Файл, зашифрованный электронной подписью, без ключа открыть нельзя — но за этой короткой фразой прячется путаница, из-за которой люди теряют доступ к своим документам. Сразу разведём два разных действия: подписать файл и зашифровать файл. Подписанный документ читается кем угодно, зашифрованный — только владельцем нужного ключа. Разберём, почему так, что делать, если ключ потерян, и можно ли вообще как-то прочитать зашифрованный файл без закрытого ключа. Это часть большого материала про проверку электронной подписи, где собраны все способы работы с подписанными и зашифрованными файлами.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Подпись и шифрование — это разные вещи
Из-за формулировки «зашифрованный электронной подписью» каша в голове у половины пользователей. Электронная подпись и шифрование используют одну и ту же криптографию — пару из открытого и закрытого ключа — но решают разные задачи. Подпись подтверждает, кто подписал документ и что его не меняли после подписания. Шифрование скрывает содержимое файла от посторонних. Это не одно действие, а два.
Поэтому строго говоря «файл, зашифрованный ЭП» — выражение бытовое. Подпись ничего не прячет. Документ, который только подписали, открывается и читается без всякого ключа — нужна лишь программа, умеющая работать с подписью. А вот если файл именно зашифровали, тогда без ключа содержимое недоступно. Разница принципиальная, и от неё зависит, сможете вы открыть файл или нет.
В асимметричной криптографии работают два ключа. Открытый — публичный, его раздают всем, он шифрует. Закрытый — секретный, хранится только у владельца, он расшифровывает. Когда вам шифруют файл, используют ваш открытый ключ (точнее, сертификат). А расшифровать сможете только вы своим закрытым ключом. Эта же схема лежит в основе самой электронной подписи, защищённого соединения и банковских операций.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая ошибка — человек думает, что раз документ подписан ЭЦП, значит его никто посторонний не прочитает. Это не так. Подпись не закрывает содержимое, она его заверяет. Хотите спрятать текст от чужих глаз — нужно отдельно шифровать файл открытым ключом получателя. Это разные кнопки в любой крипте, не путайте.»
Можно ли открыть зашифрованный файл без закрытого ключа
Короткий ответ — нет. Если файл зашифрован на сертификат конкретного получателя, расшифровать его можно только закрытым ключом этого сертификата, и сертификат должен быть установлен на компьютере. Нет ключа — нет доступа к содержимому. Это не баг и не недоработка, это смысл шифрования. Если бы зашифрованный файл открывался без ключа, защита не стоила бы ничего.
Когда открываете зашифрованный файл без нужного ключа, крипто-приложение выдаёт ошибку вроде «Отсутствует личный сертификат для расшифрования». В почтовом клиенте КриптоАРМ это выглядит так: письмо помечено замочком, при открытии видно, что контент не расшифрован, вместо текста — вложение S/MIME, то есть зашифрованный блок. Ключа нет — содержимое закрыто. Появился ключ — замочек становится зелёным, текст доступен.
Файл шифруют на конкретных получателей. При шифровании указывают один или несколько сертификатов — кому открыть доступ. Сертификатом расшифрования становится первый из списка получателей, у которого на машине есть закрытый ключ. Если вашего сертификата нет в списке адресатов — расшифровать не получится, даже когда ключ у вас в руках. Вы просто не тот получатель.
Отсюда практический вывод. Зашифрованный файл нельзя «прочитать на любом компьютере». Открыть его выйдет лишь на той машине, где установлен ваш закрытый ключ — то есть сертификат с секретной частью. Поэтому при работе с шифрованием так важно не потерять закрытый ключ и резервировать носитель, на котором он лежит.
Чем зашифрованный файл отличается от подписанного
Документ, который просто подписали электронной подписью, прочитает любой, у кого есть доступ к файлу и программа для работы с подписью. Содержимое открыто. Подпись лежит рядом или внутри и отвечает только за одно — подтвердить авторство и неизменность. Без специальных крипто-программ, правда, содержимое подписанного файла тоже не всегда удаётся открыть нормально, но это вопрос совместимости, а не секретности.
Зашифрованный документ — другое дело. Его содержимое превращено в нечитаемый набор данных, и развернуть обратно может только обладатель закрытого ключа. Вот сравнение, чтобы зафиксировать разницу.
| Параметр | Подписанный файл | Зашифрованный файл |
|---|---|---|
| Что делает | Заверяет автора и неизменность | Скрывает содержимое |
| Кто прочитает | Любой, у кого есть файл и крипто-ПО | Только владелец закрытого ключа |
| Какой ключ нужен | Никакой для чтения, открытый — для проверки | Закрытый ключ получателя |
| На чьём ключе | Подписант использует свой | Открытый ключ получателя |
Бывает и объединённый вариант — файл сначала подписывают, потом шифруют. Так делают, когда нужна и юридическая значимость, и конфиденциальность. Например, готовую отчётность подписывают личным сертификатом, а затем шифруют сертификатом открытого ключа ведомства-получателя. Тогда документ и заверен, и закрыт от посторонних до момента, пока его не расшифрует адресат.
