Можно ли подписать архив электронной подписью: ZIP и .sig

Подписать архив электронной подписью можно — закон не делит файлы на «подписываемые» и «неподписываемые», подпись ставится на любой набор байтов, будь то PDF, картинка или ZIP. Дальше начинается то, ради чего эту статью и стоит дочитать: подписывать сам архив целиком или файлы внутри него — это два разных сценария с разными последствиями при проверке. Разберём, чем отличается подпись на ZIP от подписи на каждый документ, какие программы это делают, что происходит с подписью при распаковке и в каких случаях архив с подписью теряет смысл. Тема входит в большой раздел про электронную подпись документов, где собраны инструкции по подписанию файлов всех форматов.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Можно ли подписать ZIP-архив электронной подписью

Да. С точки зрения криптографии подпись вообще не интересуется содержимым файла. Программа берёт файл, считает от него хэш — длинное число, которое однозначно соответствует этой последовательности байтов, — и подписывает уже этот хэш закрытым ключом. Архив для алгоритма ничем не отличается от текстового документа. ZIP, RAR, 7z, tar — подписать можно любой контейнер.

63-ФЗ, в профессиональной среде — «тройка», в статье 6 закрепляет принцип: электронный документ, подписанный квалифицированной подписью, равнозначен бумажному с собственноручной. Под «документом» закон понимает информацию в электронной форме. Архив — это тоже информация в электронной форме. Никакого запрета на подписание сжатых контейнеров ни в 63-ФЗ, ни в подзаконных актах нет.

Но «можно технически» и «имеет смысл» — вещи разные. И вот тут начинаются нюансы, из-за которых половина вопросов в нашу техподдержку и прилетает.

Мария Ж, специалист по цифровой подписи и ЭДО:
«Народ часто думает, что раз файл открывается — значит, его нельзя подписать, а раз это архив — то тем более. Ерунда. Подписывается хэш, а хэш считается от чего угодно. Вопрос не «можно ли», а «зачем вам подписывать именно архив, а не файлы в нём» — вот на него люди ответить не могут.»

Подписать архив целиком или каждый файл внутри: в чём разница

Это ключевая развилка. От неё зависит, что увидит проверяющая сторона и что случится с подписью, когда архив распакуют.

Вариант первый — подпись на весь архив. Вы берёте готовый ZIP и подписываете его как единый объект. На выходе — либо файл с присоединённой подписью (документ и подпись в одном), либо отдельный файл подписи рядом, формата .sig. Подпись удостоверяет архив целиком, со всем его содержимым и структурой. Поменяли внутри хоть один байт, переупаковали архив другой программой — хэш изменился, подпись «слетела». Это и плюс, и минус сразу. Плюс — фиксируется неизменность всего комплекта. Минус — архив нельзя ни пересобрать, ни почистить, ни добавить файл, иначе подпись становится невалидной.

Вариант второй — подпись на каждый файл, потом упаковка в архив. Сначала подписываете документы по отдельности, получаете рядом с каждым его .sig-файл, и только потом складываете всё в один ZIP — для удобной пересылки. Здесь архив — просто транспорт, «коробка». Распаковал получатель — и у него лежат документы вместе со своими подписями, каждую можно проверить независимо. Если речь про массовое подписание нескольких файлов сразу, то этот путь обычно и выбирают — подписали пачку, закинули в архив, отправили.

Какой выбрать? Зависит от задачи. Нужно зафиксировать, что комплект документов целостный и никто в нём ничего не трогал, — подписывайте архив целиком. Нужно, чтобы получатель работал с каждым документом отдельно и проверял подписи поштучно, — подписывайте файлы, а архив используйте как тару. По сути — архив целиком подписывают, когда сам факт «вот этот набор именно в таком виде» важнее, чем работа с отдельными бумагами.

Мария Ж, судебный эксперт по трудовому праву:
«Был затык у клиента: отправили контрагенту архив, подписанный скопом, тот распаковал, один файлик переименовал у себя — и всё, при проверке зелёная галочка не появляется, подпись красная. А виноватых нет, просто люди не поняли, что подпись намертво привязана к архиву как к единому целому. Если планируете лезть внутрь — подписывайте файлы, а не коробку.»

Присоединённая и отсоединённая подпись для архива

Два формата, которые надо различать, иначе на проверке начинается путаница.

