КриптоАРМ — программа для подписания документов электронной подписью, которая формирует файл в формате SIG. Это формат, который принимают госорганы, электронные площадки, суды и контрагенты при обмене юридически значимыми документами. Мы разберём, как настроить профиль подписи в КриптоАРМ ГОСТ, какие параметры выбрать для отсоединённой и присоединённой подписи, и на что обратить внимание при подготовке файлов к отправке. Статья дополняет материал о подписании документов ЭЦП.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое формат SIG и зачем он нужен
Формат SIG — это контейнер электронной подписи, который создаётся при подписании документа в программе КриптоАРМ. Расширение файла может быть .sig, .p7s, .sgn, .sign или .bin — зависит от настроек. Суть одна: внутри лежит криптографическая подпись, сформированная по стандарту CMS (PKCS#7). Этот стандарт признаётся российскими госорганами и информационными системами, включая Росреестр, ФСРАР, ФНС, систему «Мой арбитр» и ГАС «Правосудие».
SIG-файл бывает двух видов. Отсоединённая подпись — когда файл подписи формируется отдельно от документа. У вас остаются два файла: оригинал (PDF, DOCX, XML) и файл .sig рядом. Для проверки нужны оба. Присоединённая подпись — когда документ и подпись объединяются в один файл с расширением .sig. Получатель открывает один файл и видит внутри и документ, и подпись. Но для просмотра содержимого ему нужно ПО, которое умеет распаковывать такие контейнеры.
Какой вид выбрать — зависит от требований площадки, куда вы отправляете документы. Росреестр, электронные торговые площадки и ФНС принимают отсоединённую подпись. Для внутреннего документооборота между организациями можно использовать присоединённую. В сервисе Добыто Подпись реализованы оба варианта — сотрудник выбирает тип подписи перед подписанием, а на выходе получает SIG-файл или архив с документом и подписью.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Раз в месяц к нам приходят с проблемой: отправили SIG-файл на площадку, а она его не принимает. В 90% случаев причина — неправильно выбран тип подписи. Площадка ждёт отсоединённую, а человек сделал присоединённую. Или наоборот. Перед подписанием всегда проверяйте требования конкретного ресурса, куда планируете загружать файл.»
Что нужно для работы с КриптоАРМ ГОСТ
Перед тем как подписать первый документ, нужно убедиться, что на компьютере установлено всё необходимое. Без этого КриптоАРМ просто не увидит ваш серт и не сможет сформировать подпись.
Криптопровайдер КриптоПро CSP версии 5.0 или выше. Это фундамент, без которого ничего не работает. КриптоАРМ использует криптографические алгоритмы именно из КриптоПро CSP для формирования хэша документа и самой подписи. Версия 5.0 R3 — на текущий момент актуальная, поддерживает стандарты ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Лицензия на КриптоПро CSP приобретается отдельно от лицензии на КриптоАРМ.
Лицензия на КриптоАРМ ГОСТ. Бывает годовая и бессрочная. Для проверки электронной подписи лицензия не нужна — проверять можно бесплатно. А вот для подписания и шифрования лицензию приобрести придётся.
Личный сертификат квалифицированной электронной подписи (УКЭП), установленный в хранилище сертификатов на компьютере. Сертификат выдаёт аккредитованный удостоверяющий центр. Для юрлиц и ИП — удостоверяющий центр ФНС России, для физлиц — коммерческие аккредитованные УЦ. Сертификат хранится либо на USB-токене (рутокен, JaCarta), либо в системном хранилище Windows.
Корневые сертификаты удостоверяющего центра и Минцифры. Без них подпись будет невалидной при проверке — КриптоАРМ покажет, что цепочка сертификации не построена. Корневые серты обычно устанавливаются автоматически при установке вашего личного сертификата, но бывают случаи, когда приходится делать это вручную.
Как подписать документ в КриптоАРМ ГОСТ: по шагам
В КриптоАРМ ГОСТ версии 3 процесс подписания упрощён по сравнению со старыми версиями. Всё делается через раздел «Документы» и мастер «Подпись и шифрование». Нет нужды проходить через десяток окон — достаточно настроить профиль подписи один раз, и потом использовать его для всех документов.
Открываете КриптоАРМ ГОСТ, переходите в раздел «Документы». Там есть профили подписи — это наборы настроек, которые вы применяете каждый раз при подписании. В профиле задаёте: тип подписи (отсоединённая или присоединённая), формат кодировки (DER или BASE64), стандарт подписи (CMS или CAdES). Для большинства задач хватает CMS с кодировкой DER.
