Форматы файлов электронной подписи SIG, SGN и P7S в 2026

Форматы файлов электронной подписи SIG, SGN и P7S — три расширения, в которых хранится откреплённая электронная подпись на компьютере получателя документа. У них разное происхождение, разные программы-создатели и разные сценарии применения, но в основе у всех лежит один криптографический контейнер CMS / PKCS#7. В статье разберём, чем именно отличаются sig-файл, sgn-файл и p7s-файл, какие из них принимает ФНС, ЕГАИС и Госключ, как открыть каждый из форматов без установки программ и почему расширение само по себе не определяет тип подписи. Это часть большого материала про проверку электронной подписи на подлинность, где описаны все способы и сервисы верификации файла ЭЦП.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что такое файл электронной подписи и почему у него разные расширения

Файл электронной подписи — это бинарный контейнер, в котором хранится результат криптографического вычисления над документом: хеш файла, зашифрованный закрытым ключом подписанта, плюс открытая часть сертификата с данными о владельце. Сама подпись математически не «лежит внутри» документа. Это отдельный объект, по которому проверяется целостность исходного файла и личность того, кто его подписал.

Главный нюанс. Расширение файла подписи (.sig, .sgn, .p7s) — это всего лишь метка, которую программа-генератор присваивает на выходе. Внутри во всех трёх форматах чаще всего лежит один и тот же контейнер — CMS (Cryptographic Message Syntax), он же PKCS#7. Это международный стандарт RFC 5652, поверх которого построены и российские профили CAdES, и зарубежный S/MIME, и подпись в Госключе.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда юристу впервые показывают сик-файл рядом с PDF, первая реакция — «а где собственно подпись на документе?». Подписи там нет и быть не должно. Тройка прямо говорит: подпись — это отдельная криптографическая сущность, штампик и плашка нарисованы для глаза, юрсилу несёт сам бинарник в .sig.»

Дальше по тексту разберу каждый из трёх форматов отдельно: откуда взялся, чем создаётся, какие госорганы его принимают и в каких сценариях он встречается.

Проверка электронной подписи онлайн — сервис Добыто

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Перетащите или выберите файл

Файл подписи

Перетащите или выберите файл

Нажимая кнопку «Проверить подпись», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

SIG-файл: основной формат электронной подписи в России

SIG — самое массовое расширение для откреплённой электронной подписи в российской госинфраструктуре. Внутри sig-файла лежит CMS-контейнер по ГОСТ Р 34.10-2012 (алгоритм подписи) и ГОСТ Р 34.11-2012 (хеш-функция). Размер — от 4 до 12 КБ в зависимости от длины цепочки сертификатов и наличия штампа времени.

Где встречается:

Госключ — мобильное приложение от Минцифры. Возвращает подпись строго в формате CAdES-T (CMS со штампом времени) с расширением .sig. Это зафиксировано в технической документации СМЭВ.
Портал Госуслуг — ленте уведомлений Госуслуг подписанные документы и .sig доступны для скачивания.
СМЭВ, ЕПГУ, ЕСИА — вся обвязка взаимодействия граждан с госорганами идёт через .sig.
КриптоАРМ ГОСТ 3, КриптоАРМ 6, Crypto Expert (CrypteX), Litoria Desktop — российские программы по умолчанию пишут откреплённую подпись с расширением .sig.
Большинство кадровых и бухгалтерских сервисов КЭДО — тоже отдают .sig.

Сик-файл всегда идёт парой с исходным документом. Если потеряли .sig — подпись восстановить невозможно. Придётся переподписывать заново, при условии что у автора ещё действует сертификат и ключ. Этот момент часто упускают новые пользователи: оригинал сохраняют, а файлик подписи случайно удаляют, считая его служебным.

Внутри одного sig-файла может быть как НЭП, так и УКЭП — расширение это никак не отражает. Чтобы понять вид подписи, нужно открыть контейнер и посмотреть на сертификат: квалифицированный серт — значит УКЭП, неквалифицированный с проверяемой цепочкой — НЭП. Простую электронную подпись в .sig обычно не упаковывают, потому что у ПЭП нет сертификата как такового — там только связка логин-пароль или одноразка.

