P7S и SIG — два расширения, в которых хранится откреплённая электронная подпись на компьютере получателя. Внутри обоих файлов лежит один криптографический контейнер по стандарту PKCS#7 / CMS, но программы-генераторы разные: .p7s исторически приходит из международной инфраструктуры (S/MIME, OpenSSL, Adobe Acrobat), .sig — из российской (КриптоПро, Госключ, Госуслуги). Разберу, в чём конкретно техническая разница между p7s-файлом и сик-файлом, какие госорганы какой формат принимают, можно ли переименовать .p7s в .sig без потери юридической силы и как открыть оба формата без установки программ. Это часть большого материала про проверку электронной подписи на подлинность, где описаны все способы и сервисы верификации файла ЭЦП.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что общего у форматов P7S и SIG
Оба формата хранят откреплённую электронную подпись. Это значит, что подпись лежит отдельным файликом рядом с исходным документом, не вшитая внутрь. Получатель видит две сущности: оригинальный PDF (или DOCX, XLSX, XML, любой другой) и небольшой бинарник в 4-12 КБ с расширением .p7s или .sig. Без обоих файлов проверить подпись невозможно: открытка нужна для проверки целостности, документ — для расчёта хеша.
Внутри обоих расширений чаще всего лежит один и тот же контейнер — CMS (Cryptographic Message Syntax), он же PKCS#7. Стандарт описан в RFC 5652, актуальная редакция — 2010 года, последний апдейт по российским профилям CAdES идёт через рекомендации технического комитета ТК-26. Контейнер хранит хеш документа, зашифрованный закрытым ключом подписанта, и копию открытого сертификата с данными о владельце. Никакие «тексты подписи» внутри не лежат.
Главный нюанс. Расширение файла — это всего лишь метка имени, которую программа ставит при сохранении. На бинарную начинку файла она не влияет вообще. Если открыть .p7s и .sig в шестнадцатеричном редакторе и оба контейнера содержат CMS-структуру по одному и тому же ASN.1-описанию, разницы вы не найдёте ни в одном байте.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Юристы часто думают, что разные расширения подписи — это разные виды юридических документов. Тройка чётко говорит: вид подписи определяется сертификатом и закрытым ключом, а не названием файла. У одного и того же УКЭП можно сохранить открытку как .p7s, .sig или вообще .signature — юрсила не изменится ни на запятую.»
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Откуда взялось разделение на P7S и SIG
Расширение .p7s появилось вместе со стандартом PKCS#7. Сам стандарт разработала корпорация RSA Security в начале 1990-х. Аббревиатура раскрывается так: PKCS — Public-Key Cryptography Standards, цифра 7 — порядковый номер стандарта в серии (всего их пятнадцать), буква s — signature. То есть p7s буквально читается как «файл подписи по седьмому стандарту криптографии с открытым ключом». Параллельно у этого стандарта существует расширение .p7m для шифрованных контейнеров.
Расширение .sig пошло другим путём. Оно появилось в России как короткий и понятный аналог «signature», когда массово запустились электронные сервисы госорганов. В 2012-2014 годах СМЭВ, портал Госуслуг, ЕСИА, региональные порталы взяли .sig как стандартное расширение для откреплённой подписи. Эта же логика заложена в технические требования Госключа — подпись от Минцифры всегда сохраняется в .sig.
Третий персонаж в этой истории — расширение .sgn. Его создаёт утилита cryptcp из состава КриптоПро CSP по умолчанию. По функционалу .sgn идентичен .sig. В рамках статьи я их специально не разделяю, потому что в реальной работе HR и кадровик встречают именно пару p7s/sig — .sgn остаётся в основном внутри казначейских и бухгалтерских пайплайнов.
P7S — международный стандарт PKCS#7
Файл .p7s появляется там, где работают с зарубежной криптографией или с почтовыми клиентами через S/MIME. В практике HR и кадровика этот формат встречается реже, чем .sig, но регулярно — и нужно понимать сценарии.
Где конкретно создаётся .p7s:
- Электронная почта S/MIME. Outlook, Mozilla Thunderbird, Apple Mail прикрепляют подпись к письму как файл smime.p7s. Получатель видит письмо плюс файлик .p7s рядом или встроенным во вложения.
- Adobe Acrobat и Adobe Reader в режиме международной подписи. Когда подписант использует не российский ГОСТ, а зарубежный RSA или ECDSA, Acrobat сохраняет открытку с расширением .p7s.
- OpenSSL и любая Linux-утилита для PKI. Команда openssl cms -sign по умолчанию выдаёт результат в .p7s или .pem-форматах.