Мария Ж, судебный эксперт по трудовому праву:
«В кадровом документообороте чистое шифрование встречается реже, чем подпись — там главное юридическая значимость, а не секретность. Но когда передаёшь персональные данные сотрудников по почте или через мессенджер, лучше зашифровать файл открытым ключом получателя. Иначе по 152-ФЗ можно огрести вопросы. Подпись тут не спасёт, она содержимое не закрывает.»
Как расшифровать файл при наличии ключа: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Убедитесь, что ваш закрытый ключ установлен. Сертификат с секретной частью должен быть на компьютере или на подключённом токене (флешке). Если файл шифровали на ваш сертификат, а его на машине нет, расшифрования не будет.
- Шаг 2. Откройте крипто-приложение — КриптоАРМ, Контур Крипто или аналог. Установите крипто-провайдер (например, КриптоПро CSP), если он ещё не стоит.
- Шаг 3. Выберите «Файл» — «Расшифровать» (или пункт «Расшифровать и проверить подпись» через контекстное меню файла).
- Шаг 4. Добавьте зашифрованный файл, нажмите «Далее». При запросе пароля к контейнеру ключа введите его.
- Шаг 5. Завершите операцию — расшифрованный документ сохранится в той же папке, что и зашифрованный, под тем же именем без дополнительного расширения.
Что делать, если закрытый ключ потерян или недоступен
Здесь начинается неприятная часть. Если закрытый ключ утрачен — сломался токен, отформатировали диск, удалили контейнер — и резервной копии нет, зашифрованный на этот ключ файл прочитать уже нельзя. Никак. Это не вопрос денег или связей, это математика. Восстановить содержимое без ключа невозможно, потому что вся стойкость шифрования на том и построена.
Логику тут искать бессмысленно, её нужно просто принять: сильное шифрование не имеет «чёрного хода». Стойкость российских алгоритмов вроде Кузнечика и Магмы (ГОСТ 2015) и асимметрики на больших простых числах рассчитана так, что перебор ключа займёт время, несопоставимое с человеческой жизнью. Поэтому статьи в интернете про «расшифровать файл онлайн без ключа» работают только для слабых или устаревших схем — к ГОСТовой крипте и нормальной ЭП это не относится.
Что реально можно сделать. Если файл шифровали на несколько получателей — попросить расшифровать того из адресатов, у кого ключ цел. Если это ваш единственный ключ и он пропал — обратиться к отправителю, чтобы он зашифровал файл заново на ваш новый сертификат. Третьего пути нет. Поэтому закрытый ключ берегут как зеницу ока, держат резерв и не хранят единственную копию на одном носителе.
Если в компании документы и ключи разбросаны по разным машинам и токенам, а кто на чей сертификат что зашифровал — уже никто не помнит, риск потерять доступ к файлам растёт с каждым месяцем. В сервисе КЭДО Добыто документы, подписи и доступы хранятся централизованно, а работа с подписанием и шифрованием идёт через единый интерфейс — не приходится вручную сводить ключи, контейнеры и файлы по папкам.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Как прочитать файл, который только подписан, а не зашифрован
Частая ситуация: прислали файл с расширением sig рядом или PDF со штампом подписи, человек пугается и думает, что без ключа не откроет. Открывает спокойно. Подписанный документ не зашифрован, его содержимое доступно. Нужна лишь программа для работы с подписью, чтобы корректно отобразить файл и проверить саму подпись.
Если подпись отсоединённая (открепленная), рядом с документом лежит отдельный файл с расширением sig, sgn или p7s. Сам документ открывается как обычно, а файл подписи нужен только для проверки. Если подпись присоединённая, она встроена в документ — тогда для чтения может понадобиться крипто-приложение, которое распакует контейнер и покажет содержимое.
Проверить подпись подписанного файла можно без всякого закрытого ключа — для проверки используется открытый ключ, который и так публичен. На портале Госуслуг есть раздел проверки: для присоединённой подписи загружаете один файл, для открепленной — и документ, и файл подписи. В сервисе Добыто проверить подпись на документе можно онлайн, не устанавливая крипту на каждую машину.
Официальный сервис проверки электронной подписи доступен на портале Госуслуги — там проверяют и присоединённую, и открепленную подпись, а также машиночитаемые доверенности.
Образцы документов и инструкции по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец личной карточки работника | Скачать |
Типичные ошибки при работе с зашифрованными файлами
Первая ошибка — путать подпись и шифрование. Человек подписал файл и уверен, что закрыл его от чужих. Делают так от незнания, ради экономии действий. Цена ошибки: персональные данные или коммерческая тайна уходят по почте в открытом виде, любой перехвативший письмо их прочитает. По 152-ФЗ и 98-ФЗ это уже риск ответственности.
