Расшифровать электронную подпись — значит прочитать то, что спрятано внутри файла подписи: кто подписал документ, каким сертификатом, когда и не меняли ли документ после подписания. Сам термин сбивает с толку, потому что подпись не «расшифровывают» в смысле дешифровки секретного текста — её разбирают на составные части и проверяют. Здесь я покажу, что лежит внутри файла .sig и .p7s, как открыть его и вытащить данные о подписанте, чем присоединённая подпись отличается от отсоединённой, и почему распечатка со штампом не равна электронному оригиналу. Тема входит в большой блок про электронную подпись и работу с файлами ЭЦП, где собраны инструкции по подписанию и проверке документов.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что значит «расшифровать электронную подпись»
Под расшифровкой подписи люди обычно имеют в виду две разные задачи, и их стоит развести сразу. Первая — прочитать содержимое файла подписи: достать оттуда сертификат подписанта, его ФИО, ИНН, СНИЛС, срок действия и удостоверяющий центр. Вторая — проверить, что подпись математически верна, документ не изменён, а сертификат действовал на момент подписания. Это не одно и то же. Первое — чтение реквизитов. Второе — криптографическая проверка.
Технически «расшифровкой» это называют по привычке. На деле файл подписи не зашифрован — он закодирован в бинарном формате ASN.1, и чтобы его прочитать, нужна программа, которая умеет этот формат разобрать. Подпись формируется так: документ прогоняется через хэш-функцию, получается короткое число, которое однозначно соответствует тексту. Это число подписывается закрытым ключом. Внутрь контейнера складывается сам результат подписания, сертификат с открытым ключом и служебные данные. Когда вы открываете такой файл «вслепую» в блокноте, видите набор нечитаемых символов — и отсюда ощущение, что это шифр.
Открытый ключ в составе подписи нужен не для секретности, а для проверки. Он позволяет любому получателю убедиться, что документ подписан именно тем ключом, которому соответствует этот сертификат, и что после подписания в файл ничего не дописали. Закрытый ключ остаётся у владельца и в файл подписи не попадает никогда. Если кто-то обещает «расшифровать» вашу подпись и достать закрытый ключ — это техническая безграмотность, достать его из .sig невозможно.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Половина обращений по расшифровке — это люди, которые открыли сик-файл в блокноте, увидели кашу из символов и решили, что подпись битая. Она не битая. Просто открытка, серт и хэш лежат в бинарном контейнере, который читается крипто-провайдером, а не текстовым редактором. Берёте нормальную программу — и вся информация на месте.»
Из чего состоит файл электронной подписи
Усиленная подпись состоит из трёх частей, и понимание этого снимает большинство вопросов. Первая часть — сертификат ключа проверки подписи. Это электронный документ, в котором записаны реквизиты владельца, его открытый ключ, наименование удостоверяющего центра, серийный номер и срок действия. Именно сертификат отвечает на вопрос «кто подписал». Вторая часть — открытый ключ, набор символов, доступный всем, через него проверяют подпись. Третья часть — результат криптографического преобразования над хэшем документа, та самая «подпись» в узком смысле.
Когда вы расшифровываете файл подписи, вас интересует прежде всего сертификат. В нём при просмотре видно: кому выдан (физлицу, организации или это обезличенный сертификат для информационной системы), кем выдан (Госуслуги для НЭП либо аккредитованный УЦ — Контур, Калуга и другие для УКЭП), а также период действия «с… по…». На отдельной вкладке лежит открытый ключ. У простой электронной подписи такого набора нет — там фиксируется только факт подписания и лицо, и проверить целостность документа через ПЭП нельзя.
Важный нюанс с обезличенными сертификатами. Операторы информационных систем в рамках 63-ФЗ получают в удостоверяющем центре ФНС специальный сертификат на юрлицо или ИП, привязанный к системе. Им автоматически подписываются счета, квитанции, запросы в госорганы — без участия конкретного человека. Если при расшифровке вы видите в поле «кому выдан» организацию без ФИО, скорее всего перед вами как раз такой обезличенный серт, и подписант здесь — информационная система, а не сотрудник.
Присоединённая и отсоединённая подпись: где искать содержимое
Формат файла подписи определяет, как именно вы будете доставать содержимое. Присоединённая подпись включается внутрь одного файла вместе с документом. Удобно тем, что ничего не потеряется — всё в одном контейнере. Минус: открыть исходный документ без специальной программы не получится, придётся сначала извлечь содержимое. Если следующий подписант ставит свою подпись, она накладывается поверх уже сформированного файла.