- Зарубежные системы документооборота — DocuSign, HelloSign, AdobeSign в международном режиме. Подписанные через них документы приходят с .p7s рядом.
- Документы из иностранных судов и нотариальных контор. Присяжные переводы, апостили, заверенные копии с цифровой подписью часто идут в .p7s.
Внутри .p7s могут лежать и российские ГОСТовые подписи. Это не нарушение стандарта — PKCS#7 поддерживает разные алгоритмы. Если КриптоАРМ ГОСТ настроен на S/MIME-режим, он спокойно создаёт .p7s с подписью по ГОСТ Р 34.10-2012. Госорганы такой файл принять обязаны — расширение значения не имеет, важна квалифицированность сертификата внутри.
Мария Ж, юрист со стажем более 20 лет:
«В практике Добыто мы сталкиваемся с .p7s, когда клиент работает с иностранным контрагентом или принимает документы из зарубежных юрисдикций. Бухгалтерия часто паникует — «у нас формат не такой, как обычно». На деле никакой проблемы нет: .p7s читают все нормальные сервисы проверки, а юрсила не зависит от расширения. Логику в этом разнообразии искать бесполезно, исторически так сложилось.»
Специально открепляю один миф. Расширение .p7s само по себе не делает подпись «иностранной». В файле может быть и УКЭП от российского аккредитованного УЦ, и НЭП от Госуслуг, и обычная RSA-подпись от Verisign — всё определяется сертификатом внутри контейнера, а не буквами в имени файла. Вид подписи (ПЭП, НЭП, УКЭП) считывается с серта, а не с расширения.
SIG — российский формат для ГОСТ-подписи
Файл .sig — самое массовое расширение для откреплённой электронной подписи в российской госинфраструктуре. Внутри sig-файла лежит CMS-контейнер, обычно по российским профилям CAdES-BES (базовый), CAdES-T (со штампом времени) или CAdES-X Long Type 1 (для архивного хранения). Алгоритмы криптографии — ГОСТ Р 34.10-2012 для подписи и ГОСТ Р 34.11-2012 для хеш-функции.
Где встречается .sig в реальной работе:
- Госключ. Мобильное приложение от Минцифры по умолчанию возвращает подпись в формате CAdES-T с расширением .sig. Это закреплено в технической документации СМЭВ и не меняется без обновления регламента.
- Портал Госуслуг и ЕПГУ. Все подписанные документы доступны для скачивания в .sig — другого варианта интерфейс не предлагает.
- СМЭВ — вся обвязка взаимодействия граждан и юрлиц с госорганами идёт через .sig.
- КриптоАРМ ГОСТ 3, КриптоАРМ 6, Crypto Expert, Litoria Desktop, Saby Crypto, Signal-COM CSP — российские программы по умолчанию пишут открытку с расширением .sig.
- Большинство кадровых и бухгалтерских сервисов КЭДО (включая Добыто) — тоже отдают .sig при выгрузке подписанных документов.
- ФНС, СФР (бывший ПФР+ФСС), Минтруд — принимают .sig в большинстве сценариев загрузки документов.
Внутри одного sig-файла может лежать как НЭП, так и УКЭП — расширение этого никак не отражает. Чтобы понять вид подписи, нужно открыть контейнер и посмотреть на сертификат: квалифицированный серт от аккредитованного УЦ — значит УКЭП, неквалифицированный с проверяемой цепочкой — НЭП. ПЭП в .sig обычно не упаковывают, потому что у простой подписи нет сертификата как такового, есть только связка логин-пароль или одноразка.
Если хотите глубже разобраться с механикой создания таких файлов, посмотрите материал про создание файла электронной подписи в формате SIG — там по шагам показано, как из обычного документа собрать пару «документ + подпись».
Сравнительная таблица P7S и SIG
Сведу основные параметры в одну таблицу. Сразу видно, чем отличаются форматы по существу, а где разница чисто косметическая.
