертификата. Этот формат используется по умолчанию в большинстве программ для работы с электронной подписью.

Структура подписи CAdES-BES включает обязательные подписанные атрибуты: content-type (тип содержимого), message-digest (хеш документа), signing-certificate-v2 (ссылка на сертификат подписанта). Опционально могут присутствовать атрибуты signing-time (время подписания), commitment-type-indication (тип обязательства) и другие.

CAdES-T: подпись со штампом времени

Формат CAdES-T (Timestamp) дополняет базовую подпись атрибутом signature-time-stamp, содержащим метку времени от доверенной службы. Штамп времени криптографически связан с подписью и подтверждает, что подпись существовала в определённый момент времени.

Использование штампа времени решает проблему доказательства момента подписания. Даже если сертификат истёк, метка времени подтверждает, что подпись была создана в период его действия. Для получения штампа времени требуется подключение к службе TSP (Time-Stamp Protocol).

Адрес службы штампов времени КриптоПро: http://tsp.cryptopro.ru/tsp/tsp.srf. Эта служба работает бесплатно для тестирования. Для коммерческого использования необходимо приобрести лицензию на КриптоПро TSP Client или использовать службу штампов своего удостоверяющего центра.

Штамп времени формируется следующим образом: программа вычисляет хеш подписи и отправляет его на сервер TSP. Сервер добавляет текущее время, подписывает эти данные своим сертификатом и возвращает результат. Полученный штамп включается в подпись как неподписанный атрибут.

Формат CAdES-T используется по умолчанию в системе 1С-ЭДО, рекомендуется для документов со сроком хранения до 5 лет. Размер файла подписи увеличивается примерно на 2-3 КБ за счёт штампа времени.

CAdES-C: подпись с полными ссылками

Формат CAdES-C (Complete) добавляет к CAdES-T ссылки на все сертификаты цепочки доверия и списки отозванных сертификатов (CRL или OCSP-ответы), действовавшие на момент подписания.

Ссылки представляют собой хеши сертификатов и CRL, а не сами документы. Это позволяет зафиксировать, какие именно сертификаты и списки отзыва использовались для проверки, но сами данные должны быть получены из внешних источников.

Формат CAdES-C редко используется самостоятельно, так как для проверки подписи по-прежнему требуется доступ к внешним источникам. Чаще он служит промежуточным этапом для формирования более полных форматов.

CAdES-XLT1: усовершенствованная подпись для долгосрочного хранения

Формат CAdES-X Long Type 1 (CAdES-XLT1) включает все данные, необходимые для проверки подписи в долгосрочной перспективе: полные данные сертификатов всей цепочки доверия, списки отозванных сертификатов на момент подписания, штамп времени.

Этот формат обеспечивает возможность проверки подписи даже в случае прекращения деятельности удостоверяющего центра. Все необходимые данные встроены в саму подпись и не требуют обращения к внешним источникам.

CAdES-XLT1 рекомендуется для документов длительного хранения: договоров, актов выполненных работ, кадровых документов с длительными сроками хранения. Размер файла подписи при использовании этого формата существенно больше (обычно 10-50 КБ), чем у CAdES-BES, но это оправданная плата за надёжность.

Штамп времени в CAdES-XLT1 ставится на всю подпись CAdES-C, включая ссылки на сертификаты и CRL. Это фиксирует целостность всех элементов подписи в определённый момент времени.

CAdES-A: архивная подпись

Формат CAdES-A (Archival) предназначен для сверхдлительного хранения документов (50+ лет). Он формируется на основе CAdES-XLT1 путём добавления архивных штампов времени (archive-time-stamp).

Архивный штамп времени покрывает всю подпись, включая предыдущие штампы. При приближении срока истечения криптографических алгоритмов можно добавить новый архивный штамп с использованием актуальных алгоритмов, сохраняя непрерывную цепочку доверия.

Формат CAdES-A v3 является последней версией стандарта. Обратите внимание, что не все системы поддерживают этот формат в полной мере. Например, портал Госуслуг может некорректно проверять подписи CAdES-A v3, выдавая ошибку, несмотря на корректность подписи.

Для работы с архивными подписями рекомендуется использовать специализированное ПО: КриптоПро Архив, КриптоАРМ Сервер. Эти системы автоматически управляют жизненным циклом подписей, добавляя архивные штампы по мере необходимости.

Создание подписи через командную строку cryptcp

Утилита командной строки cryptcp входит в состав КриптоПро CSP и позволяет автоматизировать работу с электронной подписью. Этот способ подходит для системных администраторов, разработчиков и продвинутых пользователей.

Приложение cryptcp реализовано в виде исполняемого файла cryptcp.exe для Windows и cryptcp для Linux/macOS. Оно поддерживает все современные криптографические алгоритмы: ГОСТ Р 34.10-2012 (256 и 512 бит), ГОСТ Р 34.11-2012 (256 и 512 бит), а также RSA, ECDSA, SHA-1, SHA-2 и другие международные алгоритмы.

Результатом работы приложения в большинстве случаев является файл с CMS-сообщением (PKCS#7) в кодировке DER или BASE64. Это стандартный формат, совместимый с большинством информационных систем.