Отсоединённая подпись — это отдельный файл, который лежит рядом с документом. Чаще всего вы видите его как файл с расширением .sig. То есть после подписания PDF у вас будет два файла: сам PDF и договор.pdf.sig. Документ при этом открывается обычным способом, а вот для проверки в программу нужно загрузить и документ, и файл подписи вместе. Один без другого не проверяется.
Технически за этим стоят форматы PKCS#7 (он же CMS) и усовершенствованные форматы CAdES. Расширение .p7s — это присоединённый или отсоединённый CMS-контейнер, .sig — чаще отсоединённая подпись по ГОСТ. Когда вам присылают «битый» файл, который не открывается, в 9 случаях из 10 это отсоединённая подпись без исходного документа — проверять нечего, потому что вторая половина пары отсутствует.
Мария Ж, судебный эксперт по трудовому праву:
«В спорах постоянно всплывает путаница: работник принёс в суд PDF со штампиком подписи и думает, что это доказательство. А штампик — это плашечка, картинка, она юридически ничего не весит. Суд смотрит первичный документ и сам сик-файл подписи. Поэтому при выгрузке всегда тяните пару: документ плюс файл подписи, а не красивую распечатку.»
Как открыть файл подписи и прочитать данные о подписанте
Самый надёжный путь — крипто-провайдер с графической программой. КриптоАРМ ГОСТ, КриптоПро и аналоги показывают свойства документа, саму подпись, результат проверки и цепочку сертификации в одном окне. Вы загружаете файл, программа разбирает контейнер и выводит читаемую карточку: владелец, издатель, срок, статус проверки. Это работает и для присоединённой подписи, когда исходный документ зашит внутрь, и для отсоединённой, когда нужно подгрузить пару.
Если программы под рукой нет, выручают онлайн-сервисы проверки. Они работают по той же логике, что привычный сервис на Госуслугах: открываете веб-страницу, загружаете присоединённую подпись одним файлом либо исходный документ и файл подписи по отдельности, можно закинуть zip-архив с подписанными файлами. Нажимаете «проверить» и получаете статус подписи и информацию о подписанте. Дополнительно скачивается протокол проверки в виде PDF — это пригодится, если результат нужно кому-то показать.
В сервисе Добыто.Подпись расшифровка и проверка собраны в одном окне: загружаете .sig или .p7s, система разбирает контейнер, достаёт сертификат и показывает реквизиты подписанта вместе с вердиктом по подписи. Удобно, когда нужно быстро понять, кто и когда подписал входящий документ, без установки крипто-провайдера на каждую машину.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Как прочитать файл подписи и узнать подписанта: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите тип файла. Расширение .sig или .p7s — это файл подписи. Если рядом нет исходного документа, запросите его у отправителя: отсоединённую подпись без документа прочитать как подпись нельзя.
- Шаг 2. Выберите инструмент. Для разовой задачи — онлайн-сервис проверки. Для регулярной работы — крипто-провайдер с программой (КриптоАРМ ГОСТ, КриптоПро) на компьютере.
- Шаг 3. Загрузите данные. Присоединённую подпись грузите одним файлом. Отсоединённую — двумя: сначала исходный документ, затем файл подписи. Можно загрузить zip-архив с обоими файлами.
- Шаг 4. Откройте свойства сертификата. В карточке подписи смотрите поля «кому выдан» (ФИО, ИНН, СНИЛС подписанта), «кем выдан» (удостоверяющий центр) и срок действия «с… по…».
- Шаг 5. Проверьте цепочку и метку времени. Убедитесь, что цепочка сертификатов выстраивается до корневого УЦ, а если есть штамп времени — что подпись поставлена в действующий срок сертификата. Скачайте протокол проверки.
Цепочка сертификатов: почему подпись «не читается»
Иногда файл открывается, но программа ругается, что корневой сертификат не найден, и подпись висит без статуса. Дело в иерархии удостоверяющих центров. На вершине цепочки для УКЭП стоит Минцифры, ниже — аккредитованный УЦ, ещё ниже — сертификат конкретного лица. Для усиленной квалифицированной подписи эта цепочка доверенных сертификатов обычно ставится автоматически при выпуске — на токен или в систему. Поэтому УКЭП читается без танцев с бубном.
С усиленной неквалифицированной подписью сложнее. Корневые сертификаты по умолчанию не устанавливаются, потому что система не обязана доверять всем подряд. Если цепочка разорвана, подпись не проверится, пока вы вручную не установите недостающий сертификат как доверенный. Здесь совет: прежде чем кликать «установить доверие», прочитайте, что именно вы добавляете — после установки Windows начнёт доверять этому сертификату всегда.
Ещё одна частая причина — отсоединённая подпись пришла без исходного документа либо документ переименовали или изменили. Хэш в подписи перестаёт совпадать с хэшем файла, и проверка выдаёт, что документ изменён после подписания. Это не баг, а ровно та защита, ради которой усиленная подпись и существует: любое изменение байта в файле ломает совпадение хэшей.
Разобрать одну подпись руками — посильно. А когда на проверку приходят сотни входящих документов с разными типами подписи, отсоединёнными сик-файлами, штампами времени и обезличенными сертификатами, ручной разбор превращается в затык. Специалисты Добыто настраивают автоматическую проверку и расшифровку входящих файлов подписи, чтобы реквизиты подписанта и вердикт по подписи собирались без участия человека.
Штамп времени и срок действия сертификата
Сертификат действует ограниченный срок. Раньше выдавали на 15 месяцев, сейчас сроки бывают длиннее, вплоть до 12 лет, но всё равно конечны. Возникает вопрос: документ подписали год назад, сертификат уже истёк — как доказать, что на момент подписания он действовал? Тут на помощь приходит усовершенствованная подпись со штампом времени.
Штамп времени — это отдельная доверенная служба. В момент подписания она получает хэш документа и возвращает метку с точным временем. Дальше добавляется ответ службы актуальных статусов (OCSP) о том, что сертификат не был отозван на этот момент. Архивная метка объединяет всё это и заверяет поверх. Когда вы расшифровываете такую подпись, в её составе видны и штамп времени, и ссылки на сертификаты, и OCSP-ответы. Это и есть доказательства подлинности, которые позволяют проверить подпись даже после истечения срока сертификата.
Для архивного хранения — кадровых документов до 50 лет, финансовых документов с долгим сроком — используют именно усовершенствованные форматы. Без штампа времени у вас остаётся только опосредованные доказательства: логи входов, журналы действий пользователя. В суде это работает, но штамп времени снимает половину вопросов сразу.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Отметкам времени при внедрении почти никто не уделяет внимания, а потом в суде выясняется, что доказать момент подписания нечем. Мы закладываем ухаживание за подписью на этапе настройки — штамп времени, ОЦСП, архивную метку. Это копеечная плюшка от УЦ, но именно она спасает документ через три года, когда серт давно истёк.»
Образцы документов и инструкции по электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой инспекции | Скачать |
| Руководство пользователя по сервису Добыто.КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Примерная форма трудового договора по основному месту работы | Скачать |
| Правила обработки персональных данных | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец личной карточки работника | Скачать |
Расшифровка подписи на Госуслугах и в Госключе
На портале Работа в России кадровые документы сотрудник подписывает простой электронной подписью через подтверждённую учётную запись Госуслуг. После подписания на документе появляется штамп Федеральной службы по труду и занятости — он подтверждает, что документ был дополнительно заверен усиленной подписью. В этом штампе указан номер сертификата и срок действия. При выгрузке архива вы получаете и сам документ, и текстовый файл, и дополнительный файл, который подтверждает подписание на портале и неизменность документа.
Госключ выпускает усиленную неквалифицированную подпись с пометкой «выдана с использованием инфраструктуры электронного правительства». Такой УНЭП не требует отдельного соглашения между сторонами — ему можно доверять по умолчанию. Закрытая часть ключа хранится прямо на мобильном устройстве. Если удалить приложение, доступ к подписи теряется, и придётся выпускать новую — уже с другим сроком действия. При расшифровке документа, подписанного через Госключ, в составе подписи вы увидите именно этот УНЭП с указанием инфраструктуры электронного правительства.
Проверить подпись с любого из этих источников можно через государственный сервис проверки на портале Госуслуг — туда загружают документ и файл подписи и получают результат. Для НЭП от Госключа штампов времени пока нет, поэтому момент подписания подтверждают логами действий в приложении.
Стоимость работы с электронной подписью в КЭДО в 2026 году
Цена зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — проверка и хранение подписей, электронный архив, интеграция с 1С. Расшифровка и проверка входящих подписей в составе сервиса КЭДО отдельно не тарифицируется, она входит в работу с документами. Ниже основные тарифы Добыто.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП |
| Бизнес — для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес | ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив |
| Корпорация — для крупного бизнеса с расширенными требованиями и SLA | По запросу | Выделенный сервер, SLA 99.9%, API |
Минимальная оплата по тарифу Бизнес — за 50 сотрудников, 30 000 ₽ в год. Итоговая сумма зависит от численности штата, выбранного тарифа и набора модулей — актуальные тарифы сервиса Добыто помогут рассчитать стоимость под вашу компанию точнее.