| Параметр | P7S | SIG |
|---|---|---|
| Стандарт контейнера | PKCS#7 / CMS (RFC 5652) | PKCS#7 / CMS (RFC 5652) |
| Происхождение названия | PKCS#7 Signature | сокращение от signature |
| Где исторически применяется | международная инфраструктура S/MIME, PKI | российские госсервисы, КриптоПро, Госключ |
| Программы-генераторы | Outlook, Adobe Acrobat, OpenSSL | КриптоАРМ, Госключ, КриптоПро DSS, Saby Crypto |
| Алгоритмы подписи | RSA, ECDSA, ГОСТ — любые | обычно ГОСТ Р 34.10-2012 |
| Размер файла | от 4 до 15 КБ | от 4 до 12 КБ |
| Принимают Госуслуги, ФНС, СФР | да, при квалифицированном серте | да |
| Можно переименовать | да, .p7s → .sig работает | да, .sig → .p7s работает |
| Открепляется от документа | да, открепленная подпись | да, открепленная подпись |
Главный вывод из таблицы. Технической разницы между файлами на уровне криптографии нет вообще — оба соответствуют RFC 5652. Разница в источнике файла: какая программа его сгенерировала и какой алгоритм был выбран при подписании. На юридическую силу подписи это не влияет.
Образцы документов и инструкций по электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Криптографическая защита информации (методичка) | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Примерная форма трудового договора | Скачать |
Когда использовать P7S, а когда SIG
На практике выбор расширения определяет программа, в которой вы подписываете документ. Сознательно «выбирать» между .p7s и .sig почти никогда не нужно — оно прилетает автоматически. Но понимать, что именно ваш контрагент или госорган ожидает увидеть, всё-таки полезно.
Сценарии, в которых .p7s будет правильным выбором:
- Подписание корреспонденции с иностранным контрагентом — международные суды, иностранные нотариусы, банки.
- S/MIME-почта в Outlook, Thunderbird или Apple Mail. Тут .p7s появляется автоматически — подписант ничего не выбирает.
- Подписание PDF в Adobe Acrobat в режиме Standard PKCS#7 (без CAdES-расширений).
- Внутренние корпоративные системы, в которых исторически прописали .p7s как принимаемый формат.
Сценарии, в которых .sig — очевидный выбор:
- Загрузка документов на Госуслуги, в личный кабинет ФНС, в СФР, на онлайнинспекцию.рф.
- Кадровый ЭДО внутри России — ТД, допники, заявления, приказы, согласия на обработку ПД. Большинство сервисов КЭДО отдают именно .sig.
- Тендерные площадки в составе ЕИС (zakupki.gov.ru) — принимают .sig как стандартный формат.
- Документы для подачи в Роструд через онлайнинспекция.рф или ГИТ — принимают .sig от УКЭП.
- Любые сценарии, где использовалась подпись от Госключа или КриптоПро DSS.
Если контрагент прислал список требований и в нём явно написано «файл подписи .p7s» или «файл подписи .sig» — выполнить требование можно простым переименованием файла. Содержимое контейнера от этого не изменится. Современные сервисы верификации (Контур.Крипто, КриптоПро DSS, Госуслуги, проверочный модуль Госключа) одинаково корректно открывают и .p7s, и .sig — они смотрят на сигнатуру первых байтов CMS-структуры, а не на буквы в имени файла.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«В практике Добыто за время работы мы подключили более 500 компаний к КЭДО, и в каждом втором проекте всплывает один и тот же вопрос: ‘А почему у нас файлик не открывается, у партнёра он был с другим расширением?’. Объяснение всегда одно. Это не другой формат подписи. Это та же подпись, та же тройка, тот же 63-ФЗ — просто называется иначе. Переименуйте файл, и всё прекрасно проверится.»
Если кадровая служба регулярно получает документы в разных форматах подписи — .p7s, .sig, .sgn — и не знает, какой из них корректно проверить, эту головную боль можно снять разом.
Сервис Добыто.Подпись бесплатно проверяет подпись в любом из трёх форматов: загружаете документ и файл подписи, получаете отчёт о владельце сертификата, удостоверяющем центре, статусе подписи и сроке действия УКЭП. Без установки программ и без регистрации.
Типичные ошибки при работе с P7S и SIG
Соберу набор грабель, на которые регулярно наступают пользователи. Каждая позиция — живой кейс из практики Добыто, причём цена ошибки варьируется от потерянного дня работы до отказа в приёме документа.
Ошибка 1. Удаление файла подписи как «ненужного служебника». Получатель видит PDF с понятным названием и небольшой бинарник .p7s или .sig рядом. Думает: «ну этот файлик мусорный, он мне не нужен» — и удаляет. После удаления .sig восстановить подпись невозможно. Придётся переподписывать заново, при условии что у автора ещё действует сертификат и ключ. Цена ошибки: переподписание занимает от часа (если автор доступен) до нескольких дней (если автор уволился, ключ просрочен или украден).