Синтаксис команды cryptcp

Общий формат вызова утилиты:

cryptcp <команда> [опции] <входной файл> [выходной файл]

Основные команды: -sign (создание подписи), -verify (проверка подписи), -signf (подписание нескольких файлов по маске), -verifyf (проверка нескольких файлов), -hash (вычисление хеша), -encrypt (шифрование), -decrypt (расшифрование).

Опции начинаются с символа «-» и определяют параметры операции. Порядок файлов в командной строке должен соответствовать описанию команды: сначала входной файл (или маска файлов), затем выходной файл (если требуется).

Базовые команды для подписания

Команда для создания отсоединённой подписи:

cryptcp -sign -detached -q документ.pdf

Параметр -sign указывает на операцию подписания, -detached создаёт отсоединённую подпись, -q подавляет вывод диалоговых окон. Результатом выполнения команды будет файл документ.pdf.sgn в той же папке.

Если параметр -detached не указан, создаётся присоединённая подпись. Опция -attached также создаёт присоединённую подпись и может использоваться для явного указания типа.

Для указания конкретного сертификата используется параметр -thumbprint с отпечатком сертификата:

cryptcp -sign -detached -thumbprint "1234567890ABCDEF..." документ.pdf

Отпечаток сертификата можно найти в свойствах сертификата в КриптоПро CSP или через команду certmgr. Это 40-символьная строка в шестнадцатеричном формате, однозначно идентифицирующая сертификат.

Параметры для выбора сертификата

Помимо отпечатка существуют и другие способы указания сертификата для подписания:

Параметр -dn позволяет указать отличительное имя (Distinguished Name) субъекта сертификата. Например: -dn «CN=Иванов Иван Иванович».

Параметр -my выбирает сертификат из хранилища «Личные» текущего пользователя. Если в хранилище несколько сертификатов, будет отображён диалог выбора (если не указан параметр -q).

Параметр -u позволяет указать путь к файлу сертификата в формате DER или BASE64. Это полезно при работе с сертификатами, не установленными в системное хранилище.

Создание подписи с штампом времени

Для формирования подписи формата CAdES-T с меткой времени используется параметр -cadest:

cryptcp -sign -detached -cadest -cadestsa "http://tsp.cryptopro.ru/tsp/tsp.srf" -q документ.pdf

Параметр -cadestsa указывает адрес службы штампов времени. При выполнении команды программа обратится к службе TSP и добавит в подпись штамп времени.

Для формата CAdES-XLT1 (усовершенствованная подпись с полными доказательствами) используется параметр -xlongtype1:

cryptcp -sign -detached -xlongtype1 -cadestsa "http://tsp.cryptopro.ru/tsp/tsp.srf" -q документ.pdf

Подпись формата CAdES-BES (базовая) создаётся параметром -cadesbes. Это формат по умолчанию, если не указаны параметры -cadest или -xlongtype1.

Массовое подписание файлов

Команда -signf позволяет подписать несколько файлов по маске:

cryptcp -signf -detached -dir ./подписанные/ *.pdf

Все файлы PDF в текущей папке будут подписаны, файлы подписей сохранятся в папку «подписанные». Параметр -dir указывает каталог для сохранения подписей. Подробнее о работе с большими объёмами документов читайте в материале массовое подписание документов ЭЦП.

Если указанная папка не существует, она будет создана автоматически. Маска файлов поддерживает стандартные символы подстановки: * (любые символы) и ? (один символ).

Для изменения расширения файла подписи используется параметр -fext:

cryptcp -signf -detached -fext sig *.pdf

Файлы подписей будут созданы с расширением .sig вместо .sgn.

Параллельное подписание

При обработке большого количества файлов можно использовать параметр -threads для ускорения:

cryptcp -signf -detached -threads 4 *.pdf

Значение определяет количество параллельных потоков. Оптимальное значение зависит от количества ядер процессора и характеристик ключевого носителя. Для токенов рекомендуется не более 2-4 потоков.

Указание пароля контейнера

Если контейнер закрытого ключа защищён паролем, его можно указать в командной строке:

cryptcp -sign -detached -pin "12345678" документ.pdf

Использование параметра -pin избавляет от необходимости вводить пароль интерактивно, что удобно для автоматизации. Однако передача пароля в открытом виде в командной строке создаёт риски безопасности, поэтому этот метод следует использовать с осторожностью.

Параметр -askpin запрашивает пароль из консоли (только для Unix-систем). Это более безопасный способ, чем указание пароля в командной строке, так как введённые символы не отображаются на экране.

Добавление атрибутов в подпись

Параметр -cert включает сертификат подписанта в подпись. Это рекомендуется для обеспечения возможности проверки подписи без обращения к внешним источникам.

Параметр -addchain добавляет всю цепочку сертификатов (промежуточные и корневой сертификаты УЦ). Это полезно, если получатель не имеет установленных корневых сертификатов вашего УЦ.

Параметр -crl включает список отозванных сертификатов в подпись. Это позволяет проверить, не был ли сертификат отозван на момент подписания.