Если хотите глубже погрузиться в механику создания таких файлов, посмотрите материал про создание SIG-файла из PDF — там по шагам показано, как из обычного документа собрать пару «PDF + подпись».

SGN-формат: где встречается и чем отличается от SIG

SGN — это историческое расширение, которое появилось из утилиты cryptcp в составе КриптоПро CSP. По умолчанию команда подписи cryptcp -sign создаёт файл с расширением .sgn (от signature). Внутри — тот же CMS-контейнер, что и в .sig. Никакой технической разницы нет, кроме байтов в имени файла.

Где встречается на практике:

СУФД и казначейские системы — инфраструктура Федерального казначейства традиционно работает с расширением .sgn.
Старые версии бухгалтерского ПО — 1С 7.7 и более ранние конфигурации, которые подключали КриптоПро CSP через cryptcp.
Программы автоматизации, написанные под Windows Server — скрипты, которые автоматически подписывают пакеты документов и кладут .sgn рядом.
Часть региональных порталов госуслуг — где исторически прописаны фильтры именно под .sgn.

Получив файл .sgn от контрагента, можно безопасно переименовать его в .sig — проверка пройдёт точно так же. Современные сервисы верификации (Контур.Крипто, КриптоПро DSS, Госуслуги) одинаково корректно открывают и .sig, и .sgn, и .p7s, потому что определяют тип контейнера по сигнатуре первых байтов файла, а не по расширению.

Мария Ж, юрист со стажем более 20 лет:
«Сценарий из практики: контрагент из бюджетки прислал договор и файлик .sgn рядом. Бухгалтерия запаниковала — «это не наш формат, открыть не можем». На деле просто переименовали в .sig, загрузили в проверочный сервис — и всё прекрасно проверилось. Логику в этом разнообразии расширений искать бесполезно, исторически так сложилось.»

SGN не имеет отдельного стандарта или протокола. Это просто расширение, которое получило широкое распространение из-за дефолтного поведения cryptcp. В новых релизах КриптоПро CSP версии 5.0 R3 поведение можно настроить — и большинство пользователей переключают вывод на .sig для совместимости с государственными системами.

P7S-файл: международный стандарт PKCS#7

P7S — расширение, которое прямо указывает на стандарт PKCS#7 (отсюда буквы p7 и s от signature). Это международный формат, описанный в стандартах RFC 2315 и RFC 5652. P7S чаще всего встречается там, где работают с зарубежной криптографией или с почтовыми клиентами через S/MIME.

Сценарии, в которых появляется .p7s:

Электронная почта S/MIME — Outlook, Mozilla Thunderbird, Apple Mail приклеивают подпись к письму как .p7s. КриптоАРМ ГОСТ 3 как почтовый клиент тоже работает с этим форматом.
Зарубежные программы подписания — Adobe Acrobat в режиме международной подписи, OpenSSL с ключом cms-sign, любая Linux-утилита для PKI.
Документы из иностранных судов и нотариальных контор — присяжные переводы, апостили часто приходят с .p7s.
Веб-сервисы с поддержкой международной криптографии — системы документооборота, которые работают на западном стеке.

Внутри p7s-файла может лежать как подпись по западным алгоритмам (RSA, ECDSA, SHA-256), так и подпись по ГОСТ — современные российские криптопровайдеры умеют формировать .p7s через S/MIME. Если получили .p7s от российского контрагента — скорее всего это присоединённая подпись по ГОСТу, упакованная для совместимости с почтовыми протоколами.

Особенность .p7s в том, что в нём подпись чаще всего бывает присоединённой — то есть исходный документ вшит внутрь контейнера. Открыли .p7s — и там и подпись, и документ одним пакетом. С .sig и .sgn по умолчанию подпись лежит откреплённо, отдельно от документа. Но это не правило, а статистика — все три расширения могут хранить как присоединённую, так и откреплённую подпись.

Чем отличаются SIG, SGN и P7S: сравнительная таблица

Соберу основные различия в одну таблицу. Учитываю, что технически контейнер у всех трёх форматов один — разница в практике использования, типичных программах-создателях и привычках госорганов.