Добавляете файл (или несколько файлов) для подписания. Перетаскиваете в окно мастера или выбираете через проводник. Форматы — любые: PDF, DOC, DOCX, XML, XLS, JPG, PNG, TXT и другие. Нет ограничений по типу файла.
Активируете функцию «Подписать» в боковом меню. КриптоАРМ предложит выбрать сертификат для подписи. Если на компьютере установлен один серт — он подставится автоматически. Если несколько — выбираете нужный вручную. Перед подписанием можно установить флаг «Документы просмотрены» — КриптоАРМ зафиксирует факт ознакомления.
Нажимаете «Подписать» и ждёте завершения операции. Если ключ на USB-токене — КриптоАРМ запросит PIN-код. Если сертификат в системном хранилище — подпись сформируется без запроса. В результате рядом с оригинальным файлом появится файл .sig (при отсоединённой подписи) или оригинальный файл будет заменён на .sig (при присоединённой).
После подписания КриптоАРМ показывает результат операции. Можно сразу проверить подпись, посмотреть свойства сертификата, цепочку сертификации. Если всё зелёное — подпись валидна. Если красное — нужно разбираться, почему цепочка не строится.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«В практике Добыто мы видим, что кадровики и бухгалтеры часто путаются именно в выборе профиля подписи. Настройте профиль один раз корректно — и дальше подписание будет занимать три клика. Мы рекомендуем создавать два профиля: один для отсоединённой подписи (для госорганов), второй для присоединённой (для внутренних документов).»
Как подписать документ в КриптоАРМ ГОСТ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Запустите КриптоАРМ ГОСТ и перейдите в раздел «Документы». Откройте мастер «Подпись и шифрование».
- Шаг 2. Добавьте файл для подписания — перетащите его в окно мастера или нажмите «Добавить файл» и выберите через проводник. Поддерживаются форматы PDF, DOC, DOCX, XLS, XML, JPG, PNG, TXT и 100+ других.
- Шаг 3. Выберите тип подписи в настройках профиля: отсоединённая (файл .sig формируется отдельно от документа, нужны оба файла для проверки) или присоединённая (документ и подпись объединяются в один .sig-файл). Для госорганов и площадок выбирайте отсоединённую.
- Шаг 4. Выберите сертификат ЭП из списка установленных на вашем компьютере. Если сертификат на USB-токене — вставьте токен и введите PIN-код по запросу.
- Шаг 5. Нажмите «Подписать» и дождитесь завершения операции. Файл .sig появится в той же папке, где находится оригинальный документ. Проверьте результат подписания — статус подписи должен быть «действительна».
Настройки профиля подписи в КриптоАРМ
Профиль подписи — штука, которую настраивают один раз и забывают. Но именно тут кроются грабли, из-за которых площадки отказывают в приёме документов.
Формат кодировки: DER или BASE64. DER — бинарный формат, занимает меньше места, используется по умолчанию. BASE64 — текстовый формат, занимает больше места, но удобнее для передачи по электронной почте. Некоторые площадки принимают только DER, другие — только BASE64. Если не знаете, что выбрать, ставьте DER.
Стандарт подписи: CMS (CAdES-BES) или CAdES-T, CAdES-XLong Type 1, CAdES-A. Для обычного подписания хватает CMS. Но если вам нужна подпись с штампом времени (чтобы зафиксировать момент подписания и потом подтвердить это в суде), выбирайте CAdES-T или CAdES-XLong Type 1. Для архивного хранения — CAdES-A. Для работы с усовершенствованными форматами нужны дополнительные модули КриптоПро TSP Client и КриптоПро OCSP Client с отдельными лицензиями.
Расширение выходного файла: .sig, .p7s. По умолчанию КриптоАРМ ставит .sig. Некоторые площадки требуют именно .p7s — переключается в настройках профиля.
Архивация файлов: после подписания КриптоАРМ умеет автоматически упаковать оригинальный файл и файл подписи в ZIP-архив. Функция полезна, если нужно отправить оба файла по почте одним вложением.
Как подписать документ в Добыто Подпись
Сервис Добыто Подпись — онлайн-инструмент для подписания документов электронной подписью без установки десктопного ПО. Сервис включён в реестр российского ПО, документы не сохраняются на сервере — после подписания файл удаляется. Это принципиальное отличие от ряда конкурентов, где файлы хранятся неопределённо долго.