Кодировка выходного файла

По умолчанию файл подписи создаётся в бинарном формате DER. Для создания файла в текстовом формате BASE64 используйте опцию -base64:

cryptcp -sign -detached -base64 документ.pdf

Формат BASE64 удобен для передачи по электронной почте или размещения в текстовых документах, однако размер файла увеличивается примерно на 33%.

Создание подписи в КриптоАРМ

КриптоАРМ является популярным приложением для работы с электронной подписью, разработанным компанией «Цифровые технологии». Программа предоставляет удобный графический интерфейс для подписания, проверки подписи, шифрования и расшифрования документов. Подробный обзор всех доступных инструментов вы найдёте в статье программы для подписания документов ЭЦП.

Подписание через контекстное меню

После установки КриптоАРМ в контекстное меню Windows добавляются команды для работы с электронной подписью. Чтобы подписать файл, щёлкните по нему правой кнопкой мыши и выберите «КриптоАРМ» — «Подписать».

Откроется мастер создания подписи. На первом шаге выберите режим работы: простой или расширенный. Расширенный режим предоставляет больше настроек и рекомендуется для создания отсоединённой подписи.

На следующем шаге выберите формат подходящего файла вывода. Для отсоединённой подписи установите галочку «Сохранить подпись в отдельном файле». Это ключевая настройка, определяющая тип создаваемой подписи.

Далее следуйте указаниям мастера: выберите сертификат для подписания, при необходимости настройте параметры подписи (формат CAdES, штампы времени), укажите путь для сохранения файла подписи.

На финальном шаге нажмите кнопку «Готово». При успешном завершении система выдаст сообщение об успешном создании подписи, а в указанной папке появится файл с расширением .sig или .p7s.

Подписание группы файлов

КриптоАРМ позволяет подписать несколько файлов или целую папку одним действием. Выделите нужные файлы в проводнике Windows, щёлкните правой кнопкой мыши и выберите «КриптоАРМ» — «Подписать».

Мастер подписания обработает все выбранные файлы последовательно, создав для каждого отдельный файл подписи. Это существенно экономит время при работе с большим количеством документов.

Мария Ж., спикер конференций по КЭДО:
«При массовом переходе на кадровый электронный документооборот организации часто сталкиваются с необходимостью подписать сотни документов. Программа КриптоАРМ хорошо справляется с пакетным подписанием, но для постоянной работы удобнее использовать специализированные системы КЭДО, такие как Добыто, где подписание интегрировано в рабочий процесс.»

Проверка созданной подписи

После создания отсоединённой подписи необходимо убедиться в её корректности. Проверка гарантирует, что подпись сформирована правильно и будет принята информационной системой получателя.

Существует несколько способов проверки: через онлайн-сервисы (портал Госуслуг, КриптоПро DSS), через локальные программы (КриптоАРМ, Инструменты КриптоПро), через командную строку (утилита cryptcp). Выбор способа зависит от доступности интернета и предпочтений пользователя.

Проверка на портале Госуслуг

Портал Госуслуги предоставляет бесплатный сервис проверки электронной подписи. Для проверки отсоединённой подписи выполните следующие действия:

Перейдите на страницу проверки электронной подписи: введите в поиске на портале «проверка электронной подписи» или перейдите по прямой ссылке на сервис проверки.

Выберите тип подписи: «Отсоединенная электронная подпись в формате PKCS#7». Загрузите оригинальный документ и отдельно файл подписи (.sig или .p7s).

Нажмите кнопку «Проверить». Сервис выполнит криптографическую проверку подписи и отобразит результат: информацию о подписанте, сроке действия сертификата, целостности документа.

При успешной проверке отображается статус «Подпись действительна». Если проверка не пройдена, сервис сообщит причину ошибки: истёк срок сертификата, документ изменён после подписания, сертификат отозван и другие.

Особенность проверки на Госуслугах: сервис работает только с квалифицированными сертификатами, выданными аккредитованными удостоверяющими центрами. Если ваш УЦ не аккредитован Минцифры России, проверка будет невозможна.

Проверка через КриптоПро DSS

Сервис КриптоПро DSS доступен на сайте cryptopro.ru и позволяет проверить подписи различных форматов. Преимуществом сервиса является поддержка расширенных форматов CAdES и возможность проверки подписей в документах PDF, Word, Excel.

Для проверки отсоединённой подписи выберите соответствующий тип на главной странице сервиса, загрузите документ и файл подписи. Результат проверки отображается в виде подробного отчёта с информацией о сертификате, формате подписи, штампах времени.

Сервис также показывает техническую информацию: алгоритм хеширования, алгоритм подписи, OID политики подписи. Эта информация полезна для диагностики проблем совместимости.

Проверка через КриптоАРМ

Для локальной проверки без выхода в интернет можно использовать программу КриптоАРМ. Функция проверки подписи доступна бесплатно, даже если лицензия на создание подписей не активирована.

Щёлкните правой кнопкой мыши по файлу подписи (.sig) и выберите «КриптоАРМ» — «Проверить подпись». Программа автоматически найдёт связанный документ (если он находится в той же папке) и выполнит проверку.

Результат отображается в виде протокола проверки, содержащего: статус подписи, информацию о подписанте, срок действия сертификата, формат подписи, наличие штампов времени и другие данные.