Параметр	SIG	SGN	P7S
Стандарт	CMS / CAdES	CMS / CAdES	PKCS#7
Происхождение	Российская инфраструктура, СМЭВ, Госключ	Утилита cryptcp от КриптоПро	Международный, S/MIME, OpenSSL
Типичное состояние	Откреплённая	Откреплённая	Чаще присоединённая
Где принимают	Госуслуги, ФНС, СМЭВ, ЕПГУ, КЭДО	СУФД, казначейство, региональные системы	Почтовые клиенты, зарубежные ИС
Размер файла	4-12 КБ	4-12 КБ	от 4 КБ + размер документа (если присоединённая)
Алгоритмы	ГОСТ Р 34.10-2012, 34.11-2012	ГОСТ Р 34.10-2012, 34.11-2012	RSA, ECDSA, ГОСТ — зависит от программы
Можно переименовать	Да, в .sgn или .p7s	Да, в .sig или .p7s	Да, в .sig или .sgn

Главный вывод из таблицы: расширение не определяет техническое содержимое подписи. Это маркер происхождения. Если знаете, кто вам прислал файл — сразу понимаете контекст: .sig от Госуслуг, .sgn из казначейской системы, .p7s от иностранного контрагента или из почтового клиента.

На практике 70% обращений в техподдержку по теме форматов сводятся к одной и той же ситуации: контрагент прислал .sgn, а в учётной системе настроен фильтр только на .sig — документ не загружается. Решение — сменить расширение или поднять универсальный модуль проверки. В сервисе Добыто проверка работает на содержимое контейнера, а не на расширение — поэтому .sig, .sgn, .p7s обрабатываются единообразно.

Попробуйте ДОБЫТО КЭДО

Образцы и инструкции по работе с электронной подписью

Открыть список документов

Документ	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Руководство пользователя сервиса Добыто КЭДО	Скачать
Шаблон соглашения по ЭДО	Скачать
Приказ о введении КЭДО	Скачать
Приказ о КЭДО	Скачать
Методические рекомендации по внедрению ЭДО	Скачать
Примерная форма трудового договора	Скачать
Правила обработки персональных данных	Скачать

Откреплённая и присоединённая подпись: что внутри файла

Внутри любого из трёх форматов подпись может быть в двух состояниях. Это техническая особенность, которая не зависит от расширения. Но именно это определяет, как с файлом работать дальше.

Откреплённая (отсоединённая) подпись — в файле подписи лежит только хеш документа и сертификат. Сам документ остаётся отдельным файлом. Преимущество: исходный документ можно открыть любой программой — PDF в Acrobat, DOCX в Word, XLSX в Excel. Подпись проверяется отдельно. Недостаток: легко потерять файл подписи и тогда юридическая сила документа улетучится.

Присоединённая подпись — в файле подписи документ упакован вместе с криптографической частью. Открыть исходный документ без специальной программы нельзя — нужно сначала «распаковать» его из контейнера. Преимущество: невозможно потерять связь между документом и подписью, всё в одном файле. Недостаток: нужна программа-разархиватор для просмотра.

Мария Ж, судебный эксперт по трудовому праву:
«Если документы подписаны откреплённой подписью, то у того, кто открывает PDF, нет ощущения что документ вообще подписан. Это критично для судов. Поэтому в практике всегда формируется ещё одна копия документа — со штампиком визуализации, с плашкой «подписано ЭП». Эта плашка — не сама подпись, а просто иллюстрация для глаза. Юрсилу несёт оригинал плюс сик-файл.»

Госключ всегда отдаёт откреплённую подпись в формате CAdES-T (с меткой времени) с расширением .sig. КриптоАРМ ГОСТ 3 при подписании в режиме PAdES формирует встроенную подпись прямо внутри PDF — тогда никакого .sig рядом нет, документ становится самодостаточным. Это уже не SIG, SGN или P7S, а отдельная история PDF-подписи.

Как открыть и проверить файл SIG, SGN, P7S онлайн

Если получили любой из трёх форматов и нужно убедиться, что подпись валидна — проще всего использовать онлайн-сервис проверки. Никакой установки криптопровайдера, никаких лицензий, никаких настроек браузера. Загрузил два файла — получил отчёт.