Типичные ошибки при чтении файла подписи
Первая ошибка — открывать .sig в текстовом редакторе и делать выводы по виду символов. Бинарный контейнер так не читается, нужна программа-разборщик. Цена ошибки — потерянное время и ложная паника, что подпись «сломана», хотя с ней всё в порядке.
Вторая — терять пару при отсоединённой подписи. Когда документ переименовали, переслали без .sig или открыли исходник в редакторе и пересохранили — хэш меняется, и проверка показывает изменение документа. Так делают по невнимательности, считая, что подпись и документ независимы. Цена — документ перестаёт проходить проверку, и в споре он будет считаться изменённым после подписания.
Третья — принимать штамп подписи в PDF за саму подпись. Графический штампик ставят для наглядности, юридической силы у него нет. Так делают, потому что распечатка выглядит убедительно. Цена ошибки самая дорогая: распечатка со штампом в суде не подтверждает подпись, нужен электронный оригинал и файл подписи, которые можно проверить.
Мария Ж, HR-эксперт с 13-летним стажем:
«Был кейс: грузчик думал, что подписывает заявление на больничный, а по факту подписал увольнение по собственному. Суд поднял первичку и файлы подписи, проверил авторство — и восстановил человека. Мораль простая: читайте, что подписываете, и храните не штампики, а сами сик-файлы. Штамп — это синенький квадратик для красоты, не больше.»
Выводы: как расшифровать подпись и прочитать файл
Расшифровать электронную подпись — это разобрать файл .sig или .p7s на части и прочитать сертификат подписанта: ФИО, ИНН, СНИЛС, удостоверяющий центр и срок действия. Закрытый ключ в файл подписи не попадает, достать его оттуда нельзя. Для чтения используют крипто-провайдер с программой либо онлайн-сервис проверки, который работает по той же логике, что сервис на Госуслугах. Присоединённую подпись грузят одним файлом, отсоединённую — вместе с исходным документом.
Проверяйте три вещи: данные подписанта в сертификате, целостность документа через совпадение хэшей и срок действия сертификата на момент подписания. Если цепочка сертификатов разорвана, доустановите корневой сертификат, предварительно прочитав, что добавляете. Для документов с долгим сроком хранения закладывайте штамп времени и OCSP-ответы — без них доказать момент подписания после истечения сертификата будет сложнее. И помните, что штамп подписи в PDF юридически ничего не значит: храните электронный оригинал и сам файл подписи.
Тренд понятен: подписей становится больше, форматы усложняются, ручной разбор перестаёт справляться. Бизнес уходит в автоматическую проверку входящих файлов подписи, где сертификат, целостность и метка времени проверяются без участия человека. К этому стоит готовиться уже сейчас, выстраивая регламент хранения и проверки подписанных документов.
Часто задаваемые вопросы
Можно ли расшифровать электронную подпись и достать закрытый ключ?
Чем открыть файл .sig, чтобы прочитать содержимое?
Почему файл подписи не открывается и показывает ошибку?
Какие данные о подписанте видны при расшифровке подписи?
В чём разница между присоединённой и отсоединённой подписью?
Что такое форматы PKCS#7, CMS и CAdES в файле подписи?
Можно ли проверить подпись, если истёк срок действия сертификата?
Имеет ли юридическую силу штамп подписи на PDF?
Как прочитать подпись, поставленную через Госключ?
Что значит «документ изменён после подписания»?
Что такое обезличенный сертификат и как его распознать при расшифровке?
Можно ли расшифровать подпись онлайн без установки программ?
Вы разобрались, как прочитать файл подписи, отличить присоединённую от отсоединённой и проверить, что документ не меняли. На потоке входящих документов всё это удобнее делегировать сервису. Добыто работает с проверкой и расшифровкой подписей внутри КЭДО: система сама разбирает контейнеры, достаёт реквизиты подписанта, фиксирует метки времени и складывает результат в электронный архив.
За время работы сервиса мы подключили сотни компаний и выстроили проверку подписи так, чтобы кадровик не разбирал каждый .sig руками, а видел готовый вердикт. Вот что закрывает Добыто по теме подписей:
- Поддержка трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Автоматическая проверка входящих файлов подписи с разбором сертификата и статуса
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение подписанных документов в электронном архиве до 50 лет с доступом после расторжения договора
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Мобильное приложение для подписания документов с телефона — без похода в отдел кадров
- Готовый коннектор с 1С — отправка на подписание одной кнопкой из привычного интерфейса