Процесс подписания занимает меньше минуты. Загружаете документ (PDF, DOC, DOCX, XLS, CSV, JPEG, PNG, TIFF и более 100 других форматов). Выбираете тип подписи — открепленная или присоединенная. Выбираете ваш сертификат ЭП из списка установленных на устройстве. Нажимаете «Подписать». Скачиваете результат — SIG-файл или архив.
С 1 марта 2026 года в Добыто Подпись появилась функция визуального штампа на PDF — графическое отображение сведений о подписи прямо в документе. Штампик не заменяет ЭП и не имеет самостоятельной юридической силы, но визуально подтверждает факт подписания для получателей, у которых нет средств проверки.
Подписать документ ЭЦП в формате SIG можно без установки КриптоАРМ — через сервис Добыто Подпись. Загрузите файл, выберите сертификат и получите готовый SIG-файл за 30 секунд. Документы не сохраняются на сервере.
Отсоединённая и присоединённая подпись: когда какую использовать
Вопрос, который задают постоянно. И нет одного ответа — зависит от ситуации.
Отсоединённая подпись (откреплённая) формирует отдельный SIG-файл. Оригинальный документ остаётся неизменным — его можно открыть в любой программе без специального ПО. Это удобно, когда получатель хочет просто прочитать документ, а подпись проверить отдельно. Росреестр, ФНС, электронные торговые площадки (РТС-тендер, Сбербанк-АСТ), система подачи исков «Мой арбитр» и ГАС «Правосудие» — все они работают с отсоединённой подписью. При отправке отсоединённой подписи нужно передавать ОБА файла: и документ, и SIG-файл.
Присоединённая подпись объединяет документ и подпись в один SIG-файл. Плюс — невозможно потерять файл подписи, потому что он внутри. Минус — открыть и прочитать документ можно только через программу, которая умеет распаковывать CMS-контейнеры (КриптоАРМ, КриптоПро и аналоги). Присоединённую подпись удобно использовать при обмене документами между организациями, когда у обеих сторон есть средства работы с ЭП.
Мария Ж, юрист со стажем более 20 лет:
«Если вы отправляете документы на госплощадку, а требования к типу подписи нигде на сайте площадки не указаны — делайте отсоединённую. Это стандарт. За 13 лет работы с подписанием кадровых и юридических документов я ни разу не видела площадку, которая отказала бы в приёме отсоединённой подписи. А вот с присоединённой были затыки.»
Образцы документов для подписания ЭЦП
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Криптографическая защита информации | Скачать |
| Приказ о КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
Подпись PDF с визуальным штампом
КриптоАРМ ГОСТ умеет добавлять графический штамп на PDF-документ при подписании. Штампик содержит информацию о владельце сертификата, номер сертификата, срок действия, дату подписания. Выглядит как плашка внизу страницы — синенький квадратик с данными о подписи.
Тут нюанс. Штамп добавляется не на оригинальный документ, а на его копию. Визуализация — это отдельный PDF-файл с графическим отображением подписи. Он не содержит саму ЭП и не пройдёт проверку электронной подписи. Штамп нужен для наглядности — отправляете получателю, который не умеет проверять ЭП, и он визуально видит, что документ подписан.
В версии 3 КриптоАРМ ГОСТ также есть встроенная подпись PDF — когда подпись вшивается прямо в PDF-документ, без создания отдельного SIG-файла. Формат знакомый: выписки из ЕГРЮЛ, штрафы ГИБДД — всё это PDF со встроенной ЭП. Можно настроить графический штамп, добавить логотип, выбрать страницу и расположение. Есть пакетная подпись — подписываете одновременно десятки PDF-файлов. Но на текущий момент встроенная подпись PDF доступна только в несертифицированной версии (релиз 6). В сертифицированной версии 3 (сборка 3737) этой функции нет.
Типичные ошибки при подписании в КриптоАРМ
1. Передача токена или пароля третьим лицам. Когда главбух передаёт флешку с ключом секретарю со словами «подпиши за меня» — юридически это всё равно главбух подписал. Ответственность за подписанный документ лежит на владельце серта. Если обнаружатся ошибки в подписанном документе — претензии предъявят владельцу подписи.
2. Подписание просроченным сертификатом. Срок действия УКЭП — один год. Если серт истёк, документ, подписанный после даты окончания, юридически ничтожен. КриптоАРМ предупредит о том, что сертификат недействителен, но многие игнорируют это предупреждение.