Как проверить файл электронной подписи онлайн: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Перейдите на страницу проверки подписи Добыто. Установка программ и регистрация не требуются — сервис работает полностью в браузере.
Шаг 2. Выберите тип подписи: «Присоединённая» (один файл, содержащий документ и подпись) или «Откреплённая» (два отдельных файла — документ и файл подписи .sig/.p7s).
Шаг 3. Загрузите файлы. Для присоединённой подписи — один файл. Для откреплённой — перетащите или выберите исходный документ в поле «Документ», а файл подписи (.sig, .sgn, .p7s) — в поле «Файл подписи».
Шаг 4. Поставьте галочку согласия на обработку персональных данных (152-ФЗ) и нажмите кнопку «Проверить подпись».
Шаг 5. Дождитесь результата. Сервис проверит целостность подписи и отобразит сведения о сертификате: статус подписи (действительна или недействительна), данные владельца, удостоверяющий центр, срок действия сертификата. Если подпись недействительна — убедитесь, что выбран правильный тип и файл подписи соответствует документу.

Кроме онлайн-сервиса, файл .sig, .sgn или .p7s можно открыть программами КриптоАРМ ГОСТ 3, Crypto Expert, ViPNet CSP. Все они умеют работать с CMS-контейнером по умолчанию. На Госуслугах есть встроенный инструмент проверки — подходит, если файл получен с государственного портала.

Какие программы создают SIG, SGN и P7S

Программа-генератор подписи задаёт расширение по умолчанию. Изменить его обычно можно в настройках, но в практике большинство пользователей оставляют то, что предлагает интерфейс. Соответствие «программа — расширение» выглядит так:

Госключ — .sig (CAdES-T). Бесплатное мобильное приложение от Минцифры. Подпись формируется на стороне облака, расширение жёстко зафиксировано.
КриптоАРМ ГОСТ 3 — .sig для откреплённой, расширение .pdf для встроенной PAdES, .p7s для S/MIME-почты.
КриптоАРМ 6 — аналогично, плюс встроенный PDF-просмотрщик с визуальным штампом.
КриптоПро CSP + cryptcp — .sgn по умолчанию для команды cryptcp -sign. Можно переключить на .sig флагом.
ViPNet CSP — .sig для подписи, бесплатная проверка любого формата.
Crypto Expert (CrypteX) — .sig, поддержка CAdES-X Long Type 1, архивная подпись, МЧД.
Litoria Desktop от Газинформсервис — .sig, работа с CAdES, подпись для Astra Linux.
Jinn-Client от Кода Безопасности — .sig с доверенной визуализацией.
Saby (СБИС) Crypto — .sig, веб-сервис с подключением через КриптоПро ЭЦП Browser plug-in.
OfficeCrypto, Office Signature — встроенная подпись внутрь Word/Excel, без отдельного файла.
Outlook + S/MIME — .p7s присоединяется к письму как вложение.
OpenSSL — .p7s через команду cms -sign, поддерживает RSA и ГОСТ через подключаемый движок.
Adobe Acrobat — встроенная подпись в PDF (PAdES) или .p7s через международный профиль.

Если работаете в кадровом ЭДО через сервис Добыто, формат подписи определяется выбранным видом ЭП. УКЭП в Добыто формирует .sig в профиле CAdES-T с меткой времени — это даёт возможность проверять документ даже после истечения срока действия сертификата. УНЭП — аналогично .sig. ПЭП — простая электронная подпись, отдельного файла не создаёт, факт подписания фиксируется в журнале операций сервиса.

Конвертация между SIG, SGN и P7S

Часто конвертация в принципе не нужна — достаточно переименовать файл. Внутри лежит один и тот же CMS-контейнер, его читают одинаково все российские проверочные сервисы. Но бывают сценарии, где нужна реальная переработка:

Превратить откреплённую подпись в присоединённую и наоборот — программами КриптоАРМ ГОСТ 3, КриптоАРМ Server, OpenSSL.
Усовершенствовать CMS-подпись до CAdES-T (добавить метку времени) — КриптоАРМ Server делает upgrade в один клик. Идёт на TSP-сервер за штампом времени, добавляет его в контейнер.
Добавить архивную метку (CAdES-A) — для долговременного хранения 15 и более лет. Делается тем же КриптоАРМ Server или КриптоПро КриптоАрхив.
Перекодировать DER в PEM (Base64) — если контрагент требует подпись в виде текстового блока с маркерами BEGIN CMS / END CMS. Делается утилитой openssl base64.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«При внедрении КЭДО самая частая просьба от службы безопасности заказчика — «сделайте, чтобы все наши документы хранились с архивной меткой». Тут как раз и появляется CAdES-A: подпись постепенно «обрастает» штампами времени, цепочками сертификатов, ответами OCSP. Получается такой файлик-бутерброд, который проверяется и через 15 лет. Ухаживание за подписью — наш любимый термин из практики.»