Если документ находится в другой папке, укажите его расположение вручную в мастере проверки. Программа позволяет проверить несколько подписей одновременно, что удобно при обработке большого количества документов.

Проверка через командную строку

Утилита cryptcp позволяет проверить подпись из командной строки:

cryptcp -verify -detached документ.pdf документ.pdf.sig

Команда проверит соответствие подписи документу и выведет информацию о сертификате подписанта. Параметр -detached указывает, что проверяется отсоединённая подпись.

Для пакетной проверки нескольких файлов используйте команду -verifyf:

cryptcp -verifyf -detached *.pdf

Утилита проверит все PDF-файлы в текущей папке, предполагая, что файлы подписей имеют соответствующие имена с расширением .sgn или .sig.

Проверка через Инструменты КриптоПро

В утилите «Инструменты КриптоПро» есть раздел «Проверка подписи». Выберите файл подписи, укажите путь к оригинальному документу (если требуется) и нажмите «Проверить».

Результат проверки отображается в том же окне: статус подписи, данные сертификата, срок действия. При наличии нескольких подписей в файле отображается информация о каждой из них.

Типичные ошибки и способы их устранения

При создании и проверке электронной подписи пользователи часто сталкиваются с ошибками. Рассмотрим наиболее распространённые проблемы и способы их решения.

Ошибка «Не удаётся найти сертификат»

Сообщение появляется, когда программа не может обнаружить установленный сертификат электронной подписи. Возможные причины и решения:

Сертификат не установлен в хранилище. Откройте КриптоПро CSP, перейдите на вкладку «Сервис», нажмите «Просмотреть сертификаты в контейнере». Выберите контейнер на ключевом носителе и нажмите «Установить».

Ключевой носитель не подключён. Убедитесь, что токен или смарт-карта вставлены в USB-порт, светодиодный индикатор устройства активен. Попробуйте переключить носитель в другой порт.

Не установлены драйверы носителя. Скачайте и установите актуальные драйверы с сайта производителя токена.

Сертификат установлен для другого пользователя. Убедитесь, что вы вошли в ту же учётную запись Windows, из которой устанавливали сертификат. Сертификаты хранятся в профиле пользователя.

Ошибка «Вставьте ключевой носитель»

Ошибка возникает, когда КриптоПро CSP не может обнаружить контейнер с закрытым ключом. Проверьте физическое подключение носителя и корректность установки драйверов.

Откройте КриптоПро CSP, перейдите на вкладку «Оборудование», нажмите «Настроить считыватели». В списке должен присутствовать считыватель, соответствующий типу вашего носителя. Если считыватель отсутствует, добавьте его вручную.

Для добавления считывателя нажмите «Добавить», выберите тип носителя из списка и следуйте инструкциям мастера. После добавления извлеките и повторно вставьте ключевой носитель.

Ошибка «Неверный пароль контейнера»

Ошибка появляется при вводе неправильного PIN-кода или пароля контейнера. После нескольких неудачных попыток носитель может заблокироваться.

Убедитесь, что вводите правильный PIN-код. Обратите внимание на раскладку клавиатуры и состояние клавиши Caps Lock. Если PIN-код забыт, обратитесь в удостоверяющий центр для перевыпуска сертификата.

Стандартные PIN-коды по умолчанию для разных носителей: Рутокен — 12345678, JaCarta — 11111111. Если вы не меняли PIN-код после получения носителя, попробуйте ввести значение по умолчанию.

При блокировке носителя из-за превышения количества попыток ввода PIN-кода потребуется PUK-код (код разблокировки). Если PUK-код также утрачен, носитель придётся инициализировать заново с потерей всех данных.

Ошибка «Истёк срок действия сертификата»

Сертификат электронной подписи имеет ограниченный срок действия, обычно 12 или 15 месяцев. После истечения срока подписание новых документов невозможно.

Проверьте срок действия сертификата в свойствах или через КриптоПро CSP. Если сертификат истёк, необходимо получить новый в удостоверяющем центре.

Рекомендуется заранее следить за сроком действия сертификата и подавать заявку на перевыпуск за 2-3 недели до окончания. Это позволит избежать простоя в работе.

Ошибка «Сертификат не прошёл проверку цепочки»

Ошибка указывает на отсутствие корневого сертификата удостоверяющего центра в хранилище доверенных корневых центров сертификации.

Установите корневой сертификат удостоверяющего центра. Для сертификатов ФНС России установите корневые сертификаты Минцифры России и УЦ ФНС России с сайта uc.nalog.ru/crt.

Цепочка доверия включает несколько уровней: корневой сертификат Минцифры, корневой сертификат удостоверяющего центра, промежуточные сертификаты (если есть), личный сертификат пользователя. Все сертификаты цепочки должны быть установлены в соответствующие хранилища.

Ошибка «Подпись недействительна» при проверке

Эта ошибка может возникать по нескольким причинам:

Документ был изменён после подписания. Любое изменение содержимого, даже добавление пробела, делает подпись недействительной. Проверьте, что загружаете оригинальный файл.

Неправильно выбран тип подписи при проверке. Убедитесь, что выбираете «отсоединённая подпись», если подписывали документ с созданием отдельного файла .sig.

Несоответствие имён файлов. Некоторые системы требуют, чтобы имя файла подписи точно соответствовало имени документа с добавлением расширения. Переименуйте файл подписи при необходимости.

Файлы перемешаны. Если в папке несколько подписанных документов, легко перепутать файлы. Убедитесь, что загружаете соответствующую пару документ-подпись.

Ошибка «Сертификат отозван»

Сертификат может быть отозван удостоверяющим центром по разным причинам: компрометация закрытого ключа, изменение данных владельца, прекращение деятельности организации.

После отзыва сертификата все подписи, созданные после даты отзыва, считаются недействительными. Подписи, созданные до отзыва, остаются действительными (если используется формат со штампом времени).

Если сертификат отозван по ошибке, обратитесь в удостоверяющий центр. В остальных случаях необходимо получить новый сертификат.

Ошибка «Нет соединения со службой штампов времени»

Ошибка возникает при попытке создать подпись с меткой времени (CAdES-T или CAdES-XLT1), если компьютер не имеет доступа к серверу TSP.

Проверьте подключение к интернету и доступность сервера штампов времени. Сервер КриптоПро (tsp.cryptopro.ru) может быть временно недоступен из-за технических работ.

Если используете корпоративную сеть, проверьте настройки прокси-сервера и брандмауэра. Может потребоваться добавить адрес службы TSP в исключения.

Альтернативный вариант: создайте подпись CAdES-BES без штампа времени, если информационная система это позволяет.

Мария Ж., юрист-практик с 20-летним стажем:
«Большинство ошибок при работе с электронной подписью связаны с некорректной настройкой рабочего места. Перед началом работы рекомендую пройти диагностику на сайте удостоверяющего центра или использовать встроенную диагностику КриптоПро. Это сэкономит время и нервы.»

Работа с КриптоПро Browser Plug-in

КриптоПро Browser Plug-in обеспечивает работу электронной подписи в веб-браузерах. Плагин необходим для взаимодействия с государственными порталами, электронными торговыми площадками, системами электронного документооборота и другими веб-сервисами, использующими электронную подпись.

Установка плагина

Плагин устанавливается автоматически вместе с КриптоПро CSP начиная с версии 5.0. Если установка не произошла автоматически, загрузите плагин с официального сайта КриптоПро: cryptopro.ru/products/cades/plugin.

После загрузки запустите установочный файл и следуйте инструкциям мастера установки. После завершения перезагрузите браузер для применения изменений.

Настройка браузеров

Для работы плагина в браузере необходимо установить соответствующее расширение. Для Google Chrome, Яндекс.Браузера и других браузеров на основе Chromium перейдите в интернет-магазин Chrome и найдите расширение «CryptoPro Extension for CAdES Browser Plug-in».

Для Mozilla Firefox расширение устанавливается автоматически при первом обращении к веб-странице, требующей электронную подпись. Если автоматическая установка не произошла, загрузите расширение с сайта КриптоПро.

Для Microsoft Edge используйте режим совместимости с Internet Explorer или установите расширение из магазина дополнений.

Проверка работы плагина

Для проверки корректной работы плагина перейдите на страницу тестирования: cryptopro.ru/products/cades/plugin/get_2_0. Нажмите кнопку «Проверить работу плагина». При успешной настройке система отобразит информацию о подключённых сертификатах.

Если проверка не прошла, убедитесь, что расширение активировано в настройках браузера. Откройте раздел расширений браузера и убедитесь, что расширение КриптоПро включено.

Подписание документов в браузере

При работе с веб-сервисами подписание происходит непосредственно в браузере. Плагин взаимодействует с установленным КриптоПро CSP и ключевым носителем, формируя электронную подпись без необходимости загрузки и обработки файлов вручную.

Типичный сценарий: вы загружаете документ на портал (например, Госуслуги), нажимаете кнопку «Подписать», выбираете сертификат из появившегося списка, вводите PIN-код носителя. Подпись формируется автоматически и отправляется вместе с документом.

Если браузер не видит сертификаты, проверьте подключение ключевого носителя и установку личного сертификата в хранилище «Личные».

Особенности работы с отсоединённой подписью в различных системах

Разные информационные системы могут предъявлять специфические требования к формату электронной подписи. Рассмотрим особенности работы с наиболее популярными платформами.

Электронные торговые площадки

Для участия в государственных закупках документы подписываются квалифицированной электронной подписью. Большинство площадок принимают отсоединённую подпись в формате PKCS#7 с расширением .sig.

При подготовке заявки убедитесь, что имя файла подписи соответствует имени подписываемого документа с добавлением расширения .sig. Например, для файла «заявка.pdf» подпись должна называться «заявка.pdf.sig».

Некоторые площадки требуют определённый формат подписи (CAdES-BES или CAdES-XLT1). Уточните требования в документации площадки или обратитесь в службу поддержки.

Налоговая служба и Росреестр

Для отправки отчётности в ФНС и документов в Росреестр используется отсоединённая подпись в формате PKCS#7. Формат CAdES-BES обычно достаточен для оперативного взаимодействия.