Присоединённая подпись. Документ и подпись лежат в одном файле — подпись «вшита» внутрь контейнера CMS (он же PKCS#7). Удобно пересылать: один файл, ничего не потеряется. Минус — чтобы прочитать исходный архив, его сначала надо «достать» из контейнера специальной программой. Просто разархивировать его уже не выйдет.

Отсоединённая подпись. Рядом с архивом arhiv.zip появляется отдельный файлик arhiv.zip.sig. Сам архив остаётся как был, его можно открыть обычным архиватором, а подпись хранится отдельным сиг-файлом. Минус — этот .sig нельзя терять и нельзя отрывать от исходного архива, иначе проверять будет нечего. При пересылке оба файла идут вместе. Как сделать отсоединённую подпись в КриптоПро — отдельная процедура, но логика везде одна: на входе файл, на выходе .sig рядом.

Для архивов чаще берут именно отсоединённую — чтобы сам ZIP остался читаемым и его не пришлось каждый раз вытаскивать из криптоконтейнера. Хотя если комплект уходит «как есть» и распаковывать его в ближайшее время никто не собирается, присоединённая тоже рабочий вариант.

Мария Ж, юрист со стажем более 20 лет:
«Отсоединёнка для архива — это когда у вас рядом лежит архив и его сиг-файл. Потеряли сиг — считайте, подписи нет. Поэтому если отправляете по почте, кладите оба файла в одно письмо, а не «архив сейчас, подпись потом». Звучит банально, но половина обращений именно про потерянный .sig.»

Чем подписать архив электронной подписью

Программ хватает, перечислю те, что реально используют.

КриптоАРМ ГОСТ. Универсальное приложение для работы с электронными документами, мультиплатформенное — Windows, Linux, macOS и российские ОС. Сертифицировано ФСБ в составе КриптоПро CSP, поддерживает разные стандарты подписи, в том числе усовершенствованные форматы для долговременного хранения. Подпись с МЧД умеет складывать подписанные данные и файл доверенности в единый архив. Подписать ZIP в нём — дело пары кликов: выбрал файл, выбрал серт, нажал «подписать».

КриптоПро CSP. Крипто-провайдер, на котором держится почти весь российский документооборот. Сам по себе графического мастера для подписания файлов не даёт, но связка КриптоПро + КриптоАРМ или КриптоПро + плагин закрывает задачу полностью. Работает с рутокенами в режиме неизвлекаемого ключа.

Госключ. Мобильное приложение от Минцифры, в народе «гусключ». Подпись генерируется на смартфоне, ключ из устройства не покидает. Через Госключ удобно подписывать документы на ходу, но для произвольных ZIP-архивов с компьютера он подходит хуже — заточен скорее под конкретные сценарии Госуслуг и кадрового ЭДО.

Добыто.Подпись. В сервисе Добыто подписание и проверка файлов вынесены в онлайн — загружаете архив, выбираете сертификат, получаете подпись, не устанавливая на машину тяжёлый софт. Мы изначально закладывали поддержку разных форматов контейнеров, потому что запросы «а можно ли подписать вот этот zip» прилетают регулярно.

Как подписать архив электронной подписью: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Соберите нужные документы в один архив (ZIP или 7z) и проверьте, что внутри лежит ровно то, что должно. После подписания менять состав нельзя.
Шаг 2. Подключите носитель с сертификатом — флешку-токен (Рутокен, JaCarta) или сертификат из реестра. Убедитесь, что серт действителен на текущую дату.
Шаг 3. Откройте программу подписания (КриптоАРМ, плагин КриптоПро или онлайн-сервис) и выберите файл архива.
Шаг 4. Укажите формат подписи: отсоединённая (рядом появится .sig) или присоединённая (всё в одном файле). Для архива чаще нужна отсоединённая.
Шаг 5. Выберите сертификат, введите ПИН-код токена, подтвердите подписание. Программа посчитает хэш и подпишет его на борту токена.
Шаг 6. Проверьте результат — откройте проверку подписи и убедитесь, что статус действителен, появилась зелёная галочка. Отправляйте архив вместе с файлом подписи в одном пакете.

Подписать документ электронной подписью онлайн

1 Загрузите необходимые файлы:

Перетащите или выберите файл

2 Выберите электронную подпись:

Нажимая кнопку «Подписать», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Что происходит с подписью при распаковке архива

Частый вопрос — и тут люди путаются капитально. Разберём по сценариям.