3. Неправильная установка корневых сертификатов. Без корневых сертификатов УЦ и Минцифры подпись формируется, но при проверке статус — «недействительна». Цепочка сертификации не строится. Решение — установить корневые серты вручную из хранилища вашего удостоверяющего центра.
4. Игнорирование уведомлений от УЦ. Удостоверяющий центр уведомляет о компрометации ключа, отзыве сертификата, истечении срока. Бывает, что УЦ отзывает серт по техническим причинам, а пользователь продолжает подписывать документы — все такие подписи будут невалидными.
5. Подписание с чужого компьютера или через публичный Wi-Fi. Ключ ЭП, хранящийся в системном хранилище (а не на токене), может быть скопирован при доступе к компьютеру. На токене закрытка защищена PIN-кодом и не извлекается.
6. Выбор неправильного типа подписи. Площадка требует отсоединённую подпись, а пользователь делает присоединённую. Или наоборот. Результат — отказ в приёме документов и потеря времени.
Мария Ж, судебный эксперт по трудовому праву:
«Одна из самых частых ситуаций на судебных разбирательствах — сторона представляет документ, подписанный ЭП, а вторая сторона оспаривает подпись, потому что серт был просрочен. Суд запрашивает экспертизу, и выясняется, что на момент подписания сертификат был уже недействителен. Документ не принимается как доказательство. Следите за сроком действия сертификата — это не формальность.»
Версии КриптоАРМ: ГОСТ 3, ГОСТ 2.5, классический КриптоАРМ
На рынке одновременно существуют несколько версий, и это вносит путаницу. Разработчик — компания «Цифровые технологии» (trusted.ru).
КриптоАРМ ГОСТ версии 3 — актуальная версия с сертификатом ФСБ. Работает в связке с КриптоПро CSP 5.0 R3. Включает встроенный почтовый клиент с поддержкой шифрования по S/MIME. Поддерживает стандарты подписи CMS, CAdES, CAdES-A. Работает на Windows, Linux, macOS, iOS, Android, Аврора. Есть поддержка МЧД (эмчедэшек) — можно прикрепить к сертификату файл машиночитаемой доверенности и сформировать единый архив с подписанными документами и МЧД. Мобильная версия поддерживает бесконтактную подпись через NFC.
КриптоАРМ ГОСТ версии 2.5 — предыдущая версия, всё ещё продаётся. Работает с КриптоПро CSP 5.0 R2. Нет встроенного почтового клиента. Нет поддержки CAdES-A для архивного хранения. Функционально беднее версии 3, но стоит столько же.
Классический КриптоАРМ (версии 5.x) — старая версия от тех же разработчиков. Работает через «Мастер создания электронной подписи» — многошаговый интерфейс с кнопкой «Далее» на каждом экране. Функционально аналогичен ГОСТ-версии, но не поддерживает российские ОС и новые стандарты. Устаревает.
Для новых задач мы в Добыто рекомендуем КриптоАРМ ГОСТ 3 — он сертифицирован, поддерживает актуальные стандарты и платформы.
Стоимость лицензии КриптоАРМ ГОСТ и тарифы Добыто
Итоговая стоимость подписания документов зависит от того, какой инструмент вы используете и сколько рабочих мест нужно лицензировать. Ниже — цены на КриптоАРМ ГОСТ и тарифы сервиса Добыто.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Добыто КЭДО — тариф «Старт» | от 30 руб./сотрудник/мес | До 25 сотрудников |
| Добыто КЭДО — тариф «Бизнес» | от 50 руб./сотрудник/мес | Мин. 50 сотрудников, от 30 000 руб./год |
| Добыто КЭДО — тариф «Корпорация» | по запросу | Выделенный сервер, SLA 99.9% |
На всех тарифах Добыто КЭДО электронные подписи ПЭП и УНЭП для сотрудников выпускаются бесплатно. Итоговая сумма зависит от численности персонала и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться.
Проверка SIG-файла после подписания
Подписать — полдела. Нужно убедиться, что подпись валидна. В КриптоАРМ ГОСТ проверка делается через мастер «Проверка и расшифрование». Загружаете SIG-файл (при присоединённой подписи) или оба файла — оригинал и .sig (при отсоединённой). Программа покажет: статус подписи, информацию о сертификате, цепочку доверия.
Для проверки лицензия на КриптоАРМ не нужна. Устанавливаете программу, проверяете бесплатно. Альтернативные сервисы проверки: портал Госуслуг (раздел «Проверка электронной подписи»), сервис КриптоАРМ Server (sc1.cryptoarm.ru) и Добыто Подпись.