При работе с личным кабинетом налогоплательщика подписание происходит автоматически через браузерный плагин. Однако при загрузке документов через специализированное ПО может потребоваться создание подписи вручную.

Система ЕФРСБ и банкротство

Единый федеральный реестр сведений о банкротстве требует подписи в формате CAdES-T с обязательным штампом времени. Это гарантирует фиксацию точного времени публикации сообщения.

При формировании подписи для ЕФРСБ укажите адрес службы штампов времени в настройках КриптоПро CSP или КриптоАРМ. Без штампа времени документ не будет принят системой.

Кадровый электронный документооборот

Для подписания кадровых документов рекомендуется формат CAdES-XLT1, обеспечивающий долгосрочную проверяемость подписи. Трудовые договоры хранятся 50 лет, приказы по личному составу — 75 лет, поэтому важно использовать формат с встроенными доказательствами действительности.

Сервис КЭДО Добыто автоматически формирует подписи в требуемом формате и обеспечивает долговременное хранение документов с периодической переподписью для поддержания юридической значимости. Это снимает с HR-специалистов заботу о технических аспектах электронной подписи.

Автоматизация создания подписей

Для организаций с большим документооборотом ручное подписание неэффективно. Существуют решения для автоматизации процесса создания электронных подписей.

Скрипты на основе cryptcp

Простейший способ автоматизации — использование пакетных файлов (batch) или скриптов PowerShell, вызывающих утилиту cryptcp. Например:

for %%f in (C:\документы\*.pdf) do cryptcp -sign -detached -q "%%f"

Этот скрипт подпишет все PDF-файлы в указанной папке. Для работы скрипта без участия пользователя сертификат должен быть установлен в хранилище «Личные» без пароля на контейнер или с указанием пароля в параметре -pin.

Более сложные сценарии автоматизации реализуются на языках программирования: PowerShell, Python, C#. Библиотека КриптоПро .NET позволяет интегрировать функции подписания в приложения на платформе .NET Framework.

Серверные решения

Для крупных организаций существуют серверные решения: КриптоАРМ Сервер, КриптоПро DSS, КриптоПро Архив. Эти продукты позволяют централизованно управлять подписанием, обеспечивают высокую производительность и интеграцию с корпоративными системами.

КриптоПро Архив дополнительно решает задачу усовершенствования подписей: автоматически переводит подписи формата CAdES-BES в CAdES-XLT1 или CAdES-A, обеспечивая долгосрочное хранение документов.

КриптоАРМ Сервер предназначен для массовой обработки документов. Он поддерживает REST API для интеграции с внешними системами, пакетное подписание, автоматическое улучшение подписей, очереди обработки.

Интеграция с системами документооборота

Современные системы электронного документооборота, такие как Добыто КЭДО, имеют встроенные механизмы подписания. Пользователь просто нажимает кнопку «Подписать», а система автоматически формирует подпись, проверяет сертификат, добавляет штамп времени и сохраняет документ в архиве.

Интеграция с системой документооборота исключает ошибки ручного подписания, обеспечивает единообразие форматов и упрощает работу сотрудников, не являющихся техническими специалистами.

Лицензирование и стоимость программного обеспечения

Работа с электронной подписью требует лицензионного программного обеспечения. Рассмотрим структуру лицензий основных продуктов.

Лицензии КриптоПро CSP

КриптоПро CSP распространяется по модели лицензирования на одно рабочее место. Существуют годовые и бессрочные лицензии. Бессрочная лицензия стоит дороже, но не требует ежегодного продления.

Виды лицензий КриптоПро CSP: клиентская лицензия (для рабочего места), серверная лицензия (для серверных ОС), лицензия на определённое количество рабочих мест, встроенная лицензия (включена в сертификат электронной подписи).

Пробный период составляет 90 дней. В течение этого срока программа работает без ограничений. После истечения пробного периода для продолжения использования необходимо ввести лицензионный ключ.

Стоимость лицензии зависит от версии программы и типа лицензии. Актуальные цены указаны на официальном сайте КриптоПро или у официальных партнёров.

Лицензии КриптоАРМ

КриптоАРМ имеет несколько редакций: Старт (бесплатная), Стандарт, Про. Бесплатная версия позволяет только проверять подписи. Для создания подписей требуется платная лицензия.

Лицензия КриптоАРМ приобретается отдельно от КриптоПро CSP. Для работы КриптоАРМ необходим установленный криптопровайдер (КриптоПро CSP или VipNet CSP).

Версия КриптоАРМ ГОСТ поддерживает российские алгоритмы ГОСТ и предназначена для работы с квалифицированной электронной подписью. Она требует отдельной лицензии.

Лицензия на cryptcp

Для операционных систем Windows утилита командной строки cryptcp требует отдельной лицензии, дополнительной к лицензии на КриптоПро CSP. Стоимость лицензии на cryptcp значительно ниже стоимости основной лицензии.

Для операционных систем Linux и macOS утилита cryptcp включена в лицензию КриптоПро CSP и не требует дополнительной оплаты. Это делает Linux-платформу более выгодной для автоматизации подписания.

Сертификат электронной подписи

Сертификат квалифицированной электронной подписи выдаётся аккредитованным удостоверяющим центром. Стоимость сертификата зависит от УЦ, срока действия (12 или 15 месяцев), наличия встроенной лицензии на СКЗИ.

Для руководителей юридических лиц и индивидуальных предпринимателей сертификат можно получить бесплатно в налоговой инспекции (УЦ ФНС России). Для сотрудников организаций сертификаты выдаются коммерческими удостоверяющими центрами.

При выборе УЦ обратите внимание: аккредитован ли УЦ Минцифры России, какие носители поддерживаются, включена ли лицензия на КриптоПро CSP в стоимость, есть ли техническая поддержка.

Полезные документы для скачивания

Сравнение способов создания отсоединённой подписи

Выбор инструмента для создания электронной подписи зависит от задач пользователя, уровня технической подготовки и объёма документооборота.

Инструменты КриптоПро CSP 5.0 подходят для разовых операций подписания. Преимущества: бесплатно входит в состав КриптоПро CSP, простой интерфейс. Недостатки: ограниченные возможности настройки, отсутствие пакетного режима.

КриптоАРМ обеспечивает удобный графический интерфейс с расширенными настройками. Преимущества: интеграция с контекстным меню Windows, поддержка пакетного подписания, подробные протоколы проверки. Недостатки: требует отдельной лицензии для создания подписей.

Утилита cryptcp предназначена для автоматизации и интеграции. Преимущества: возможность использования в скриптах, поддержка всех режимов подписания. Недостатки: требует технических знаний, отдельная лицензия для Windows.

Системы КЭДО, такие как Добыто, оптимальны для постоянной работы с кадровыми документами. Преимущества: подписание в один клик, автоматическое формирование требуемых форматов, интеграция с архивом, маршрутизация документов. Недостатки: требует внедрения системы в организации.

Создание подписи в Linux и macOS

КриптоПро CSP доступен для операционных систем Linux и macOS, что позволяет работать с электронной подписью на альтернативных платформах. Особенности установки и использования различаются в зависимости от операционной системы.

Установка КриптоПро CSP в Linux

Для Linux доступны пакеты в форматах deb (для Debian, Ubuntu, Astra Linux) и rpm (для RHEL, CentOS, РЕД ОС, ALT Linux). Загрузите соответствующий пакет с сайта КриптоПро и установите с помощью менеджера пакетов.

Для систем на базе Debian/Ubuntu:

sudo dpkg -i linux-amd64_deb.tgz
cd linux-amd64_deb
sudo ./install.sh

Для систем на базе RHEL/CentOS:

sudo rpm -ivh lsb-cprocsp-*.rpm
sudo rpm -ivh cprocsp-*.rpm

После установки перезапустите систему или службу КриптоПро для применения изменений.

Создание подписи в Linux

В Linux утилита cryptcp используется аналогично Windows. Команда для создания отсоединённой подписи:

/opt/cprocsp/bin/amd64/cryptcp -sign -detached документ.pdf

Путь к утилите может отличаться в зависимости от дистрибутива. Для удобства добавьте путь в переменную PATH или создайте символическую ссылку.

Для работы с ключевым носителем в Linux необходимы драйверы pcsclite и соответствующий драйвер токена. Для Рутокен установите пакет openct или libopenct, для JaCarta используйте пакеты от производителя.

Установка КриптоПро CSP в macOS

Для macOS КриптоПро CSP распространяется в виде установочного пакета pkg. Загрузите пакет с сайта КриптоПро, откройте его и следуйте инструкциям мастера установки.

После установки утилита cryptcp доступна по пути /opt/cprocsp/bin/. Для проверки установки выполните:

/opt/cprocsp/bin/csptest -keyset -enum_cont -verifycontext -fqcn

Команда отобразит список доступных контейнеров. Если ключевой носитель подключён, вы увидите его контейнер в списке.

Графические утилиты для Linux и macOS

Для Linux доступна утилита КриптоПро Tools с графическим интерфейсом. Она предоставляет функционал, аналогичный «Инструментам КриптоПро» в Windows: создание и проверка подписи, управление сертификатами.

Для macOS КриптоПро предлагает приложение «КриптоПро ЭЦП» для работы с электронной подписью. Приложение интегрируется с системой и позволяет подписывать документы через контекстное меню Finder.

Выводы

Создание отсоединённой электронной подписи в КриптоПро является стандартной процедурой, доступной пользователям с базовыми навыками работы на компьютере. Ключевые моменты, которые следует запомнить:

Отсоединённая подпись сохраняется в отдельном файле и не изменяет исходный документ. Это универсальный формат, принимаемый большинством государственных информационных систем.

Для создания подписи необходимы КриптоПро CSP версии 5.0 или выше, установленный сертификат электронной подписи и драйверы ключевого носителя.

Выбор формата подписи (CAdES-BES, CAdES-T, CAdES-XLT1) зависит от требований к сроку хранения документа и необходимости фиксации времени подписания.

Перед отправкой подписанного документа рекомендуется проверить подпись через портал Госуслуг или сервис КриптоПро DSS.

Для регулярной работы с большим количеством документов целесообразно использовать специализированные системы документооборота с встроенным подписанием, которые автоматизируют рутинные операции и исключают ошибки ручного подписания.

Юридическая значимость электронной подписи

Правовое регулирование электронной подписи в России осуществляется Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи». Закон определяет три вида электронной подписи: простую, усиленную неквалифицированную и усиленную квалифицированную.

Виды электронной подписи

Простая электронная подпись (ПЭП) подтверждает факт формирования подписи определённым лицом. Это может быть код из СМС, логин и пароль, скан рукописной подписи. ПЭП не использует криптографические средства и легко подделывается.

Усиленная неквалифицированная электронная подпись (НЭП) создаётся с помощью криптографических средств, позволяет определить подписавшее лицо и обнаружить изменения в документе после подписания. Сертификат НЭП может быть выдан любым удостоверяющим центром.

Усиленная квалифицированная электронная подпись (КЭП) обладает всеми свойствами НЭП, но сертификат выдаётся только аккредитованным удостоверяющим центром и создаётся с использованием сертифицированных СКЗИ. КЭП приравнивается к собственноручной подписи во всех случаях, кроме специально оговорённых законом.

Когда требуется КЭП

Квалифицированная электронная подпись обязательна для: взаимодействия с государственными органами через электронные сервисы, участия в электронных торгах и госзакупках, сдачи налоговой и бухгалтерской отчётности, работы в системе ЭДО с контрагентами, регистрации онлайн-кассы.

Для кадровых документов КЭП обязательна при подписании: трудовых договоров (для работодателя), дополнительных соглашений, приказов о приёме, переводе, увольнении. Работник может использовать НЭП или ПЭП, если это допускается локальным актом организации.

Хранение подписанных документов

Подписанные электронные документы должны храниться вместе с файлами подписи весь установленный срок хранения. Для кадровых документов это может составлять 50-75 лет. На протяжении этого срока должна сохраняться возможность проверки подписи.

Для долгосрочного хранения рекомендуется использовать формат подписи CAdES-XLT1 или CAdES-A, содержащий все необходимые доказательства действительности. Системы архивного хранения, такие как КриптоПро Архив, автоматически переподписывают документы для продления юридической значимости.

Мария Ж., юрист по трудовым спорам:
«При переходе на электронный кадровый документооборот критически важно обеспечить долгосрочную верифицируемость подписей. В судебной практике были случаи, когда электронные документы не принимались в качестве доказательств из-за невозможности проверить подпись. Используйте формат CAdES-XLT1 и сертифицированные системы хранения.»

Ответственность за использование чужой подписи

Использование электронной подписи другого лица без его ведома является уголовно наказуемым деянием. В зависимости от последствий это может квалифицироваться как мошенничество, подделка документов, несанкционированный доступ к компьютерной информации.

Владелец сертификата несёт ответственность за сохранность закрытого ключа. Если ключ скомпрометирован, необходимо немедленно обратиться в удостоверяющий центр для отзыва сертификата и уведомить контрагентов о возможной компрометации.

Рекомендации по безопасности

Электронная подпись является юридически значимым инструментом, поэтому её безопасность требует особого внимания. Соблюдение правил безопасности защитит от несанкционированного использования подписи и финансовых потерь.

Защита ключевого носителя

Храните ключевой носитель (токен, смарт-карту) в надёжном месте, недоступном для посторонних. Не оставляйте носитель подключённым к компьютеру без необходимости. После завершения работы извлекайте токен из USB-порта.

Установите сложный PIN-код на носитель и не сообщайте его никому. PIN-код должен отличаться от простых комбинаций вроде 12345678 или даты рождения. Если носитель поддерживает биометрическую авторизацию, активируйте эту функцию.

При утере или краже носителя немедленно обратитесь в удостоверяющий центр для отзыва сертификата. Также сообщите в службу безопасности организации и правоохранительные органы при необходимости.

Безопасность рабочего места

Используйте только лицензионное программное обеспечение с актуальными обновлениями безопасности. Установите антивирусное ПО и регулярно обновляйте его базы. Не открывайте подозрительные файлы и ссылки.

Не устанавливайте КриптоПро CSP и не работайте с электронной подписью на общедоступных компьютерах (интернет-кафе, библиотеки). Закрытый ключ может быть скопирован вредоносным ПО.

Используйте отдельную учётную запись Windows для работы с электронной подписью. Не предоставляйте права администратора повседневной учётной записи. Это ограничит возможности вредоносного ПО при заражении.

Проверка документов перед подписанием

Внимательно проверяйте содержимое документа перед подписанием. После создания электронной подписи документ становится юридически обязывающим. Отменить подпись технически невозможно.

При работе с веб-сервисами убедитесь, что находитесь на официальном сайте организации. Проверяйте адрес в строке браузера и наличие защищённого соединения (HTTPS). Фишинговые сайты могут имитировать интерфейс государственных порталов для кражи данных.

Не подписывайте пустые или незаполненные документы. Злоумышленник может заполнить их невыгодным для вас содержимым. Всегда подписывайте только полностью оформленные документы.

Использованные источники

Часто задаваемые вопросы