Вторая ошибка — хранить закрытый ключ в одном экземпляре без резерва. Токен один, копии нет. Делают так из удобства и опять же по незнанию рисков. Цена: при поломке носителя или утрате контейнера весь массив зашифрованных на этот ключ файлов превращается в нечитаемые данные навсегда. Восстановить нельзя.
Третья ошибка — шифровать на свой сертификат, а не на сертификат получателя. Отправитель шифрует файл собственным ключом и отправляет контрагенту, а тот открыть не может — у него нет нужного закрытого ключа. Делают так по невнимательности. Цена: документ приходится пересылать и шифровать заново, теряется время, а при сжатых сроках сделки это бьёт по делу.
Мария Ж, специалист по трудовому праву и КЭДО:
«В практике Добыто мы регулярно видим, как новички шифруют файл своим же сертификатом и удивляются, почему получатель не открывает. Запомните простое правило: шифруешь — бери открытый ключ того, кому отправляешь. Подписываешь — своим. Перепутал ключи — и контрагент сидит с замочком, а денежки и время идут.»
Стоимость работы с подписью и шифрованием в сервисе КЭДО Добыто
Проверка подписи и расшифрование файла при наличии ключа — бесплатные операции, лицензия для них не нужна. Платить приходится за инфраструктуру подписания, хранения и доступа, когда компания переводит кадровые процессы в электронный вид. Стоимость зависит от численности персонала, выбранного тарифа и набора видов подписи — ПЭП, УНЭП, УКЭП.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка |
| Бизнес — для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес * | Неограниченно сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив |
| Корпорация — для крупного бизнеса с расширенными требованиями и SLA | По запросу | Всё из Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API |
По тарифу Бизнес действует минимальная оплата — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от численности персонала и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться под вашу задачу.
Выводы: можно ли посмотреть зашифрованный ЭП файл без ключа
Зашифрованный файл без закрытого ключа открыть нельзя — содержимое расшифровывается только тем ключом, на сертификат которого файл шифровали, и сертификат должен быть установлен на машине. Подписанный файл, наоборот, читается без всякого ключа: подпись заверяет документ, но не скрывает его. Главное — не путать эти два действия. ЭП не закрывает содержимое, для конфиденциальности файл нужно отдельно шифровать открытым ключом получателя.
Если закрытый ключ утрачен и резервной копии нет, зашифрованный на него файл восстановить невозможно — это свойство стойкого шифрования, а не недоработка. Реальные пути только два: попросить расшифровать другого получателя, на чей сертификат файл тоже шифровали, либо запросить у отправителя повторное шифрование на новый сертификат. Поэтому закрытый ключ резервируют и не держат в единственном экземпляре.
Шифруйте на сертификат того, кому отправляете, а не на свой — частая причина, по которой получатель не может открыть файл. Для проверки подписи закрытый ключ не нужен вовсе, проверка идёт по открытому ключу через сервис на Госуслугах или в крипто-приложении. А для долгого хранения зашифрованных и подписанных документов учитывайте сроки действия сертификатов и переход на новые алгоритмы вроде Кузнечика и Магмы.
Часто задаваемые вопросы
Можно ли расшифровать файл, если потерял закрытый ключ?
Подписанный электронной подписью файл кто-то может прочитать без ключа?
Чем открытый ключ отличается от закрытого при шифровании?
Можно ли открыть зашифрованный файл на любом компьютере?
Почему получатель не может открыть файл, который я зашифровал?
Можно ли подобрать ключ к зашифрованному файлу перебором?
Что значит S/MIME-вложение в зашифрованном письме?
Можно ли зашифровать файл сразу на нескольких получателей?
Нужно ли шифровать кадровые документы с персональными данными?
Как расшифровать файл через КриптоАРМ?
Документ подписан и зашифрован одновременно — как открыть?
Можно ли расшифровать файл онлайн без установки программ?
Разобраться, чем подпись отличается от шифрования — половина дела. Вторая половина — выстроить работу так, чтобы документы, подписи и доступы не разбегались по машинам и токенам, и доступ к файлам не терялся при поломке носителя или увольнении сотрудника. В сервисе КЭДО Добыто документы, подписи и доказательства подписания хранятся централизованно, доступ к архиву сохраняется даже при расторжении договора с провайдером, а проверить подпись на документе можно онлайн.
За время работы мы подключили к КЭДО сотни компаний — от небольших команд до организаций с тысячами сотрудников в рознице и медицине. Подпись в Добыто работает со штатными сотрудниками, самозанятыми и ГПХ в одном сервисе, а юридическая значимость документов обеспечивается по 63-ФЗ и 377-ФЗ.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Мобильное приложение для подписания с телефона — без похода в отдел кадров