Если стоит задача массово конвертировать архив подписей — не делайте это вручную. Используйте серверные решения: КриптоАРМ Server, КриптоПро DSS. Они работают через API, обрабатывают пачки документов автоматически и логируют каждую операцию. Это критично для аудита.

Где какой формат принимают: ФНС, ЕГАИС, Росреестр, Госключ

Российские госорганы и системы по-разному относятся к формату файла подписи. Где-то жёстко зафиксирован один формат, где-то принимают любой из трёх. Сводный список выглядит так:

ФНС — принимает CMS и CAdES в формате .sig, через личный кабинет требует браузер с КриптоПро ЭЦП Browser plug-in. .sgn от cryptcp тоже принимается, но только если переименовать в .sig.
Госуслуги, СМЭВ, ЕПГУ, Госключ — только .sig в профиле CAdES-T. Других вариантов нет — архитектурно зашиты в системе.
Росреестр — .sig для электронных сделок с недвижимостью. Принимает .sgn после переименования.
ЕГАИС (Росалкогольрегулирование) — подпись формируется пакетом: подпись + документ упаковываются в архив, архив шифруется сертификатом ИС. Расширение пакета не имеет жёсткого требования, важен только формат хранения ключа — PKCS#11. Без Рутокена ЭЦП 3.0 в нужном режиме работа не пойдёт.
СУФД, казначейство — исторически принимают .sgn. Современные клиенты переходят на .sig.
Мой Арбитр, ГАС Правосудие — .sig.
ЕИС закупок — .sig. Настройка браузера такая же, как для налоговой.
Иностранные суды и нотариусы — чаще всего .p7s по международным алгоритмам RSA или ECDSA.
Электронная почта S/MIME — .p7s, без вариантов.

В кадровом электронном документообороте через Добыто формат файла подписи единый — .sig в профиле CAdES-T. Это даёт долговременную юридическую значимость: документы можно хранить 50 лет и проверять подпись в любой момент, даже после смены криптоалгоритмов. Дальше будет работать механизм «ухаживания» — переподписание архивными метками каждые 12-17 лет.

Стоимость подключения КЭДО в сервисе Добыто

Итоговая стоимость работы с электронной подписью в кадровом документообороте складывается из тарифа на сервис и количества сотрудников. Если речь только про проверку файла .sig, .sgn или .p7s онлайн — это бесплатно через сервис Добыто.Подпись. Если нужно полноценное подключение КЭДО с подписанием кадровых документов — тарифы выглядят так:

Тариф	Стоимость	Условия
Старт	от 30 ₽ за сотрудника / мес	До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны
Бизнес (популярный)	от 50 ₽ за сотрудника / мес	Минимальная оплата 50 сотрудников за 30 000 ₽ в год. ПЭП, УНЭП, УКЭП. Интеграция с 1С
Корпорация	По запросу	Выделенный сервер, SLA 99.9%, API и кастомные интеграции
Проверка подписи онлайн	0 ₽	Без регистрации, без ограничений по форматам

Конкретная сумма по подключению зависит от численности персонала, выбранного вида подписи и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Для пилотного запуска на 5-10 сотрудников можно стартовать с минимального пакета и расширять подключение по мере перевода штата на электронные документы.

Типичные ошибки при работе с форматами подписи

Опишу четыре частых ошибки, которые встречаются у новых пользователей при работе с .sig, .sgn и .p7s. Цена каждой — повторное подписание, отказ контрагента, потеря юридической значимости документа.

