Конвертация файла SGN в SIG (и обратно) — задача, с которой регулярно сталкиваются кадровики, бухгалтеры и IT-специалисты при обмене документами с разными системами. Технически это даже не конвертация: внутри обоих расширений лежит одинаковый CMS-контейнер, и переименование за 5 секунд решает большинство задач. Но в практике всплывают нюансы: пакетная обработка тысяч файлов, перенастройка КриптоПро на нужный формат, защита от потери при ошибочном изменении расширения. Покажу все рабочие способы — от ручного переименования до скрипта PowerShell для архива за год. Это часть большого материала про проверку электронной подписи на подлинность, где разобраны все способы и сервисы верификации файла подписи.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Зачем вообще конвертировать SGN в SIG
SGN и SIG — это два расширения для одного CMS-контейнера по стандарту RFC 5652. Первое родилось в утилите cryptcp в составе КриптоПро CSP в начале 2000-х, второе — в массовых сервисах Госуслуг и Госключа в 2012-2014 годах. Внутри байт в байт идентично: тот же ГОСТ Р 34.10-2012, тот же ГОСТ Р 34.11-2012, та же ASN.1 структура.
Если контейнер один — зачем менять расширение? Причин обычно три.
1. Совместимость с КЭДО-системой. Кадровый сервис фильтрует загружаемые файлы по расширению. Прислали .sgn от бухгалтерии (которая работает через cryptcp), а кадровый поток принимает только .sig. Кадровик кладёт файл, получает ошибку «формат не поддерживается» и идёт за разъяснениями. Решение — конвертация .sgn в .sig до загрузки.
2. Передача в государственные сервисы. Если документ из казначейства приходит с .sgn, а нужно загрузить его на портал Госуслуг или в личный кабинет ФНС — там стандарт .sig. Без конвертации не пройдёт фильтр.
3. Архивное хранение. Когда в корпоративном архиве за пять лет накопились подписи в трёх форматах — .sig, .sgn, .p7s — возникает желание привести всё к единому. Это не обязательно, но удобно для индексирования и поиска.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Слово «конвертация» сбивает с толку. Конвертация подразумевает изменение содержимого: PDF в DOCX, JPG в PNG. С .sgn и .sig никакая конвертация не происходит — содержимое не меняется ни на байт. Это переименование, не более. Я объясняю кадровикам так: представьте, что у вас файлы в коробке, а на коробке наклейка. Вы поменяли наклейку — содержимое в коробке осталось то же. На юридическую силу это никак не влияет, серт внутри тот же, штампики времени на месте.»
Как проверить ЭП на документе через Добыто.Подпись
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Способ 1. Переименование вручную через Проводник
Самый простой и быстрый путь — переименовать через стандартный файловый менеджер Windows, macOS или Linux. Подходит для разовых задач, когда нужно конвертировать 1-3 файла.
Алгоритм для Windows.
- Откройте Проводник, найдите файл с расширением .sgn.
- Если расширения не отображаются: вкладка «Вид» → галочка «Расширения имён файлов».
- Правый клик на файле → «Переименовать» (или клавиша F2).
- Замените .sgn на .sig в конце имени.
- Нажмите Enter. Windows предупредит: «После изменения расширения файл может стать недоступен». Жмите «Да» — в нашем случае это безопасно.
Для macOS правила те же: правый клик → «Переименовать» → меняем расширение. Finder спросит «Использовать .sig» — подтверждаем.
Для Linux в терминале одна команда: mv договор.sgn договор.sig. В графических файловых менеджерах GNOME и KDE — переименование через клавишу F2.
Содержимое файла не меняется. Размер до байта совпадает. Хеш файла — тот же. Если открыть оба файла (исходный .sgn и переименованный .sig) в шестнадцатеричном редакторе, разницы вы не найдёте ни в одном бите.
Мария Ж, юрист со стажем более 20 лет:
«В судебной практике формат файла подписи никогда не имел значения — суд проверяет содержимое CMS-контейнера через техэкспертизу. У меня было дело, где сторона пыталась оспорить подпись через «ваш .sgn у нас не открывается». Контраргумент сработал за минуту: переименовали в .sig, открылось, серт валидный, штампик времени на месте. Юрсила сохраняется в полном объёме — переименование её не задевает.»
Способ 2. Пакетное переименование через PowerShell
Если файлов много — например, архивная выгрузка кадровых документов за год, где 1500 файлов .sgn нужно перевести в .sig — ручное переименование уже не вариант. Помогает однострочник PowerShell.