Если вы подписали архив целиком, то подпись относится к этому конкретному ZIP-файлу. Распаковали — получили внутренние документы, но они уже без подписи. Подпись была на контейнере, а не на каждом файле. То есть после распаковки доказать, что конкретный документ подписан, не получится — подписан был архив. Хотите сохранить юридическую значимость — храните исходный подписанный архив вместе с .sig, не распаковывая.

Если вы подписали каждый файл отдельно, а потом упаковали в архив, то после распаковки у вас на руках документы и их .sig-файлы. Каждую подпись можно проверить независимо. Архив тут вообще ни при чём — он только довёз содержимое.

Логику в этом искать не нужно, её нужно просто понять и запомнить: подпись привязана к тому объекту, который вы скормили программе. Скормили архив — подпись на архиве. Скормили файлы — подпись на файлах.

Здесь и проходит та грань, где компании чаще всего ошибаются: подписали архив скопом, отправили контрагенту, а тот распаковал и потерял всю доказательную базу. Если у вас регулярный обмен комплектами документов и важна юридическая значимость каждого из них, имеет смысл не изобретать схему на коленке. Наши специалисты в Добыто настраивают подписание так, чтобы и пересылать было удобно, и подпись на проверке не отваливалась.

Попробуйте ДОБЫТО КЭДО

Как проверить подпись на архиве

Проверка — зеркальная процедура. Программа заново считает хэш архива и сверяет его с тем, что зашит в подписи. Совпало — значит, архив не менялся после подписания, и подпись действительна. Не совпало — выходит красный статус, в архив вносили изменения либо подпись повреждена.

Проверить подпись можно несколькими способами. На портале Госуслуг есть бесплатный сервис проверки электронной подписи — загружаете файл и подпись, получаете результат, такой инструмент доступен на официальном сервисе проверки ЭП Госуслуг. Если подпись отсоединённая — грузите и архив, и .sig-файл. Если присоединённая — достаточно одного файла. Многие сервисы умеют принимать ZIP-архив, внутри которого лежат подписанные файлы, и проверять их пачкой.

Мария Ж, специалист по проверке электронной подписи:
«Когда проверяете отсоединённую подпись на архиве, держите оба файла в одной папке и с правильными именами. Сервис ищет .sig рядом с исходником. Переименовали архив, а .sig забыли — и проверка ругается, хотя подпись на самом деле живая. Мелочь, а нервов стоит.»

Образцы документов и памятки по электронной подписи

Открыть список документов

Документ	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Руководство пользователя Добыто КЭДО	Скачать
Шаблон соглашения по ЭДО	Скачать
Приказ о введении КЭДО	Скачать
Методические рекомендации по внедрению ЭДО	Скачать
Примерная форма трудового договора	Скачать

Долговременное хранение подписанного архива

Архив подписали — а через пять лет сертификат, которым подписывали, давно протух. Подпись на проверке покажет, что серт недействителен. Документ-то жив, а доказать его подлинность сложно. Для таких случаев существуют усовершенствованные форматы подписи — КАдЭС (CAdES), форматы для архивного хранения.

Идея в том, что в подпись добавляются дополнительные доказательства: штамп времени, метка от удостоверяющего центра о действительности сертификата на момент подписания, архивная метка, которая заверяет предыдущие. Это то самое «ухаживание за подписью» — её периодически переподписывают поверх, чтобы при смене криптоалгоритмов она оставалась проверяемой. Сертификаты сейчас выдают и на длинные сроки, но для документов со сроком хранения 50 лет даже этого мало.

Если архив с подписанными документами уходит в электронный архив организации, лучше сразу делать усовершенствованную подпись. Кадровые документы хранятся десятилетиями, и через 50 лет обычная CMS-подпись юридически уже мало что докажет. В практике Добыто мы советуем закладывать это на старте — переподписать пять тысяч документов задним числом куда дороже, чем сразу сделать как надо.

Стоимость подписания и хранения документов в сервисе КЭДО Добыто

Подписание архивов и файлов в Добыто идёт в рамках тарифов на КЭДО — отдельной платы «за подпись архива» нет. Стоимость зависит от численности сотрудников, выбранного тарифа и набора подключённых функций, включая электронный архив для долговременного хранения.

Тариф	Стоимость	Условия
Старт — для небольших компаний, начинающих переход на КЭДО. ПЭП и УНЭП, базовые шаблоны, email-поддержка	от 30 ₽ за сотрудника / мес	до 25 сотрудников
Бизнес — ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив, приоритетная поддержка	от 50 ₽ за сотрудника / мес	неограниченно сотрудников, мин. оплата 50 сотрудников — 30 000 ₽ в год
Корпорация — всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции	по запросу	крупный бизнес с расширенными требованиями

Итоговая сумма складывается из численности персонала, тарифа и того, нужен ли вам электронный архив с усовершенствованной подписью. Сориентироваться точнее помогут актуальные тарифы сервиса Добыто — там разбито, что входит в каждый пакет.