Ошибка 2. Сохранение пары файлов в разных папках. Документ кладётся в одну директорию, открытка — в другую. При проверке нужно явно указать путь к обоим — сервис проверки сам не угадает. Проблема обостряется при пересылке: получатель скачивает только PDF, а .sig забыли приложить. Кейс: HR отправляет ТД новому сотруднику, забывает прикрепить .sig — сотрудник не может проверить подпись, начинает звонить, кадровая теряет полчаса на разъяснения.
Ошибка 3. Изменение содержимого подписанного документа. После подписания в PDF добавили водяной знак, в Word поменяли шрифт, в Excel пересчитали ячейку — подпись становится недействительной. Хеш документа уже зафиксирован в .p7s/.sig, любая правка байтов в исходнике рушит проверку. Цена ошибки: документ нужно подписывать заново. Если успели разослать «правленую» версию контрагентам — повторная рассылка плюс объяснения.
Ошибка 4. Попытка открыть .p7s или .sig двойным кликом из проводника. Это бинарный файл, не текстовый и не картинка. Windows предложит выбрать программу — и пользователь неудачно выбирает Блокнот, видит абракадабру и решает, что подпись битая. Подпись цела, открыть её нужно в специализированном сервисе или плагине: КриптоПро ЭЦП Browser plug-in, КриптоАРМ, Контур.Крипто, Добыто.Подпись.
Ошибка 5. Использование разных версий КриптоПро на разных машинах. Документ подписан в КриптоПро CSP 5.0 R2 с расширенными атрибутами CAdES-X Long, получатель открывает в CSP 4.0 — и видит, что серт «недоверенный» или подпись «не соответствует профилю». Реально всё в порядке, но старая версия не понимает новых меток времени. Решение: ставить актуальную версию провайдера, минимум CSP 5.0 R3.
Ошибка 6. Замена расширения .p7s на .sig «для надёжности» без понимания контекста. Если контрагент явно требует один формат, а у вас другой — переименование действительно работает. Но если получатель ждёт встроенную подпись (PDF с CAdES внутри), а вы шлёте откреплённую .sig — переименование не спасёт. Нужно переподписать в нужном режиме.
Подписать документ электронной подписью онлайн
1 Загрузите необходимые файлы:
2 Выберите электронную подпись:
Показать пошаговую инструкцию
- Шаг 1. Убедитесь, что на компьютере установлен плагин КриптоПро ЭЦП Browser plug-in и КриптоПро CSP. USB-токен с сертификатом должен быть вставлен в порт компьютера.
- Шаг 2. Перейдите на страницу сервиса Добыто.Подпись. Регистрация не требуется, сервис бесплатный.
- Шаг 3. Загрузите файл для подписания — перетащите его в область загрузки или нажмите «Выбрать файл». Поддерживаются PDF, DOC, DOCX, XLS, XLSX, CSV, XML, JPEG, PNG, TIFF и более 100 других форматов.
- Шаг 4. Выберите тип подписи: откреплённая (формируется отдельный sig-файл) или присоединённая (документ и подпись в одном файле). Для PDF-файлов доступна встроенная подпись с визуальным штампом — укажите место размещения штампа на странице.
- Шаг 5. Выберите сертификат электронной подписи из списка установленных на устройстве.
- Шаг 6. Поставьте галочку согласия на обработку персональных данных (152-ФЗ) и нажмите кнопку «Подписать». Введите PIN-код токена при запросе.
- Шаг 7. Скачайте результат: отдельно файл подписи в формате .sig или архив, содержащий исходный документ и подпись. Файлы на сервере не сохраняются.
Стоимость работы с электронной подписью в сервисе Добыто
Подписание и проверка файлов в форматах P7S и SIG — часть базового функционала КЭДО Добыто. Отдельно работа с конкретным расширением не тарифицируется, цена зависит от тарифа и численности персонала. Электронные подписи ПЭП и УНЭП для сотрудников выпускаются бесплатно на всех тарифах, УКЭП оформляется через партнёров-удостоверяющих центров.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф «Старт» | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Тариф «Бизнес» | от 50 ₽ за сотрудника / мес | от 30 000 ₽/год за 50 сотр. |
| Тариф «Корпорация» | по запросу | SLA 99,9%, выделенный сервер |
| Подписи ПЭП и УНЭП для сотрудников | бесплатно | на всех тарифах |
| УКЭП через партнёров-УЦ | по запросу | оформление через УЦ |
| Интеграция с 1С (модуль 1С:ЗУП) | входит в «Бизнес» | настройка за 1 день |
| API и кастомные интеграции | входит в «Корпорация» | для крупного бизнеса |
| Бесплатная проверка подписи через Добыто.Подпись | бесплатно | без регистрации |
Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться по цене и условиям. Электронные подписи ПЭП и УНЭП для сотрудников выпускаются бесплатно на всех тарифах, отдельной строкой за работу с .p7s или .sig никто не платит.