Ошибка 1. Считать штампик в PDF полноценной подписью. Визуальная плашка «Документ подписан ЭП Иванов И.И.» на PDF — это просто рисунок. Скриншот подписи. Юридической силы не несёт. Проверить такую «подпись» математически невозможно. Юрсилу несёт только бинарный CMS-контейнер с настоящим хешем и сертификатом. Цена ошибки: при первом же споре в суде или с госорганом документ окажется незащищённым.

Ошибка 2. Удалить файл .sig вместе с временными файлами. Откреплённая подпись лежит рядом с документом отдельным файликом. Если потеряли .sig — подпись восстановить нельзя. Цена ошибки: переподписание силами автора, с учётом того что у него ещё действует сертификат. Если сертификат уже отозван — юрсила потеряна навсегда.

Ошибка 3. Заливать файл подписи в чужой формат архива без проверки. Если контрагент ждёт пакет с МЧД и подписью, а вы прислали только .sig — откажут. Если ждёт zip с зашифрованным контейнером (как ЕГАИС), а вы прислали голую подпись — откажут. Цена ошибки: задержка 3-5 дней на переотправку.

Ошибка 4. Игнорировать штамп времени. Подпись без TSP-метки нельзя доказать в суде по дате подписания. Если оппонент скажет, что подпись поставлена задним числом, придётся опровергать. CAdES-T (со штампом времени) и CAdES-A (с архивной меткой) такую проблему снимают. Цена ошибки: проигрыш в споре из-за невозможности доказать момент подписания.

Мария Ж, HR-эксперт с 13-летним стажем:
«Видела кейс: компания подписала с сотрудником договор о неконкуренции, файл .sig сохранили на корпоративном диске. Через год сотрудник ушёл к конкуренту, договор пытались предъявить — а .sig случайно удалили при чистке диска. Подпись восстановить нельзя, договор фактически не подписан. Вывод банальный: сик-файл — это юридический документ, не служебный мусор. Хранить надо как трудовой договор, в защищённом архиве с резервными копиями.»

Чтобы не нарывать на эти грабли, в сервисе Добыто КЭДО все файлы подписи хранятся в защищённом электронном архиве со сроком до 50 лет. Каждый .sig автоматически связывается с документом, метками времени и цепочкой сертификатов. Документы не теряются, подписи не «отвязываются», архив выгружается одним архивом для проверки в любой момент.

Выводы: форматы файлов электронной подписи SIG, SGN и P7S

Технически в основе всех трёх форматов лежит один криптографический стандарт CMS / PKCS#7. Расширение файла не определяет вид подписи, алгоритм или юридическую силу — оно лишь указывает, какая программа создала контейнер и в каком сценарии его планируется использовать. SIG доминирует в российской госинфраструктуре: Госключ, Госуслуги, СМЭВ, ФНС, Росреестр работают именно с этим расширением. SGN — историческое наследие утилиты cryptcp от КриптоПро, до сих пор встречается в казначейских системах. P7S — международный формат, типичный для S/MIME-почты и зарубежных PKI.

На практике, если получили файл подписи в любом из трёх форматов — первое действие не паниковать, а попробовать переименовать. В 90% случаев расширение можно поменять без последствий, потому что современные сервисы определяют тип контейнера по содержимому, а не по имени файла. Для серьёзной работы с подписями (массовая проверка, архивация, переподписание архивными метками) используйте специализированные программы: КриптоАРМ ГОСТ 3, КриптоАРМ Server, КриптоПро КриптоАрхив. Для разовой проверки подойдёт онлайн-сервис без установки.

Перспектива по форматам — постепенный уход от расширения .sgn в сторону .sig как универсального стандарта государственного обмена. Параллельно растёт доля встроенных подписей PAdES внутри PDF, которые вообще не требуют отдельного файла. Через 5-7 лет основным сценарием станут самодостаточные документы со встроенной подписью и архивной меткой — но классические .sig и .p7s останутся как минимум до 2040 года из-за требований долговременного хранения.

Часто задаваемые вопросы

Можно ли просто переименовать файл .sgn в .sig?

Да, в большинстве случаев можно. Внутри обоих расширений лежит один и тот же CMS-контейнер. Современные сервисы проверки (Контур.Крипто, Госуслуги, КриптоПро DSS, Добыто) определяют тип файла по сигнатуре первых байтов, а не по расширению. Исключение — старые региональные порталы или специфические бухгалтерские системы, где зашит фильтр строго на одно расширение. В таком случае переименование позволит загрузить файл, и проверка пройдёт корректно.