Типичные ошибки при подписании архивов

Ошибка первая — подписать архив целиком, а потом удивляться, почему после распаковки подписи нет. Делают так в попытке сэкономить движения: один файл подписать быстрее, чем десять. Цена ошибки — при споре доказать подлинность отдельного документа из архива не выйдет, подпись была на контейнере. Получатель распаковал — и доказательная база рассыпалась.

Ошибка вторая — потерять или оторвать .sig-файл от архива. Отсоединённую подпись воспринимают как что-то необязательное, «архив же открывается». Открывается, да. Только проверить, кто его подписал, без .sig невозможно. Цена — повторное подписание, а если сертификат уже отозван или просрочен, то и переоформление подписи.

Ошибка третья — переупаковать подписанный архив другой программой. Кажется, что содержимое то же. Но разные архиваторы пакуют байты по-разному, хэш меняется, подпись слетает. Цена — архив приходится подписывать заново, а если он уже ушёл контрагенту, ещё и объясняться.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Главные грабли — люди относятся к подписи на архиве как к штампику, который «прилип навсегда». А он привязан к точному набору байтов. Тронули архив любой программой — хэш другой, подпись красная. За время работы сервиса мы это объясняем, наверное, в каждом втором проекте, где гоняют комплекты документов.»

Выводы: подписание архива электронной подписью

Подписать архив электронной подписью можно — закон не запрещает подписывать ZIP, RAR или любой другой контейнер, потому что подпись ставится на хэш файла, а хэш считается от чего угодно. Юридическую силу архиву даёт вид подписи: для серьёзных документов нужна УКЭП, равнозначная собственноручной по 63-ФЗ, для внутренних задач хватает НЭП. Ключевое решение перед подписанием — подписывать архив целиком или каждый файл внутри, потому что от этого зависит, что останется на руках у получателя после распаковки.

На практике подписывайте архив целиком, когда нужно зафиксировать неизменность всего комплекта, и не трогайте его потом ни одной программой. Если документы будут жить отдельной жизнью, подписывайте их по отдельности и складывайте в архив как в коробку для пересылки. Для архива удобнее отсоединённая подпись — сам ZIP остаётся читаемым, рядом лежит .sig, и оба файла всегда передаются вместе. Перед отправкой проверяйте подпись на сервисе Госуслуг или другом инструменте, чтобы убедиться в действительности сертификата.

Если архив уходит на долговременное хранение, сразу делайте усовершенствованную подпись формата CAdES со штампом времени — через десятилетия обычная подпись уже мало что докажет, а переподписывать большой массив задним числом дорого и муторно. Чем раньше выстроена схема подписания, тем меньше проблем при проверках и в спорах.

Часто задаваемые вопросы

Можно ли подписать запароленный архив электронной подписью?

Да, подписать можно. Программа подписи считает хэш от файла как от набора байтов и не пытается его открывать или распаковывать, поэтому наличие пароля на архив подписанию не мешает. Но учтите: подпись фиксирует именно зашифрованный контейнер. Если вы потом снимете пароль и пересохраните архив, хэш изменится и подпись станет недействительной.

Какой подписью подписывать архив — ПЭП, НЭП или УКЭП?

Зависит от назначения. ПЭП не проверяет целостность файла, поэтому для архива с важными документами она не годится. НЭП и УКЭП обеспечивают и установление автора, и контроль неизменности. Для документов, которые могут оспариваться в суде или уходят в госорганы, берите УКЭП — она по 63-ФЗ равнозначна собственноручной подписи без дополнительных соглашений. Для внутреннего обмена внутри компании достаточно НЭП при наличии соглашения между участниками.

Сохраняется ли подпись, если разархивировать подписанный ZIP?

Если подпись была поставлена на архив целиком, то нет — после распаковки документы внутри окажутся без подписи, она относилась к контейнеру, а не к отдельным файлам. Чтобы сохранить юридическую значимость, храните исходный подписанный архив вместе с файлом .sig, не распаковывая. Если же каждый файл подписывался отдельно до упаковки, то после распаковки у вас будут и документы, и их подписи.

Чем отличается присоединённая подпись от отсоединённой для архива?