Мария Ж, специалист по трудовому праву и КЭДО:
«Главный нюанс при выборе тарифа — не только цена за рабочее место. Важно, что входит в стоимость: ПЭП и УНЭП для сотрудников, шаблоны кадровых документов, поддержка. У нас на тарифе Бизнес ПЭП и УНЭП выпускаются бесплатно, и это совсем другие денюжки для работодателя по сравнению со схемой, где каждую подпись для сотрудника покупаешь отдельно в УЦ.»
Выводы: что важно запомнить о форматах P7S и SIG
Расширения .p7s и .sig — это два названия для одного и того же типа файла: откреплённого контейнера электронной подписи по стандарту PKCS#7 / CMS (RFC 5652). Внутри обоих лежит хеш документа, зашифрованный закрытым ключом, и копия открытого сертификата. Разница в источнике файла: .p7s исторически идёт из международной инфраструктуры (S/MIME, Outlook, Adobe), .sig — из российской (КриптоПро, Госключ, Госуслуги). На юридическую силу подписи расширение не влияет — вид и квалифицированность подписи определяет сертификат внутри контейнера, а не буквы в имени файла.
В работе действуйте по простой логике. Получаете файл .p7s от иностранного контрагента или из почтового клиента S/MIME — так и должно быть, не пугайтесь. Получаете .sig — стандартная российская история, тоже норма. Если конкретный сервис или госорган явно требует одно расширение, а у вас другое — переименование .p7s в .sig (или наоборот) работает: содержимое CMS-контейнера от смены расширения не меняется. При этом всегда сохраняйте пару «документ + файл подписи» вместе — удалите открытку, восстановить её невозможно.
В ближайшие пару лет ожидаемых изменений в форматах не будет — PKCS#7 и CMS остаются базовыми стандартами для откреплённой подписи. Что точно будет меняться — это распространённость встроенных подписей (PDF/A с CAdES внутри файла) для документов, которые надо хранить десятилетиями. Откреплённые .p7s и .sig никуда не денутся, но для долгосрочного архива их постепенно вытесняет архивная подпись CAdES-A с регулярным «ухаживанием» за метками времени.
Часто задаваемые вопросы
Чем технически отличается P7S от SIG?
Можно ли переименовать .p7s в .sig?
Какой формат принимает Госуслуги?
Принимает ли ФНС файл подписи .p7s?
Как открыть файл .p7s или .sig?
Какой формат подписи у Госключа?
Что лежит внутри файла .p7s или .sig?
Можно ли подписать документ сразу в формат P7S?
Что делать, если P7S или SIG не открывается?
Чем P7S отличается от P7M?
Сколько по объёму весит файл подписи?
Действует ли P7S/SIG после истечения срока сертификата?
Можно ли увидеть подпись в самом документе?
Какой формат принимает Роструд?
Подходит ли P7S для подписания трудового договора?
За время работы сервиса Добыто мы подключили более 500 компаний к КЭДО — и в каждом проекте всплывают вопросы про форматы подписи. .p7s, .sig, .sgn — всё это разные имена для одного и того же CMS-контейнера. Мы научились решать эти задачи быстро: проверка любого файла подписи проходит за минуту, подписание — за две, без установки программ и без регистрации.
Сервис Добыто.Подпись бесплатно проверяет и создаёт файлы электронной подписи в форматах .p7s, .sig, .sgn для PDF, DOCX, XLSX, XML и более ста других расширений. КЭДО Добыто закрывает кадровый процесс целиком: трудовые договоры, допники, заявления, приказы, согласия на обработку ПД — всё в одном интерфейсе с полной юридической обвязкой по 377-ФЗ и ст. 22.1-22.3 ТК РФ.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — и любых форматов файлов подписи: .p7s, .sig, .sgn
- Автоматический контроль срока действия сертификата: за 30 дней до истечения система предупреждает кадровика и сотрудника
- Хранение подписанных документов со встроенной верификацией — PDF открывается вместе с подписью, суду и ГИТ достаточно одного файла
- Готовые шаблоны кадровых документов: трудовой договор, допсоглашение, приказ, заявление на отпуск, согласие на КЭДО — по ст. 22.1–22.3 ТК РФ
- Интеграция с 1С:ЗУП, Битрикс24, SAP HCM — настройка за один день без программистов