Чем отличается откреплённая подпись от присоединённой внутри одного файла?

Откреплённая подпись содержит только хеш документа и сертификат, сам документ остаётся отдельным файлом. Присоединённая — упакована вместе с документом в одном контейнере. На откреплённую можно посмотреть исходник любой обычной программой, но нужно хранить пару «документ + подпись». На присоединённую без специальной программы документ не открыть, зато ничего не потеряется. Госключ и большинство российских сервисов формируют именно откреплённую подпись.

Что такое CAdES-T, CAdES-X Long и CAdES-A в контексте файла .sig?

Это профили подписи поверх базового CMS. CAdES-BES — базовая подпись, минимальный набор. CAdES-T добавляет штамп времени от доверенной службы (TSP) — можно доказать, в какой момент подпись была поставлена. CAdES-X Long Type 1 включает все доказательства подлинности: сертификаты цепочки, ответы OCSP. CAdES-A (архивная) — подпись с архивной меткой, обновляется каждые 12-17 лет, обеспечивает юридическую значимость на десятки лет вперёд. В файле .sig может лежать любой из этих профилей.

Какой формат подписи возвращает Госключ?

Госключ возвращает откреплённую электронную подпись в формате CAdES-T (CMS со штампом времени) с расширением .sig. Файл доступен для скачивания в ленте уведомлений на портале Госуслуг и в самом приложении Госключ. Для долговременного хранения работодатель может расширить формат до CAdES-A на своей стороне — такая возможность зафиксирована в документации СМЭВ.

Может ли в файле .p7s быть подпись по российскому ГОСТу?

Да, без проблем. Расширение .p7s указывает на стандарт PKCS#7, но алгоритм подписи внутри контейнера может быть любым — RSA, ECDSA, ГОСТ Р 34.10-2012. Российские криптопровайдеры формируют .p7s через S/MIME-почту с подписью по ГОСТу. Если получили .p7s от российского контрагента, то скорее всего это присоединённая подпись по ГОСТу, упакованная в формат для совместимости с почтовыми протоколами.

Сколько весит файл электронной подписи .sig, .sgn или .p7s?

Откреплённая подпись по ГОСТ Р 34.10-2012 весит от 4 до 12 КБ в зависимости от длины цепочки сертификатов и наличия штампа времени. Базовый CAdES-BES — около 4 КБ. С добавлением TSP (CAdES-T) размер растёт до 7-9 КБ. CAdES-X Long Type 1 с полным набором OCSP-ответов — 10-12 КБ. CAdES-A с архивными метками может разрастаться до 20-30 КБ. Присоединённая подпись в .p7s включает сам документ, поэтому её размер равен размеру документа плюс 4-12 КБ на криптографическую часть.

Можно ли проверить файл .sig без установки КриптоПро?

Да. Для разовой проверки используйте онлайн-сервисы: Добыто.Подпись, Контур.Крипто, КриптоПро DSS, портал Госуслуг (для документов из ЕПГУ). ViPNet CSP позволяет бесплатно проверять подпись без покупки лицензии. КриптоАРМ ГОСТ 3 для просмотра подписи также не требует платной лицензии. Обязательно покупать КриптоПро CSP только если вы сами создаёте подписи на постоянной основе.

Какой формат подписи принимает ФНС в личном кабинете?

ФНС принимает CMS и CAdES-подписи в формате .sig. Через личный кабинет налогоплательщика подписание идёт автоматически — браузер с КриптоПро ЭЦП Browser plug-in формирует подпись по ГОСТ Р 34.10-2012. Файлы .sgn принимаются после переименования в .sig. Для участников алкогольного рынка (ЕГАИС) нужен дополнительно ключ в формате PKCS#11 на Рутокене ЭЦП 3.0. Подробности есть на сайте nalog.gov.ru.

Что делать, если потерял файл .sig от подписанного документа?