Откройте PowerShell, перейдите в папку с файлами через cd C:\путь\к\папке и выполните:
Get-ChildItem *.sgn | Rename-Item -NewName { $_.Name -replace '\.sgn$', '.sig' }
Команда находит все файлы с расширением .sgn в текущем каталоге и заменяет .sgn на .sig в конце имени. На каждый файл уходит несколько миллисекунд — 1500 файлов обрабатываются за 2-3 секунды.
Если нужна обратная конвертация (из .sig в .sgn):
Get-ChildItem *.sig | Rename-Item -NewName { $_.Name -replace '\.sig$', '.sgn' }
Для рекурсивной обработки всех вложенных папок добавьте ключ -Recurse:
Get-ChildItem -Recurse *.sgn | Rename-Item -NewName { $_.Name -replace '\.sgn$', '.sig' }
Перед запуском в большом архиве рекомендую сначала прогнать «сухой» режим для проверки. Замените Rename-Item на Where-Object и посмотрите список файлов, которые будут затронуты:
Get-ChildItem -Recurse *.sgn | ForEach-Object { Write-Host $_.FullName }
Это выведет список всех .sgn-файлов в выбранной папке и подпапках. Если список совпадает с ожиданиями — запускайте основную команду. Если нет — корректируйте путь или паттерн поиска.
Способ 3. Bash для Linux и macOS
Для Linux и macOS аналог однострочника на bash. Откройте терминал, перейдите в каталог:
for f in *.sgn; do mv "$f" "${f%.sgn}.sig"; done
Команда проходит по всем .sgn-файлам в текущей папке и заменяет расширение на .sig. Для рекурсивной обработки используется find:
find . -name "*.sgn" -exec sh -c 'mv "$1" "${1%.sgn}.sig"' _ {} \;
Эта конструкция работает в любой POSIX-совместимой системе — macOS, Linux, FreeBSD. Скорость такая же — 1500 файлов за 2-3 секунды.
Способ 4. Перенастройка cryptcp на формат .sig
Если ваша инфраструктура регулярно подписывает документы через cryptcp, проще не конвертировать постфактум, а сразу настроить вывод в .sig. Утилита cryptcp поддерживает ключ -out, который задаёт имя выходного файла полностью — включая расширение.
Стандартный вызов cryptcp без -out:
cryptcp -sign -cert "Имя сертификата" -nochain документ.pdf
Результат: документ.pdf.sgn (расширение по умолчанию).
С ключом -out:
cryptcp -sign -cert "Имя сертификата" -nochain -out документ.pdf.sig документ.pdf
Результат: документ.pdf.sig — готовый файл с нужным расширением, без пост-обработки.
В скриптах автоматизации это удобно. Например, если у вас PowerShell-скрипт подписывает банковские платёжки и сразу отправляет их в КЭДО-систему, с ключом -out скрипт пишет .sig напрямую — и интеграция работает без промежуточного переименования.
Способ 5. Перенастройка КриптоАРМ на формат .sgn
Обратная задача: КриптоАРМ по умолчанию пишет .sig, а нужно .sgn (например, для отправки в казначейство или СУФД). Перенастройка делается в меню программы.
- Откройте КриптоАРМ ГОСТ 3 или КриптоАРМ 6.
- Меню «Сервис» → «Настройки».
- Раздел «Подпись» → пункт «Расширение файла подписи».
- Из выпадающего списка выберите .sgn.
- Сохраните настройки.
Дальше при подписании документов через «Файл» → «Подписать» программа будет создавать файлы с .sgn. Перенастройка применяется ко всем последующим подписям, до изменения настройки или сброса профиля.
Альтернатива — в окне самого подписания. Когда выбираете документ для подписи, в диалоговом окне «Параметры подписи» можно вручную задать расширение для конкретной операции, не меняя глобальную настройку.
Способ 6. Через онлайн-сервис проверки
Многие онлайн-сервисы проверки подписи показывают возможность экспортировать результат проверки в виде нового файла. Например, при загрузке .sgn-файла сервис проверяет подпись и предлагает скачать «проверенную копию», которая часто сохраняется уже под расширением .sig (зависит от сервиса).
Это не отдельный механизм конвертации — сервис просто переименовывает файл при сохранении. Но если у вас нет доступа к командной строке или КриптоАРМ, это рабочий путь.
