Файл SGN электронной подписи — это контейнер с откреплённой ЭП, который лежит рядом с подписанным документом и хранит результат криптографического вычисления над ним. Расширение .sgn досталось российской госинфраструктуре от старого пакета «Сигнатура» для отчётности в ПФР и налоговую, но внутри у файла — стандартный CMS-контейнер по PKCS#7, такой же как у .sig и .p7s. Разберём, чем создаётся sgn-файл, какими программами его открывают, что в нём можно увидеть без установки КриптоПро и как проверить подлинность подписи за пару минут онлайн. Это часть большого материала про проверку электронной подписи на подлинность документа, где собраны все способы и сервисы верификации файлов ЭЦП.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое файл SGN и откуда у него такое расширение
SGN — это расширение файла откреплённой электронной подписи. Технически файл представляет собой бинарный объект, в котором лежит хеш исходного документа, зашифрованный закрытым ключом подписанта, плюс открытый сертификат с данными о владельце. Сам документ при этом не модифицируется — подпись хранится в отдельном файле и проверяется к нему «в пару».
Историческая справка короткая. Расширение .sgn массово зашло в обиход в начале 2000-х вместе с программами «Сигнатура» и «Сигнатура-W» от компании «Кода Безопасности» и Главного научно-исследовательского вычислительного центра ФНС. Эти программы готовили и подписывали файлы налоговой и пенсионной отчётности до того, как появились современные web-сервисы и оператор ЭДО. С тех пор многие УЦ и удостоверяющие центры по инерции выдают подпись с расширением .sgn, хотя по сути файл ничем не отличается от .sig или .p7s.
Главный нюанс. Само по себе расширение .sgn ни о чём не говорит — это просто метка, которую программа-генератор присвоила на выходе. Внутри почти всегда лежит один и тот же контейнер CMS (Cryptographic Message Syntax), он же PKCS#7. Это международный стандарт RFC 5652, поверх которого построены и российские профили CAdES, и подпись Госключа, и зарубежный S/MIME.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда юрист первый раз получает по почте архив с двумя файлами — сам документ и сикфайл с расширением .sgn — первый вопрос звучит так: а где собственно подпись на документе? Подписи там и не должно быть. Тройка прямо говорит: подпись — это отдельная криптографическая сущность, штампик и плашка нарисованы для глаза, юрсилу несёт сам бинарник в .sgn рядом с документом.»
Ниже пройду по каждому слою файла SGN: что внутри, кто его создаёт, как открыть и где он сегодня встречается.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Что внутри файла SGN: контейнер CMS и российский ГОСТ
Если открыть .sgn в любом hex-редакторе, видно типовой ASN.1-контейнер CMS. По стандарту PKCS#7 (RFC 5652) внутри располагаются: версия структуры, идентификатор алгоритма хеширования, сам подписанный хеш, цепочка сертификатов от владельца до корневого УЦ, серийный номер сертификата, время подписания и атрибуты (для усиленной подписи — метка доверенного времени и ответ OCSP-сервиса).
Криптография у российской SGN-подписи стандартная для отечественной инфраструктуры:
- алгоритм электронной подписи — ГОСТ Р 34.10-2012 (длина ключа 256 или 512 бит);
- хеш-функция — ГОСТ Р 34.11-2012 («Стрибог»);
- симметричный шифр для сопровождающих операций — ГОСТ Р 34.12-2015 («Кузнечик» или «Магма»);
- усовершенствованные форматы — CAdES-BES (базовый), CAdES-T (с меткой времени), CAdES-X Long Type 1 (с OCSP), CAdES-A (архивная подпись для длительного хранения).
Размер sgn-файла в типовом сценарии — от 4 до 12 КБ. Если в подписи есть длинная цепочка сертификатов, штамп времени и ответ OCSP, файл «разрастается» до 15-20 КБ. Если же это простая CAdES-BES без меток — может быть и меньше 4 КБ.
Какие программы создают файлы с расширением SGN
Программ, способных выдать на выходе именно .sgn, на рынке немного. И у каждой — своя ниша.
КриптоПро CSP. Самый распространённый крипто-провайдер в России. Сертификат ФСБ КС1/КС2/КС3 на версии 5.0 R3 действует до 1 мая 2027 года. Сама CSP не имеет графического интерфейса для подписания — это движок, к которому подключаются КриптоАРМ, Office Signature, Adobe Reader и веб-плагины. По умолчанию CSP пишет подпись в .sig, но через утилиту командной строки cryptcp можно явно указать расширение .sgn — это же касается и сторонних надстроек к CSP.
КриптоАРМ ГОСТ 3. Программа от компании «Цифровые Технологии», сборка 3737, сертификат ФСБ до мая 2027 года. Поддерживает форматы CMS, CAdES-BES, CAdES-T, CAdES-X Long Type 1 и архивную CAdES-A, а также массовое подписание. Расширение результата — на выбор пользователя в настройках программы: .sig, .sgn или .p7s.
ViPNet CSP. Криптопровайдер от компании «ИнфоТеКС». Используется в инфраструктуре налоговой, ПФР, СМЭВ. Исторически именно ViPNet с надстройкой «Сигнатура» массово плодил .sgn в системах сдачи отчётности.
Litoria Desktop. Продукт «Газинформсервиса», сертификат ФСБ. Используется для трансграничного ЭДО, поддерживает CAdES и сохранение в .sgn для совместимости с архаичными приёмными системами госорганов.
Crypto Expert (CrypteX) и Jinn-Client. Узкоспециализированные продукты для подписи PDF и для доверенной визуализации перед подписанием. Сертификат ФСБ у Jinn-Client действует до апреля 2027 года.
Saby Crypto. Веб-сервис компании «Тензор». Чаще всего отдаёт .sig, но в режиме совместимости с приёмниками СБИС и старых порталов выгружает .sgn.
Мария Ж, юрист со стажем более 20 лет:
«На практике расширение .sgn чаще всего попадается в двух сценариях. Первый — архивные документы 2010-2018 годов, которые лежат в электронном архиве компании ещё со времён ПФР-отчётности. Второй — выгрузка из бухгалтерских программ, у которых внутри живёт ViPNet или старый КриптоПро. Все остальные сегодняшние сервисы выдают .sig — просто потому что так проще.»
Образцы документов для работы с электронной подписью и КЭДО
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Криптографическая защита информации | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
Как прочитать файл SGN: 5 рабочих способов
Открыть и прочитать содержимое файла SGN значит сделать две разные вещи. Первая — извлечь данные сертификата подписанта (ФИО, СНИЛС, ИНН, юрлицо, кем выдан, срок действия). Вторая — проверить математическую подлинность подписи на исходном документе. Хорошие сервисы делают и то, и другое в одном окне.
Способ 1. Онлайн-сервис проверки. Самый быстрый вариант. Загружаете в форму два файла — исходный документ и сикфайл .sgn — и получаете результат: статус подписи, ФИО владельца, удостоверяющий центр, срок действия сертификата. Регистрация и установка не нужны. Подходит, когда .sgn пришёл по почте, а ставить на машину криптопровайдер ради одного раза неохота.
Способ 2. КриптоАРМ ГОСТ 3. Десктопное решение для тех, кто работает с подписями каждый день. Открывает .sgn двойным кликом, показывает свойства документа, цепочку сертификации, штамп времени, ответ OCSP. Лицензия бессрочная, демо-период 14 дней. Внутри организации логично один раз поставить КриптоАРМ всем, кто проверяет договоры и закрывающие документы.
Способ 3. КриптоПро CSP плюс надстройка КриптоПро PDF / Office Signature. Если в компании уже стоит КриптоПро для работы с УЦ ФНС, файл .sgn открывается через «Сервис -> Просмотреть подпись в файле». Минус — интерфейс провайдера сам по себе графический хуже КриптоАРМ, и для пакетной проверки придётся писать сценарии cryptcp.
Способ 4. КриптоАРМ Server / Telegram-бот. Корпоративный вариант. На сервер заливается архив с документом и .sgn, на выходе формируется протокол проверки в PDF и расширенная подпись CAdES-A для длительного хранения. Telegram-бот того же сервиса позволяет проверить файл, отправив его в чат — удобно для бухгалтеров на ходу.
Способ 5. Госуслуги. На портале есть бесплатный сервис проверки электронной подписи — умеет читать откреплённую подпись CMS любого расширения, в том числе .sgn. Ограничение — не работает с архивными CAdES-A и не показывает полной цепочки сертификации, но базовый ответ «действительна / недействительна» даёт корректно.
Проверять .sgn вручную через hex-редактор бессмысленно. ASN.1-структура внутри файла читается машиной, а не человеком, и поход «ну посмотрим, что там лежит» заканчивается набором символов на экране без полезного содержания.
Как проверить файл SGN: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Перейдите на страницу проверки подписи Добыто. Установка программ и регистрация не требуются — сервис работает полностью в браузере.
- Шаг 2. Выберите тип подписи: «Присоединённая» (один файл, содержащий документ и подпись) или «Откреплённая» (два отдельных файла — документ и файл подписи .sig/.sgn/.p7s).
- Шаг 3. Загрузите файлы. Для присоединённой подписи — один файл. Для откреплённой — перетащите или выберите исходный документ в поле «Документ», а файл подписи (.sig, .sgn, .p7s) — в поле «Файл подписи».
- Шаг 4. Поставьте галочку согласия на обработку персональных данных (152-ФЗ) и нажмите кнопку «Проверить подпись».
- Шаг 5. Дождитесь результата. Сервис проверит целостность подписи и отобразит сведения о сертификате: статус подписи (действительна или недействительна), данные владельца, удостоверяющий центр, срок действия сертификата. Если подпись недействительна — убедитесь, что выбран правильный тип и файл подписи соответствует документу.
Если в компании каждый месяц приходят десятки .sgn-файлов от контрагентов, а штатный кадровик или бухгалтер тратит на ручную проверку каждой подписи по 10 минут — это уже не разовая задача, а статья расходов. Сервис Добыто помогает выстроить процесс так, чтобы файлы подписи проверялись пакетно, а результаты автоматически складывались в электронный архив компании.
SGN, SIG и P7S: одинаковая суть, разные имена
Самый частый вопрос про .sgn — «чем он отличается от .sig и .p7s». Короткий ответ: ничем по технологии, всем по практике приёма у разных госорганов.
Внутри всех трёх форматов лежит контейнер CMS / PKCS#7. Различия — это:
- .sig — наиболее массовое расширение, де-факто стандарт для подписей Госключа, веб-сервисов и большинства современных приёмников. Госключ возвращает строго CAdES-T в .sig — это зафиксировано в технической документации сервиса.
- .sgn — наследие «Сигнатуры» и старого ViPNet-стека. Встречается у файлов, выгруженных из бухгалтерских и кадровых систем, в которых криптопровайдер исторически писал именно так. Без проблем читается всеми сервисами проверки подписи.
- .p7s — международное расширение по стандарту S/MIME (RFC 2630). Часто встречается у файлов, подписанных на стороне зарубежного контрагента, и у УКЭП, выпущенных по западному профилю X.509.
В практике сервиса Добыто мы каждый месяц обрабатываем десятки тысяч откреплённых подписей через систему КЭДО, и распределение примерно такое: .sig — около 80%, .sgn — 12-14%, .p7s — 6-8%. Остальные расширения (.pkcs7, .signed) встречаются единично.
Мария Ж, судебный эксперт по трудовому праву:
«В судебных кейсах, где приходится восстанавливать историю подписания, расширение файла — первое, на что смотрит судебный эксперт. Не потому что .sgn хуже .sig, а потому что по нему понятно, какой стек криптографии стоял у подписанта. Это сразу даёт версию о вероятной программе, версии контейнера и наличии меток времени.»
Где сегодня встречается формат SGN: ФНС, ПФР, госорганы
Расширение .sgn в 2026 году — это не повседневный формат, а скорее наследие конкретных систем. Привожу конкретные точки, где .sgn до сих пор живой и активно используется.
Налоговая отчётность через «Сигнатуру» и старые версии «1С-Отчётность». Несмотря на то что массово отчётность давно ушла в Контур.Экстерн и СБИС, у части малого бизнеса до сих пор работает связка КриптоПро + ViPNet + надстройка «Сигнатура», выдающая на выходе .sgn. Эти файлы принимаются ФНС наравне с .sig.
Архив пенсионной отчётности 2010-2017 годов. Декларации СЗВ-М, СЗВ-СТАЖ, расчёт по страховым взносам и другие формы того периода массово подписывались с расширением .sgn. У бухгалтерий до сих пор лежат архивы с этими файлами — и их периодически приходится поднимать при налоговых проверках или при восстановлении начислений сотруднику.
Региональные госпорталы и системы межведомственного обмена. Отдельные региональные подсистемы СМЭВ принимают и .sig, и .sgn — просто потому что переписывать прошивку приёмника никто не стал. Сюда же попадают часть систем минтруда, региональные порталы госуслуг и местные суды.
Архивные кадровые документы. При переходе компании с бумажного делопроизводства на КЭДО старые приказы и трудовые договоры конвертируют в PDF и подписывают разово — часто старым крипто-провайдером, который писал в .sgn. Эти файлы остаются в архиве организации и могут быть запрошены ГИТ при проверке.
Узнать больше о том, как устроена откреплённая подпись и почему именно она доминирует в российской госинфраструктуре, можно в материале про откреплённую электронную подпись и работу с файлом sig.
Что показывает файл SGN: данные сертификата подписанта
Проверяющая программа достаёт из .sgn всё, что нужно для подтверждения подписи. Перечень полей зафиксирован в приказе ФСБ № 795 — именно он определяет состав квалифицированного сертификата ключа.
- ФИО подписанта — для УКЭП физлица.
- СНИЛС — обязательное поле для квалифицированного сертификата.
- ИНН подписанта (для физлица) и ИНН организации (для УКЭП юрлица или сотрудника по МЧД).
- Должность и наименование юрлица — если сертификат выдан до 31.08.2024, когда такие сертификаты ещё выпускались на сотрудников.
- ОГРН организации — для УКЭП юрлица из УЦ ФНС.
- Удостоверяющий центр, выпустивший сертификат: УЦ ФНС, УЦ Минцифры (для физлиц), УЦ Казначейства (для бюджетных организаций), коммерческий аккредитованный УЦ.
- Серийный номер сертификата — 16 или 32 знака в шестнадцатеричном виде, по нему сертификат можно проверить в реестре аккредитованных УЦ.
- Алгоритмы (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012) и длина ключа.
- Срок действия сертификата — обычно 12 или 15 месяцев.
- Дата и время подписания — либо локальное время машины подписанта, либо метка доверенного времени из штампа TSA, если подпись усиленная.
Все эти поля видны в любом нормальном клиенте — КриптоАРМ, Saby Crypto, OfficeCrypto, веб-сервисы проверки. Если поля не отображаются, в 90% случаев проблема не в файле, а в кривом просмотровщике или старом плагине.
Мария Ж, специалист по трудовому праву:
«Когда в кадровом споре возникает вопрос — кто и когда подписал приказ или допсоглашение, юристы первым делом смотрят серийник в .sgn. По нему сразу проверяют статус сертификата на дату подписания: был ли он действующим, не отзывался ли через CRL или OCSP, есть ли штамп доверенного времени. Без этих трёх ответов никакая распечатка с плашкой ничего не доказывает в суде.»
Стоимость подключения КЭДО для работы с электронной подписью
Если речь идёт не о разовой проверке одного .sgn, а о выстраивании процесса в компании — где сотрудники регулярно получают, проверяют и хранят файлы откреплённой подписи — имеет смысл смотреть на тариф КЭДО как на инструмент. Стоимость зависит от численности сотрудников, выбранного тарифа и набора подключаемых модулей.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф «Старт» | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| Тариф «Бизнес» | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, минимум 30 000 ₽ в год за 50 сотрудников |
| Тариф «Корпорация» | по запросу | Выделенный сервер, SLA 99,9%, персональный менеджер |
| Электронная подпись ПЭП для сотрудника | бесплатно | Включена во все тарифы |
| Электронная подпись УНЭП для сотрудника | бесплатно | Включена во все тарифы |
| Поддержка УКЭП в системе | входит | Тарифы «Бизнес» и «Корпорация» |
Итоговая сумма зависит от численности персонала, выбранного тарифа и подключённых модулей: интеграция с 1С, кастомные шаблоны, электронный архив, API. Для точного расчёта удобно смотреть актуальные тарифы сервиса Добыто КЭДО — там видно, что входит в каждый план, и есть калькулятор по числу сотрудников.
Типичные ошибки при работе с файлом SGN
Из практики сервиса Добыто чаще всего встречаются четыре сценария, когда .sgn вроде есть, а проверить подпись не получается.
Ошибка 1. Документ изменили после подписания. Это самый частый кейс. Бухгалтер открыл подписанный PDF, что-то поправил, нажал «Сохранить» — и хеш файла поменялся. Подпись из .sgn перестала к нему «проверяться». Цена ошибки — документ теряет юридическую силу, и при споре с контрагентом приходится пересоздавать всю цепочку. Решение — хранить оригинал отдельно от рабочих копий и никогда не пересохранять подписанные файлы.
Ошибка 2. Файл подписи переименовали или сменили расширение. «А я думал, .sgn это что-то старое, давай переименую в .sig для совместимости». Само по себе расширение проверка читает корректно, но если в имени файла поменялся ещё и базовый stem (например, было contract.pdf.sgn, стало signature.sig), сервисы проверки могут не «сшить» пару документ-подпись по имени. Решение — не трогать имена файлов до завершения проверки.