Восстановить откреплённую подпись после удаления нельзя — это не временный файл, а самостоятельный криптографический объект. Единственный способ вернуть юридическую силу документу — переподписать его заново. Это возможно, если у автора подписи всё ещё действует сертификат и ключ. Если сертификат уже отозван или истёк — юрсила потеряна. Профилактика: храните .sig в защищённом архиве с резервными копиями, как любой важный кадровый документ.

Как конвертировать подпись CAdES-BES в CAdES-A для долговременного хранения?

Используйте серверные решения: КриптоАРМ Server, КриптоПро DSS, КриптоПро КриптоАрхив. Они умеют делать upgrade подписи в один клик: получают штамп времени с TSP-сервера, добавляют ответы OCSP, накладывают архивную метку. Подпись становится CAdES-A, проверяется на десятки лет вперёд. Для массовой обработки архива (от 1000 файлов) рекомендуется автоматизация через API. Самостоятельно вручную улучшать каждый .sig нерационально.

В чём разница между файлом подписи и визуальной плашкой «Подписано ЭП» на PDF?

Принципиальная разница. Файл подписи (.sig, .sgn, .p7s) — это математический объект, который проверяется криптографически: хеш совпадает, сертификат действителен, цепочка валидна. Визуальная плашка на PDF — это нарисованная картинка для человеческого глаза, юридической силы не несёт. Часто её специально добавляют на копию PDF для удобства просмотра, но оригинал документа всё равно проверяется по бинарному контейнеру. Если в суде или у госоргана только PDF со штампиком без файла .sig рядом — подпись математически проверить невозможно.

Какой формат хранения подписи в кадровом ЭДО Добыто?

В сервисе КЭДО Добыто подпись хранится в формате .sig в профиле CAdES-T со штампом времени. Это даёт долговременную юридическую значимость кадровых документов: договоров, приказов, заявлений. Для архивного хранения свыше 15 лет применяется механизм переподписания архивными метками (CAdES-A) — так подпись остаётся проверяемой и через 30, и через 50 лет. Все файлы подписи хранятся в защищённом электронном архиве с резервными копиями.

Можно ли подписать один документ несколькими файлами .sig (соподпись)?

Да. Технически реализуется двумя путями. Первый — последовательная подпись: первый автор подписывает документ, формирует .sig, второй автор подписывает уже файл .sig поверх первой подписи (заверение). Второй — параллельная подпись: каждый автор формирует свой .sig к одному и тому же документу, получается несколько файлов подписи рядом с одним документом. Современные программы (КриптоАРМ ГОСТ 3, КриптоАРМ Server) поддерживают оба сценария. В кадровом ЭДО чаще используется параллельная схема.

Что такое DER и PEM в контексте файла подписи?

Это две формы кодировки одного и того же CMS-контейнера. DER (Distinguished Encoding Rules) — бинарный формат, более компактный, чаще встречается в .sig, .sgn, .p7s. PEM (Privacy-Enhanced Mail) — текстовый формат с маркерами BEGIN CMS и END CMS, обёрнутый в Base64. PEM удобен для копирования через текстовые протоколы (email, web-формы), DER — для бинарного хранения. Перекодировать DER в PEM можно командой openssl base64. Содержимое подписи и её юридическая сила при перекодировке не меняются.

Если в работе постоянно встречаются файлы .sig, .sgn и .p7s от разных контрагентов, а единого инструмента для их обработки нет — имеет смысл подключить КЭДО с централизованным хранилищем подписей. В сервисе Добыто кадровые документы автоматически подписываются и сохраняются в архиве с метками времени, защищёнными резервными копиями и автоматическим продлением юридической значимости через CAdES-A.

За время работы сервиса Добыто мы подключили более 500 компаний — от стартапов до крупного бизнеса. Видим, что переход на единый формат хранения подписей (.sig в CAdES-T) снимает 80% операционных проблем с кадровым документооборотом и упрощает проверки ГИТ. Архив выгружается в один клик, файлы подписи всегда привязаны к документам, ничего не теряется.

Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
Хранение документов и файлов .sig до 50 лет с автоматическим продлением юридической значимости через CAdES-A
Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — ставится за час без привлечения разработчиков
Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
Бесплатная онлайн-проверка любого файла .sig, .sgn, .p7s на сервисе Добыто.Подпись без регистрации

Запросить демо-доступ