При присоединённой подписи архив и подпись лежат в одном файле-контейнере формата CMS (PKCS#7) — удобно пересылать, но чтобы добраться до исходного ZIP, его надо извлечь специальной программой. При отсоединённой рядом с архивом появляется отдельный файл .sig, сам архив открывается обычным архиватором, но .sig нельзя терять и нужно передавать вместе с архивом. Для архивов чаще выбирают отсоединённую.

Можно ли подписать архив электронной подписью онлайн?

Да. Онлайн-сервисы подписания позволяют загрузить архив, выбрать сертификат и получить подпись без установки тяжёлого софта на компьютер. Подойдёт, когда нужно подписать файл с чужой машины или быстро, без настройки рабочего места. Для регулярного потока документов и долговременного хранения обычно выбирают полноценное решение с поддержкой усовершенствованных форматов подписи.

Можно ли добавить файл в архив после его подписания?

Нет, если подпись стоит на архиве целиком. Любое изменение содержимого — добавление, удаление или замена файла — меняет хэш контейнера, и подпись становится недействительной. Если нужно дополнить комплект, придётся пересобрать архив и подписать его заново. Когда состав документов может меняться, разумнее подписывать файлы по отдельности.

Как проверить подпись на архиве, если потерял файл .sig?

При отсоединённой подписи проверить её без .sig-файла невозможно — в нём и хранится сама подпись и сертификат. Без него у вас остаётся только архив, проверять которому нечем. Восстановить .sig нельзя, документ придётся подписывать заново. Поэтому файл подписи всегда хранят и пересылают вместе с архивом, в одной папке и с соответствующим именем.

Сколько архивов или файлов можно подписать одной подписью за раз?

Технических ограничений на пакетное подписание нет — программы вроде КриптоАРМ и серверные решения подписывают пачку файлов или архивов сразу, для каждого формируя свою подпись. Это и есть массовое подписание. Если же вы хотите одной подписью закрыть весь комплект, файлы складывают в один архив и подписывают его целиком — тогда подпись будет одна на всё.

Будет ли подпись на архиве действительна через 10-15 лет?

Обычная подпись формата CMS со временем теряет проверяемость: сертификат, которым подписывали, истекает, а потом меняются и криптоалгоритмы. Для долгого хранения используют усовершенствованные форматы CAdES со штампом времени и метками о статусе сертификата на момент подписания, а также архивную метку. Такую подпись периодически переподписывают поверх. Для документов со сроком хранения свыше 10 лет это обязательное условие.

Нужно ли соглашение между сторонами, чтобы подписывать архивы электронной подписью?

Если используется УКЭП, отдельное соглашение не требуется — по 63-ФЗ такая подпись юридически значима сама по себе, и контрагент обязан её принимать. Для НЭП или ПЭП нужно соглашение между участниками электронного взаимодействия, где прописаны порядок создания и проверки подписи, а также разбор спорных ситуаций. Без такого соглашения неквалифицированная подпись на архиве может не иметь юридической силы в споре.

Можно ли подписать архив подписью на токене (Рутокен)?

Да. Токен (Рутокен, JaCarta) хранит закрытый ключ и при подписании архива программа считает хэш на компьютере, а подписывает его уже на борту токена в режиме неизвлекаемого ключа. Для больших архивов хэширование идёт программно, а подпись формируется внутри устройства. Это наиболее безопасный способ — закрытый ключ физически не покидает токен.

Подписать архив — дело нескольких кликов, а вот выстроить процесс так, чтобы подписи не отваливались при пересылке, документы спокойно лежали в архиве десятилетиями и проходили проверки ГИТ и контрагентов, — задача посложнее. Сервис КЭДО Добыто закрывает её целиком: подписание и проверка файлов любых форматов, электронный архив с усовершенствованной подписью, работа со штатными сотрудниками, самозанятыми и ГПХ в одном интерфейсе.

За время работы мы подключили сотни компаний — от небольших команд до бизнеса с тысячами сотрудников — и в каждом проекте упирались в один и тот же вопрос: как сделать так, чтобы подпись на комплекте документов жила долго и проверялась без танцев с бубном. Схему отладили, теперь предлагаем готовую.

Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого документа и комплекта
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
Хранение документов до 50 лет с усовершенствованной подписью — доступ к архиву сохраняется даже при расторжении договора
Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
Мобильное приложение для подписания с телефона — в командировке, в отпуске, без похода в отдел кадров
Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ

Запросить демо-доступ