Если КриптоАРМ при проверке показывает ошибку «Не удалось построить цепочку сертификации» — нужно установить корневые сертификаты. Скачиваете с сайта вашего УЦ корневой сертификат и сертификат Минцифры, устанавливаете в хранилище «Доверенные корневые центры сертификации». После этого проверка пройдёт.
Мария Ж, HR-эксперт с 13-летним стажем:
«В сервисе Добыто мы настраиваем маршруты подписания так, чтобы кадровик видел статус каждой подписи в реальном времени. Кто подписал, кто не подписал, у кого заканчивается серт. Автозакрытие этапа по таймауту — если сотрудник не подписал за N дней, документ возвращается кадровику. Это экономит кучу времени по сравнению с ручным отслеживанием статусов в КриптоАРМ.»
Подписание нескольких документов одновременно
КриптоАРМ ГОСТ поддерживает пакетную подпись — загружаете в мастер сразу несколько файлов или целую папку, выбираете сертификат и подписываете все одной операцией. Для каждого файла создаётся отдельный SIG-файл (при отсоединённой подписи) или каждый файл преобразуется в SIG (при присоединённой). Количество файлов в пакете не ограничено.
Для организаций с потоком кадровых документов — трудовые договоры, приказы, допники — пакетная подпись экономит часы. Но у КриптоАРМ нет функции автоматического сбора комплекта документов под конкретного сотрудника. В сервисе Добыто КЭДО система сама определяет, какие документы подписывать конкретному сотруднику, и отправляет их на подписание одним пакетом.
Добавление второй подписи к уже подписанному документу тоже поддерживается. Открываете уже подписанный SIG-файл, нажимаете «Добавить подпись», выбираете второй сертификат — и файл подписывается повторно. Соподпись формируется как отдельный слой внутри того же SIG-контейнера.
Выводы: подписание документов в КриптоАРМ в формате SIG
КриптоАРМ ГОСТ версии 3 — рабочий инструмент для формирования SIG-файлов электронной подписи. Для работы нужны криптопровайдер КриптоПро CSP 5.0, лицензия на КриптоАРМ и действующий сертификат УКЭП от аккредитованного удостоверяющего центра. Формат SIG принимают все российские госорганы, электронные площадки и суды. Перед подписанием проверяйте требования конкретной площадки к типу подписи — отсоединённая или присоединённая.
Настройте профиль подписи один раз с правильными параметрами (DER кодировка, CMS стандарт, отсоединённая подпись) — и дальше подписание занимает три клика. Следите за сроком действия сертификата, не передавайте токен третьим лицам, устанавливайте корневые сертификаты для корректной проверки. Для кадрового и массового документооборота КриптоАРМ подходит ограниченно — нет автоматической маршрутизации, нет контроля сроков подписания, нет интеграции с учётными системами.
Если задача выходит за рамки разового подписания — переходите на КЭДО. Сервисы кадрового электронного документооборота автоматизируют весь цикл: от формирования документа до контроля подписания и архивного хранения.
Часто задаваемые вопросы
Нужна ли лицензия на КриптоАРМ для проверки подписи?
Можно ли подписать документ в КриптоАРМ без КриптоПро CSP?
Чем отличается формат SIG от P7S?
Как подписать документ на телефоне через КриптоАРМ?
Какие ОС поддерживает КриптоАРМ ГОСТ 3?
Можно ли подписать документ двумя ЭП в одном SIG-файле?
Что делать, если КриптоАРМ не видит сертификат?
Чем CAdES отличается от CMS при подписании?
Как подписать МЧД в КриптоАРМ ГОСТ?
Можно ли использовать облачную ЭП в КриптоАРМ?
Как подписать документ для Росреестра через КриптоАРМ?
Работает ли КриптоАРМ ГОСТ с Госключом?
Сервис Добыто автоматизирует подписание кадровых документов — от трудового договора до приказа об отпуске. Вместо ручного подписания каждого файла в КриптоАРМ система формирует комплект документов, отправляет сотруднику на подпись и фиксирует результат с отметками времени.
За время работы сервиса мы подключили более 500 компаний к электронному кадровому документообороту. Настраиваем интеграцию с 1С, обучаем кадровиков, сопровождаем до первых 50 подписаний.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — ставится за час без привлечения разработчиков
- Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Автосбор комплекта документов под должность — система сама определяет, какие инструкции подписывать конкретному сотруднику
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному