Проверка усиленной электронной подписи файла — процедура, которая подтверждает три факта одновременно: документ не изменялся после подписания, подпись создана конкретным лицом, и сертификат был действителен на момент подписания. Если хотя бы один из этих трех компонентов не пройдет валидацию, подпись считается недействительной — со всеми юридическими последствиями. Мы разберём, что именно происходит на каждом этапе проверки, какие данные анализирует ПО и где чаще всего возникают сбои. Подробнее о самом процессе подписания и проверки — в нашем материале про проверку электронной подписи, который охватывает тему от выбора инструмента до работы с Госуслугами.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Усиленная электронная подпись по 63-ФЗ: что это с технической стороны
63-ФЗ разделяет электронные подписи на три вида: простую (ПЭП), усиленную неквалифицированную (УНЭП) и усиленную квалифицированную (УКЭП). Простая подпись — это логин, пароль, СМС-код. С ней никакой криптографии не происходит вообще. Проверить целостность документа, подписанного ПЭП, невозможно — фиксируется только сам факт подписания.
УНЭП и УКЭП — обе усиленные. Механизм создания у них одинаковый: криптографическое преобразование содержимого документа с использованием закрытого ключа подписи. Разница — в юридическом статусе. УКЭП выпускается аккредитованным удостоверяющим центром, требует сертифицированных ФСБ средств подписи и квалифицированного сертификата по приказу ФСБ № 795. УНЭП — проще: серт может выпустить даже работодатель, требования к ПО мягче. Но и та, и другая создаются путём криптографического преобразования — вычисления хеша документа и его подписания закрытым ключом.
Когда мы говорим о проверке усиленной ЭП файла, мы говорим о математической процедуре. Не о визуальном штампике на PDF — тот можно скопировать в любой графический редактор и вставить куда угодно. В практике сервиса Добыто мы сталкиваемся с этим заблуждением постоянно: эйчары считают, что если на документе есть синенький квадратик с подписью, значит, документ подписан. Нет. Подпись проверяется программно.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Полагаться на визуализацию подписи — грубая ошибка. Штампик можно скопировать за 30 секунд. При проверке ГИТ или в суде значение имеет только программная валидация: хеш, серт, цепочка. Все остальное — декорация.»
Что именно проверяется при проверке усиленной ЭП
При проверке усиленной электронной подписи файла ПО выполняет несколько операций последовательно. Если хотя бы одна из них завершается с отрицательным результатом — подпись недействительна. Разберем каждый этап.
Этап 1: Проверка целостности документа (хеш-функция)
Первое, что делает программа проверки — вычисляет хеш подписанного документа. Хеш — это однонаправленная математическая функция, которая превращает файл любого размера в число фиксированной длины. Для российской криптографии используются алгоритмы по ГОСТ Р 34.11-2012 (Стрибог). Если в документе после подписания изменился хотя бы один бит — хеш будет другим.
Программа берет вычисленный хеш и сравнивает его с тем, что зашит в файле подписи. Совпали — документ не менялся. Не совпали — подпись недействительна, и дальнейшая проверка смысла не имеет. На текущий момент этот этап срабатывает мгновенно, даже на файлах весом в десятки мегабайт. Нюанс: если документ большой (более 30 МБ), хеширование выполняется программно, а не на чипе токена — это допускается правилами пользования КриптоПро CSP при работе с Рутокен ЭЦП 2.0.
Этап 2: Проверка математической корректности подписи
Второй шаг — криптографическая проверка самой подписи. ПО берет открытый ключ из сертификата подписанта и с его помощью проверяет, что подпись действительно создана соответствующим закрытым ключом. Если закрытый и открытый ключ — пара, проверка проходит. Если кто-то попытался подделать подпись, не имея закрытого ключа, математика не сойдется.
Для УКЭП средства электронной подписи проходят сертификацию ФСБ по приказу № 796. Требования к алгоритмам подписи — ГОСТ Р 34.10-2012. С 1 апреля 2026 года ФНС перешла на обновленные ГОСТы шифрования — это стоит учитывать при работе со свежими сертификатами.
Этап 3: Проверка сертификата ключа проверки
Сертификат — это электронный документ, который привязывает открытый ключ к конкретному владельцу. В сертификате указаны: ФИО или наименование организации, СНИЛС, ИНН, наименование удостоверяющего центра, сроки действия, уникальный номер. Для квалифицированных сертификатов состав полей регулируется ст. 17 63-ФЗ и приказом ФСБ № 795. С 1 сентября 2024 года в квалифицированный сертификат добавлено поле со сроком действия ключа ЭП.
Проверяется:
- Не истек ли срок действия сертификата на момент подписания
- Выдан ли сертификат аккредитованным УЦ (для УКЭП — обязательно)
- Соответствует ли формат сертификата требованиям приказа ФСБ № 795
- Не был ли сертификат отозван до момента подписания (проверка по CRL или OCSP)
Мы в Добыто закладываем автоматическую проверку сертификата при каждом подписании документа в системе КЭДО. Если серт просрочен или отозван — система просто не даст подписать. Это избавляет от ситуаций, когда кадровик случайно подписывает приказ недействительным сертификатом, а выясняется это через полгода на проверке ГИТ.
Этап 4: Построение цепочки доверия
Для УКЭП проверяется цепочка сертификатов — от сертификата подписанта до корневого сертификата головного удостоверяющего центра. Цепочка состоит минимум из двух звеньев: сертификат владельца подписи и сертификат УЦ, который его выдал. Для аккредитованных УЦ сертификаты подписываются головным удостоверяющим центром Минцифры. Каждое звено цепочки проверяется отдельно — как самостоятельный электронный документ.
Если хотя бы одно звено отсутствует или повреждено — цепочка рвется, и подпись не пройдет проверку. На практике это случается, когда на компьютере не установлены корневые сертификаты удостоверяющих центров. Для УНЭП цепочка проще: в верхнем звене стоит не Минцифры, а непосредственно тот УЦ, который выдал сертификат (Госуслуги, СКБ Контур, Калуга Астрал и т.д.).
Мария Ж, судебный эксперт по трудовому праву:
«В одном из дел Сбера сотрудник оспорил увольнение по соглашению сторон, заявив что не он подписывал документ УНЭП. Суд проверил всю цепочку: действовал ли серт на момент подписания, не был ли токен в чужом доступе, передавался ли документ в неизменном виде. Проиграл сотрудник — все проверки прошли. Но история показательная: суд проверяет не штампик, а криптографию.»
Этап 5: Проверка статуса сертификата (CRL/OCSP)
Сертификат может быть отозван до истечения срока действия. Причины разные: утеря токена, компрометация закрытого ключа, увольнение сотрудника, ошибка в данных. Отозванный сертификат попадает в список отозванных сертификатов (CRL), который публикуется удостоверяющим центром. ПО проверки запрашивает актуальный CRL и проверяет, нет ли в нем сертификата подписанта.
Альтернативный механизм — OCSP (Online Certificate Status Protocol). Работает быстрее: ПО отправляет запрос в службу статусов сертификатов и получает ответ в реальном времени. Для долговременного архивного хранения документов OCSP-ответ фиксируется в подписи как доказательство подлинности — это формат усовершенствованной электронной подписи.
Открепленная и присоединенная подпись: что меняется при проверке
Усиленная ЭП бывает двух типов по способу хранения: открепленная и присоединенная. Для проверки это принципиально.
Открепленная подпись — файл подписи (.sig, .sgn, .p7s) хранится отдельно от документа. Для проверки нужны оба файла: исходный документ и файл подписи. Если документ и сиг-файл рассинхронизируются (переименовали, переместили в разные папки, случайно открыли и пересохранили документ) — проверка не пройдет.
Присоединенная подпись — подпись встроена в сам документ. Для проверки достаточно одного файла. Это удобнее для хранения, но файл получается больше по размеру. В сервисе Добыто для кадровых документов мы используем оба формата в зависимости от ситуации — для передачи в ГИТ чаще применяется открепленная подпись, для внутреннего архива — присоединенная.
Есть и третий вариант — встроенная подпись в PDF. При проверке такой подписи ПО работает с контейнером внутри PDF-файла, где содержится и подпись, и сертификат. Встроенная PDF-подпись проверяется автономно — не нужен внешний криптопровайдер, если в PDF-просмотрщике есть поддержка российской криптографии.
Настройка проверки ЭП в кадровом документообороте — процесс, где ошибки на старте обходятся дорого. Неправильно настроенная цепочка сертификатов или неактуальный CRL приводят к тому, что подписи сотрудников не проходят валидацию при проверке ГИТ. Сервис Добыто берет настройку на себя — от установки корневых сертификатов до автоматической проверки статуса каждого серта при подписании.
Усовершенствованная подпись: штамп времени и архивное хранение
Обычная усиленная ЭП проверяется, пока действует сертификат. Истек срок действия — проверка выдаст ошибку. Для кадровых документов, которые хранятся 50 и более лет, это создает проблему. Решение — усовершенствованная электронная подпись.
Усовершенствованная подпись включает дополнительные доказательства подлинности:
- Штамп времени (TSP) — доверенная метка от службы штампов времени, фиксирующая точный момент подписания. Служба TSP есть у ФНС и у каждого аккредитованного УЦ.
- OCSP-ответ — подтверждение, что сертификат не был отозван на момент подписания.
- Архивная метка — объединяет штамп времени и OCSP-ответ, заверяя их дополнительной подписью. Позволяет проверить документ даже через 18 лет после подписания.
По законодательству срок действия закрытого ключа TSP-службы составляет 3 года, плюс 15 лет после этого действует сертификат — итого 18 лет максимальной гарантии проверки. Для более долгих сроков применяется механизм переподписания: система периодически проверяет архив и добавляет свежую архивную метку поверх старой.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Мы в проектах по КЭДО всегда рекомендуем клиентам использовать усовершенствованную подпись для трудовых договоров и приказов. Обычная ЭП живет 12-15 месяцев. А трудовой договор нужно хранить 50 лет. Без штампа времени через пару лет вы не сможете подтвердить ГИТ, что документ вообще был подписан.»
Где и чем проверить усиленную электронную подпись
Инструментов для проверки несколько. Выбор зависит от типа подписи и задач.
Портал Госуслуг (gosuslugi.ru) — бесплатный сервис проверки. Работает с открепленной и присоединенной подписью. Загружаете файлы, вводите капчу, получаете результат. Ограничение по размеру — уточняйте на портале.
КриптоПро CSP — крипто-провайдер, сертифицированный ФСБ. Проверяет подпись на уровне операционной системы. Для проверки квалифицированной ЭП — фактически стандарт.
КриптоАРМ — графический интерфейс поверх КриптоПро. Удобнее для тех, кто не работает с командной строкой. Формирует протокол проверки в виде текстового документа.
Контур.Крипто — онлайн-сервис от СКБ Контур. Проверяет подпись в браузере без установки ПО.
Сервис проверки подписи Добыто — онлайн-проверка на сайте dobyto.ru. Работает с открепленной и присоединенной подписью, файлы до 25 МБ. Документы не сохраняются на сервере — после проверки файлы удаляются. Для проверки нужно выбрать тип подписи, загрузить файлы, подтвердить согласие на обработку персональных данных по 152-ФЗ и нажать кнопку проверки. Сервис покажет статус подписи и данные сертификата.
Как проверить электронную подпись: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите тип подписи — открепленная (два файла: документ + .sig/.p7s) или присоединенная (один файл со встроенной подписью).
- Шаг 2. Откройте сервис проверки: Госуслуги, Добыто , Контур.Крипто или КриптоАРМ.
- Шаг 3. Для открепленной подписи загрузите оба файла: сначала исходный документ, затем файл подписи. Для присоединенной — один файл.
- Шаг 4. Подтвердите согласие на обработку персональных данных (если требуется) и запустите проверку.
- Шаг 5. Изучите результат: сервис покажет статус подписи (действительна/недействительна), сведения о владельце сертификата (кому выдан, кем выдан), срок действия сертификата и статус — не отозван ли он.
Образцы документов для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации (стандарт) | Скачать |
| Примерная форма трудового договора | Скачать |
Типичные ошибки при проверке усиленной ЭП
Опыт работы с клиентами сервиса Добыто показывает, что ошибки проверки подписи в 80% случаев связаны не с криптографией, а с организационными косяками.
Ошибка 1: Документ изменен после подписания. Кадровик открыл PDF после подписания, случайно нажал «Сохранить» — и хеш файла изменился. Подпись сразу стала недействительной. Цена — повторное подписание всех затронутых документов. Если речь о массовой рассылке ЛНА на 500 сотрудников, пересогласование занимает дни.
Ошибка 2: Не установлены корневые сертификаты. Проверяющий открывает документ, ПО не может построить цепочку доверия и выдает ошибку. Решение — установить корневые сертификаты Минцифры и конкретного УЦ. В Windows это делается через консоль управления сертификатами.
Ошибка 3: Подписание просроченным сертификатом. Сертификат действует, как правило, 12-15 месяцев. Если кадровик не отслеживает дату окончания и подписывает документ после, подпись юридически ничтожна. С 5 августа 2024 года для УКЭП одно из условий признания действительной — срок действия ключа ЭП, указанный в квалифицированном сертификате, не должен быть истекшим.
Ошибка 4: Рассинхронизация открепленной подписи и документа. Файл подписи (.sig) и документ (.pdf) лежат в разных папках. Проверяющий загружает в сервис не тот файл — проверка не проходит. Рекомендация: всегда храните документ и сиг-файл вместе, в одном архиве.
Ошибка 5: Использование визуального штампа как доказательства подписания. Штампик на PDF — декорация. Его можно скопировать. При проверке ГИТ или в суде значение имеет только программная валидация. Для кадрового документооборота нужно предоставить архив: файл документа, файл(ы) подписи (.sig/.p7s/.pcms), и документы по КЭДО — приказ о введении КЭДО, положение о КЭДО, согласие сотрудника.
Мария Ж, HR-эксперт с 13-летним стажем:
«За время работы сервиса Добыто мы выработали алгоритм, который позволяет запускать КЭДО с первого раза без замечаний ГИТ в 95% проектов. Основной затык — не в криптографии, а в том, что кадровики не привыкли обращаться с сиг-файлами. Мы закладываем 2-3 дня на обучение пилотной группы — это экономит клиенту месяц на устранении грабель.»
Стоимость инструментов для работы с усиленной ЭП в 2026 году
Стоимость зависит от того, что именно нужно: проверить подпись разово, настроить регулярную проверку в рамках КЭДО или организовать массовое подписание с автоматической валидацией. Проверка на Госуслугах и Контур.Крипто — бесплатная. КриптоПро CSP и КриптоАРМ — платные лицензии.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| КЭДО Добыто — тариф Старт | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| КЭДО Добыто — тариф Бизнес | от 50 ₽ за сотрудника / мес | мин. оплата 50 сотрудников за 30 000 ₽ в год |
| КЭДО Добыто — тариф Корпорация | по запросу | выделенный сервер, SLA 99.9% |
| ПЭП и УНЭП для сотрудников | бесплатно | входит в любой тариф |
| Интеграция с 1С (ЗУП) | входит в тариф Бизнес | установка за 1 день |
Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. ПЭП и УНЭП для сотрудников выпускаются бесплатно на всех тарифах. УКЭП оформляется через партнеров-удостоверяющих центров.