Ошибка 3. Просрочка сертификата без штампа времени. CAdES-BES без TSA-метки превращается в нерабочую подпись через 12-15 месяцев — именно столько действует сертификат УЦ ФНС. Если в .sgn нет ответа OCSP и метки доверенного времени, проверяющий орган имеет право не принять файл. Цена ошибки — в трудовом или гражданском споре сторона лишается доказательства своей позиции. Решение — всегда подписывать через CAdES-T или CAdES-X Long Type 1 для документов длительного хранения.
Ошибка 4. «Корневой не подсосался». Программа ругается, что цепочка сертификации не выстраивается до доверенного корневого УЦ. На деле просто не установлен корневой сертификат Минцифры или УЦ ФНС в системное хранилище «Доверенные корневые». Решение — скачать актуальные корневые сертификаты с сайта Минцифры или УЦ-эмитента и поставить их в Windows / macOS.
На стороне компании эти грабли решаются один раз — регламентом проверки подписи и инструкцией для бухгалтерии и кадровой службы. В сервисе Добыто эти проверки автоматизированы: при загрузке любого .sgn в систему сразу выполняется верификация цепочки и проверка статуса сертификата через OCSP, без ручной возни.
Выводы: файл SGN электронной подписи
Файл SGN — это та же откреплённая электронная подпись, что и .sig или .p7s, просто с расширением, доставшимся в наследство от старых программ «Сигнатура» и стека ViPNet. Технически внутри лежит контейнер CMS / PKCS#7 с ГОСТ Р 34.10-2012 и хешом по ГОСТ Р 34.11-2012. Юридическая сила определяется не расширением, а типом сертификата (УКЭП, УНЭП или ПЭП) и наличием меток доверенного времени и ответов OCSP.
Открыть .sgn можно несколькими способами: онлайн-сервисом проверки за 2 минуты без установки программ, через КриптоАРМ ГОСТ 3 на рабочем месте, через КриптоПро CSP с надстройками, через КриптоАРМ Server для пакетной обработки или через бесплатный сервис Госуслуг. Для разовой проверки достаточно онлайн-формы, для регулярной работы в компании — имеет смысл встроить проверку в КЭДО, чтобы файлы подписи валидировались автоматически.
В 2026 году расширение .sgn ещё активно встречается в бухгалтерских архивах, региональных госпорталах и старых выгрузках из 1С. При работе с такими файлами всегда смотрите на три вещи: статус сертификата на дату подписания, наличие штампа времени и непрерывность цепочки сертификации до корневого УЦ. Без этих трёх параметров любой sgn-файл, даже технически корректный, рискует быть оспоренным в суде.
Часто задаваемые вопросы
Можно ли просто переименовать файл .sgn в .sig?
Чем .sgn отличается от .pdf с встроенной подписью?
Как открыть .sgn на телефоне?
Что делать, если в .sgn просрочен сертификат?
Какой размер у нормального файла .sgn?
Почему один и тот же контрагент шлёт то .sgn, то .sig?
Принимает ли ФНС файлы с расширением .sgn в 2026 году?
Можно ли проверить .sgn без интернета?
Что значит «файл .sgn недействителен»?
Можно ли создать .sgn в Госключе?
Что делать, если .sgn пришёл в архиве .zip?
Сколько хранятся файлы .sgn для документов длительного срока?
Сервис Добыто КЭДО подключает компанию к полному циклу работы с электронной подписью: от подключения сотрудников и выпуска ПЭП и УНЭП до автоматической проверки входящих файлов .sgn, .sig и .p7s в едином окне. Любой подписанный документ — кадровый, бухгалтерский, договорный — валидируется по цепочке сертификатов, штампам времени и OCSP-ответам без участия кадровика или бухгалтера.
За последние два года через Добыто прошло более 500 проектов внедрения КЭДО в компаниях от 30 до 12 000 сотрудников. Отдельным блоком сервис закрывает работу с откреплённой подписью: проверку, хранение, конвертацию между форматами CAdES и архивацию документов на сроки до 75 лет.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — в одном интерфейсе для любого кадрового и бухгалтерского процесса
- Автоматическая проверка входящих файлов .sgn, .sig и .p7s по цепочке сертификатов, CRL и OCSP без участия кадровика
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Хранение подписанных документов до 75 лет с обновлением архивной подписи CAdES-A при смене криптоалгоритмов
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному в суде и при проверке ГИТ
- Прозрачное ценообразование — фиксированная стоимость за рабочее место, без скрытых модулей в коммерческом предложении
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