В практике Добыто за два года ни разу не возникло ситуации, когда переименование через любой из перечисленных способов привело бы к юридическому отказу или невалидной подписи. Содержимое контейнера от расширения не зависит, и валидаторы это давно учитывают — читают по сигнатуре первых байтов, не по строке после точки.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда внедряем КЭДО, на этапе пилота прогоняем универсальный тест: подсовываем системе .sig, .sgn, .p7s — все три варианта одного и того же CMS-контейнера. У нас в коробке валидатор читает по сигнатуре, не по расширению — поэтому все три файла принимаются и проверяются одинаково. Если коробка различает их по строке после точки — это не валидатор, а грабли. Закладываем в архитектуру универсальное чтение, экономит клиенту денежки на доработках и нервы кадровикам.»
Когда кадровый поток требует обработки документов из разных систем — бухгалтерия даёт .sgn от cryptcp, IT-отдел приносит .p7s от Adobe, Госключ возвращает .sig — ручная конвертация перед каждой загрузкой превращается в системную работу. Часто файлы теряются, кадровик путается в форматах, а служба поддержки получает шквал заявок «не загружается подпись». Универсальный валидатор закрывает задачу: коробка принимает любой формат CMS-контейнера, расширение игнорируется. Мы в Добыто закладывали это на этапе архитектуры — и за всё время работы ни одна интеграция не упёрлась в фильтр по расширению.
Когда переименование не сработает: пограничные случаи
Большинство случаев конвертация решается переименованием за 5 секунд. Но есть пограничные ситуации, в которых переименование не помогает — и нужно понимать, чем они вызваны.
1. Бэкенд проверяет MIME-type через сигнатуру файла. Современные системы безопасности не доверяют расширению. Они открывают файл, читают первые байты и определяют тип по сигнатуре (magic bytes). Для CMS-контейнера это байты 30 82 (заголовок ASN.1 SEQUENCE). Если бэкенд видит CMS-контейнер — он его принимает, даже если расширение .sgn. Но если бэкенд видит, что файл не CMS, и отвергает его — переименование не поможет, потому что проверяется содержимое.
2. Файл повреждён. Если контейнер битый (потеря данных при копировании, неполная загрузка по FTP, ошибка диска), никакое переименование его не оживит. Нужна новая подпись от автора. Признак битого файла — сервис проверки выдаёт «невозможно прочитать» или «повреждённый ASN.1».
3. Серт подписанта истёк, нет штампа времени. CAdES-BES (базовый формат подписи) не содержит метки времени. Когда серт истекает, подпись становится непроверяемой — валидатор не может определить, действовал ли серт на момент подписания. Переименование не делает серт действующим. Решение — подписать заново или обратиться к автору документа за новой подписью.
4. Корневой серт УЦ не установлен. Для проверки УКЭП нужна вся цепочка корневых сертов в системе. Если корень от Минцифры не установлен, валидатор покажет «цепочка доверия не построена» — расширение здесь ни при чём. Решение — установить корневой серт от УЦ ФНС или от УЦ, аккредитованного Минцифры.
5. Документ изменён после подписания. Подпись содержит хеш исходного документа на момент подписания. Если документ модифицирован хоть на байт (даже служебная правка метаданных), хеш не сойдётся — подпись станет невалидной. Переименование .sgn в .sig никак не влияет на хеш документа. Решение — найти оригинальный неизменённый документ или подписать заново.
6. Контейнер с присоединённой подписью открывают как откреплённую. Это не про переименование, а про работу с разными типами подписи. Если в контейнере подпись присоединена к документу (документ внутри файла подписи), при проверке нужно загружать только файл подписи. Если же грузите ещё и исходный документ — валидатор может выдать ошибку «хеш не совпадает». Это не связано с расширением, но часто путается с ним.
Юридическая значимость подписи после переименования
Это вопрос, который чаще всего задают юристы и кадровики. Ответ короткий: переименование .sgn в .sig (или обратно) на юрсилу не влияет ни в одном правовом сценарии.
ФЗ-63 «Об электронной подписи» — тройка для специалистов — в статьях 5 и 6 не упоминает расширений файлов. Закон оперирует категориями «квалифицированный сертификат», «квалифицированная электронная подпись», «признание юридической силы». Расширение — техническая деталь реализации, не правовая категория. Подзаконка от Минцифры и ФСБ тоже работает на уровне форматов CAdES-BES, CAdES-T, XAdES — без упоминания .sig, .sgn, .p7s.
На pravo.gov.ru опубликованы все актуальные приказы Минцифры по форматам ЭП — проверьте сами. В тексте требований — криптоалгоритмы по ГОСТу, профили подписи по CAdES, нормативы хранения. Расширения в нормативке не появляются вообще.