Проверка ЭП в кадровом документообороте: нюансы для КЭДО
В КЭДО проверка подписи — не разовое действие, а часть ежедневного процесса. Каждый приказ, каждое заявление на отпуск, каждый допник к трудовому договору подписывается ЭП с обеих сторон — работодателем (УКЭП) и сотрудником (УНЭП или ПЭП). При УНЭП по соглашению сторон между работодателем и сотрудником заключается соглашение о признании ЭП. Для УНЭП, выданной через Госключ с использованием инфраструктуры электронного правительства, такое соглашение не требуется — это прямо следует из 63-ФЗ.
При проверке ГИТ или при трудовом споре работодатель предоставляет архив документов: PDF-файл документа, файлы электронных подписей (расширение .pcms, .sig, .p7s), приказ о ведении КЭДО, положение о КЭДО, согласие сотрудника на КЭДО. Контролирующие органы проверяют подписи своим ПО — и если хотя бы одна проверка не пройдет, последствия ложатся на работодателя.
Мария Ж, юрист со стажем более 20 лет:
«Нюанс при выборе вида ЭП — не всегда нужна УКЭП. Для внутренних кадровых документов в большинстве случаев хватает УНЭП через Госключ, а это совсем другие денежки для работодателя. УКЭП нужна со стороны организации — гендиру или кадровику с доверенностью. А со стороны сотрудника достаточно УНЭП — и выпускается она бесплатно.»
Выводы: проверка усиленной электронной подписи файла
Проверка усиленной ЭП — последовательная программная процедура из пяти этапов: вычисление хеша и сравнение с оригиналом, криптографическая проверка подписи открытым ключом, валидация сертификата (состав полей, сроки действия, соответствие требованиям 63-ФЗ и приказу ФСБ № 795), построение цепочки доверия до корневого УЦ, проверка статуса сертификата по CRL или OCSP. Если хотя бы один из этапов дает отрицательный результат — подпись недействительна.
Для кадровых документов со сроком хранения 50 лет и более рекомендуется усовершенствованная подпись со штампом времени и OCSP-ответом — она позволяет подтвердить подлинность документа через 18 лет после подписания. При организации КЭДО нужно заранее продумать: какой вид ЭП использовать для каждого типа документа, как хранить архив (документ + файлы подписи), как обеспечить автоматическую проверку статуса сертификатов при подписании.
Визуальный штамп на PDF — не доказательство подписания. Проверка выполняется только программно, через сертифицированное ПО. На текущий момент бесплатные инструменты проверки доступны на Госуслугах и в онлайн-сервисах. Для системной работы с ЭП в рамках КЭДО нужен крипто-провайдер и настроенная инфраструктура сертификатов.
Часто задаваемые вопросы
Чем отличается проверка УКЭП от проверки УНЭП?
Что такое хеш-функция и зачем она нужна при проверке подписи?
Можно ли проверить электронную подпись без установки КриптоПро?
Что такое CRL и OCSP при проверке сертификата?
Почему визуальный штамп ЭП на PDF — не доказательство подписания?
Что такое усовершенствованная электронная подпись и зачем она нужна?
Какие документы предоставить ГИТ для подтверждения электронного кадрового документа?
Что произойдет, если подписать документ просроченным сертификатом?
Какие форматы файлов подписи существуют и чем отличаются?
Как долго действует усиленная электронная подпись на документе?
Нужна ли УКЭП для подписания всех кадровых документов в КЭДО?
Проверка усиленной ЭП в кадровом документообороте — процесс, который нужно настроить один раз и правильно. Сервис Добыто подключил к КЭДО более 500 компаний, и в каждом проекте первое, что мы делаем — настраиваем инфраструктуру подписи: корневые сертификаты, автоматическую проверку статуса, формирование архивов с файлами подписей, интеграцию с крипто-провайдером.
Платформа полностью соответствует требованиям 377-ФЗ, ст. 22.1-22.3 ТК РФ и 63-ФЗ. ПЭП и УНЭП для сотрудников выпускаются бесплатно на всех тарифах.
- Поддержка всех трех видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — ставится за час без привлечения разработчиков
- Юридическая обвязка из коробки: шаблоны ЛНА о ЭДО, порядок осуществления, формы согласий сотрудников