Отсюда следствие. В трудовых судах, в арбитраже, в гражданских делах формат файла подписи никогда не был основанием для отказа в признании юрсилы. Дело Винлаба (увольнение через подделку подписи), дело Сбера (оспаривание ЭП на соглашении сторон) — в обоих суд назначал техэкспертизу содержимого контейнера, расширение не имело значения. У меня в практике несколько раз ответчик пытался «придраться» к формату — все попытки разбивались об экспертизу за 5 минут заседания.
Программы и сервисы для конвертации SGN/SIG
Подробнее про программы для подписания документов ЭЦП можно посмотреть в отдельном материале с разбором фич и сертификации ФСБ. По теме конвертации форматов основные инструменты:
- Проводник Windows / Finder macOS / mv в Linux — переименование за 5 секунд.
- PowerShell + Get-ChildItem | Rename-Item — пакетная конвертация, сотни-тысячи файлов за пару секунд.
- Bash + for/find/mv — то же самое для Linux и macOS.
- cryptcp с ключом -out — подпись сразу с нужным расширением.
- КриптоАРМ ГОСТ 3 / 6 — смена расширения в настройках программы.
- Тотал Коммандер с пакетным переименованием (Ctrl+M) — удобный GUI для тех, кто не любит командную строку.
- Сервисы КЭДО с универсальным валидатором — вообще не требуют конвертации, принимают любой формат.
Стоимость работы с конвертацией форматов в КЭДО Добыто
Универсальная обработка форматов .sig, .sgn, .p7s — это базовая функциональность валидатора подписи в современных КЭДО-сервисах. Никаких отдельных оплат за конвертацию нет, потому что конвертация как таковая не нужна — сервис читает CMS-контейнер по сигнатуре. Тариф КЭДО Добыто рассчитывается за сотрудника в месяц.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний на старте перехода в КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП |
| Бизнес — оптимальный для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес | Минимум 50 сотрудников за 30 000 ₽ в год |
| Бизнес: ПЭП, УНЭП и УКЭП в одном тарифе | включено | Кастомные шаблоны, интеграция с 1С |
| Бизнес: универсальный валидатор форматов SGN, SIG, P7S | включено | Электронный архив всех форматов |
| Корпорация — для крупного бизнеса с расширенными требованиями | по запросу | Всё из Бизнес плюс выделенный сервер, SLA 99.9% |
| Корпорация: API для пакетной обработки архивов подписи | по запросу | Персональный менеджер, кастомные интеграции |
Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Поддержка всех форматов CMS-контейнера — в коробке без отдельных оплат.
Документы и инструкции по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя сервиса Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО (расширенный шаблон) | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации | Скачать |
| Примерная форма трудового договора | Скачать |
Типичные ошибки при конвертации SGN в SIG
На пилотах в проектах Добыто за два года накопился список повторяющихся ошибок. Большинство связано с непониманием простой природы конвертации — что это просто переименование, не пересоздание подписи.
Ошибка 1. Перегенерируют подпись вместо переименования. Кадровик получает .sgn от бухгалтерии, нужно .sig для КЭДО. Идёт к подписанту, просит «переподписать в правильном формате». Это занимает 2-3 рабочих дня и стоит времени двух человек. Решение — правый клик и переименование за 5 секунд.
Ошибка 2. Переименовывают через сторонние «конвертеры» в интернете. Загружают файл с УКЭП на сомнительный онлайн-сайт «конвертер sgn в sig». Это не конвертация (она не нужна), а потенциальная утечка данных подписи. Закрытка остаётся у вас, но открытка и серт владельца уходят на чужой сервер. Решение — использовать только проверенные сервисы или вообще обходиться локальными инструментами.
Ошибка 3. Боятся переименовать УКЭП «чтобы не повредить». Думают, что переименование изменит криптографию. Это неверно: содержимое файла остаётся побайтово идентичным. Хеш файла .sgn до переименования и .sig после — одинаков. Если переживаете — сохраните копию исходного файла перед переименованием.
Ошибка 4. Конвертируют в спешке без бэкапа. Запускают PowerShell-однострочник на архиве из 1500 файлов без копии исходных данных. Если что-то пойдёт не так (ошибка в шаблоне, конфликт имён, прерывание скрипта посередине) — часть файлов окажется в «промежуточном» состоянии. Решение — всегда делать копию папки перед массовой обработкой.
Ошибка 5. Конвертируют файл, теряют исходный документ. Переименовали .sgn в .sig, но забыли, что подпись откреплённая — и нужен ещё исходный файл (.pdf, .docx, .xls). Без обоих файлов проверка невозможна. Решение — всегда хранить пару «документ + подпись» вместе, в одной папке или архиве.
Ошибка 6. Ставят расширение .sig на файл, который не является CMS-контейнером. Иногда из-за путаницы переименовывают в .sig обычные файлы (например, .txt с настройками или непонятный бинарник). Валидатор открывает — получает ошибку «не CMS-контейнер». Решение — проверять, что исходный файл действительно подпись, через онлайн-сервис до переименования.
Мария Ж, судебный эксперт по трудовому праву:
«Один из самых частых вопросов от кадровых служб — «А не сломаем ли мы юрсилу подписи переименованием?» Отвечаю всегда одинаково: нет, не сломаете. У меня в практике было дело, где работодатель пытался оспорить подпись бывшего сотрудника на дополнительном соглашении именно через формат. Аргумент — «ваш файл .sig переименован из .sgn, поэтому он подделан». Техэкспертиза показала: содержимое контейнера идентично, серт валидный, штамп времени корректный. Суд отверг попытку отвода за 5 минут заседания, документ признали подписанным.»
Выводы: как правильно конвертировать SGN в SIG
Конвертация .sgn в .sig (и обратно) — это не криптографическая операция, а простое переименование файла. Содержимое CMS-контейнера от расширения не зависит, юридическая сила сохраняется в полном объёме, серт и штамп времени остаются валидными. Для разовых задач достаточно правого клика в Проводнике или mv в терминале. Для пакетной обработки — однострочник в PowerShell или Bash, который перерабатывает тысячи файлов за пару секунд. Если задача регулярная — лучше один раз перенастроить cryptcp или КриптоАРМ на нужное расширение по умолчанию через ключ -out или меню «Настройки».
Практический ориентир. Если получили .sgn там, где ждёте .sig (или наоборот) — переименуйте, проверка пройдёт идентично. Если онлайн-сервис не открывает файл — проблема не в расширении, а в самом контейнере (повреждение, истёкший серт без штампа времени, отсутствие корневого серта в системе). Современные валидаторы определяют формат по сигнатуре первых байт, не по строке после точки — так что в большинстве сценариев переименование решает задачу за несколько секунд. Файл подписи и исходный документ всегда храните вместе: без пары «документ + подпись» проверка невозможна, и переименование тут никак не помогает.
Часто задаваемые вопросы
Сохраняется ли юридическая сила после переименования SGN в SIG?
Можно ли конвертировать SGN в SIG онлайн без установки программ?
Что произойдёт, если переименовать .sgn в .pdf?
Можно ли пакетно переименовать архив за 5 лет?
Поменяется ли хеш файла после переименования?
Как настроить cryptcp, чтобы он сразу писал .sig вместо .sgn?
Принимает ли казначейство файл .sig вместо .sgn?
Что делать, если после переименования файл перестал открываться?
Могу ли я подписать заново вместо переименования?
Влияет ли переименование на штамп времени и архивную метку?
Можно ли конвертировать через КриптоАРМ ГОСТ 3?
Как обработать архив подписей при миграции на новую КЭДО-систему?
Безопасно ли конвертировать SGN с УКЭП на чужом компьютере?
В кадровом потоке регулярно сталкиваешься с ситуацией: бухгалтерия из бюджетки присылает кадровый акт с подписью .sgn от cryptcp, а КЭДО-система настроена строго на .sig. Кадровик теряет полчаса на разбирательство: переименовать или попросить переподписать? Ответ всегда один — переименовать, и продолжать работу.
Сервис Добыто.КЭДО мы строили с расчётом на универсальный валидатор подписи: содержимое читается из CMS-контейнера, расширение игнорируется. За время работы подключили более 500 компаний, и в каждом из проектов возникал сценарий с разнобоем форматов от разных подразделений. Закрывали его на этапе пилота за 2-3 дня — дальше бухгалтерия и кадровая служба работают параллельно без переключений между интерфейсами.
- Универсальная обработка форматов .sig, .sgn, .p7s без отдельных настроек и фильтров
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — в одном кадровом потоке
- Готовый коннектор с 1С (ЗУП, КА, ERP), SAP и Boss-Кадровик — ставится за час без разработчиков
- Прозрачное ценообразование — фиксированная стоимость за рабочее место, без скрытых модулей
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет с переподписанием при смене криптоалгоритмов
- Работа со штатными сотрудниками, самозанятыми и ГПХ в одном сервисе