Открепленная усиленная квалифицированная электронная подпись в формате SIG — это файл, который формируется отдельно от подписываемого документа и содержит криптографический слепок, подтверждающий авторство и целостность исходных данных. В отличие от присоединённой подписи, которая встраивается непосредственно в документ и увеличивает его размер, открепленная УКЭП сохраняется в виде отдельного файла с расширением .sig, .sgn или .p7s и не изменяет содержимое оригинала.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое открепленная электронная подпись в формате SIG
Открепленная (отсоединённая) электронная подпись — это результат криптографического преобразования хеш-значения документа с использованием закрытого ключа владельца сертификата. Согласно Федеральному закону № 63-ФЗ «Об электронной подписи», усиленная квалифицированная электронная подпись (УКЭП) обладает максимальной юридической силой и приравнивается к собственноручной подписи с печатью организации.
Файл подписи в формате SIG представляет собой контейнер стандарта CAdES (CMS Advanced Electronic Signatures), который содержит несколько ключевых элементов: хеш подписанного документа, сведения о сертификате подписанта, временную метку момента подписания и цепочку доверия удостоверяющего центра. При этом сам исходный документ остаётся неизменным — получатель видит оригинальный файл и рядом с ним файл подписи.
Отличия открепленной подписи от присоединённой
Принципиальная разница между двумя форматами заключается в способе хранения подписи относительно документа. Присоединённая подпись включается в тело файла, формируя единый контейнер — например, файл .pdf.sig будет содержать и документ, и подпись одновременно. Открепленная подпись создаёт отдельный файл: если вы подписываете договор.pdf, рядом появится договор.pdf.sig.
Открепленный формат обладает рядом преимуществ для практического использования. Исходный документ сохраняет читаемость без специального программного обеспечения — любой пользователь может открыть PDF или DOCX стандартными средствами. Кроме того, один документ можно подписать несколькими лицами, каждый из которых создаст свой файл подписи, без необходимости последовательного встраивания подписей в один контейнер.
Где применяется открепленная УКЭП в формате SIG
Открепленная квалифицированная подпись обязательна при подаче документов через портал Госуслуг, в системах электронных торгов (ЕИС, коммерческие площадки), при отправке отчётности через операторов ЭДО и при взаимодействии с арбитражными судами через систему «Мой Арбитр». Также этот формат используется в кадровом электронном документообороте (КЭДО) при подписании приказов, трудовых договоров и иных кадровых документов усиленной квалифицированной подписью работодателя.
Мария Ж., эксперт по электронному документообороту :
«Открепленная УКЭП — оптимальный вариант для организаций, которые работают с большим потоком документов. Файл подписи не мешает просмотру оригинала, а при необходимости проверки достаточно загрузить оба файла в любой сервис верификации. Для КЭДО это особенно удобно — кадровик видит документ в привычном формате, а подпись хранится отдельно в архиве.»
Требования для создания открепленной УКЭП
Для формирования открепленной усиленной квалифицированной подписи необходимо выполнить несколько условий, предусмотренных законодательством и техническими стандартами. Без соблюдения любого из этих требований подпись не получит статуса квалифицированной и не будет иметь юридической силы.
Действующий квалифицированный сертификат
Сертификат ключа проверки электронной подписи должен быть выпущен аккредитованным удостоверяющим центром (УЦ), включённым в реестр Минцифры России. С 2022 года сертификаты для юридических лиц и индивидуальных предпринимателей выдаёт ФНС России, а для физических лиц — коммерческие аккредитованные УЦ. Сертификат содержит открытый ключ, сведения о владельце, серийный номер и срок действия (обычно 12 или 15 месяцев).
Криптопровайдер КриптоПро CSP
Для работы с российскими криптографическими алгоритмами ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 требуется сертифицированный криптопровайдер. КриптоПро CSP версии 5.0 R2 или R3 — наиболее распространённое решение, поддерживающее все актуальные стандарты и совместимое с большинством программ для работы с ЭП. Лицензия на одно рабочее место стоит от 2 700 рублей для бессрочной версии.
Носитель ключевой информации
Закрытый ключ УКЭП хранится на защищённом аппаратном носителе — USB-токене. Наиболее распространены устройства линейки Рутокен (модели ЭЦП 2.0, CP 2.0, CP 3.0) и JaCarta (LT, SE). Для работы с неизвлекаемыми ключами в формате PKCS#11 используются функциональные ключевые носители (ФКН), которые выполняют криптографические операции внутри токена, что обеспечивает максимальную защиту ключевого материала.
Как создать открепленную УКЭП в формате SIG
Создание открепленной подписи выполняется через специализированное программное обеспечение, которое обращается к криптопровайдеру и использует закрытый ключ на токене для формирования криптографического преобразования. Рассмотрим пошаговый процесс в трёх наиболее популярных программах.
Документы и нормативные акты
Для работы с открепленной УКЭП в формате SIG используйте следующие нормативные документы и инструкции:
- ФЗ № 63-ФЗ «Об электронной подписи» — основной закон, регулирующий применение ЭП в России
- ФЗ № 63-ФЗ «Об электронной подписи» (RTF) — полная редакция с изменениями
- Приказ ФСБ № 795 — требования к форме квалифицированного сертификата
- Приказ ФСБ № 117 — требования о защите информации
- Приказ Минцифры № 584 — требования к порядку реализации функций УЦ
- Криптографическая защита информации — стандарт процессов формирования и проверки ЭП
- Памятка по настройке КЭП для налоговой — пошаговая инструкция настройки
- Инструкция по установке ЭЦП на компьютер — руководство для начинающих
- Ответы на вопросы об установке ЭЦП — FAQ по настройке электронной подписи
- Руководство пользователя Добыто КЭДО — инструкция по работе с сервисом
Создание подписи в КриптоАРМ ГОСТ 3
КриптоАРМ ГОСТ — специализированная программа для работы с электронными подписями, разработанная компанией «Цифровые технологии». Для создания открепленной УКЭП выполните следующие действия:
Запустите программу и перейдите в раздел «Подпись». Нажмите кнопку «Подписать» и выберите файл, который требуется подписать. В настройках подписания обязательно установите параметр «Создать отсоединённую подпись» — именно он определяет формат SIG с отдельным файлом. Выберите сертификат подписанта из списка установленных в системе. При необходимости добавьте штамп времени (TSP) от доверенного сервера — это зафиксирует точный момент подписания. Нажмите «Подписать» и дождитесь завершения операции. Рядом с исходным файлом появится файл с расширением .sig.
Создание подписи через КриптоПро CSP
КриптоПро CSP позволяет создавать открепленные подписи через командную строку с использованием утилиты cryptcp. Этот способ подходит для автоматизации и пакетной обработки документов. Команда для создания открепленной подписи выглядит следующим образом: cryptcp -signf -detached -cert -der -strict -thumbprint [отпечаток_сертификата] [имя_файла]. Параметр -detached указывает на формирование отсоединённой подписи, а результат сохраняется в файл с расширением .sgn.
Для пользователей, предпочитающих графический интерфейс, доступен плагин КриптоПро для браузера, а также тестовая страница на сайте КриптоПро, где можно проверить работоспособность подписи перед отправкой документов контрагенту или в государственный орган.
Устали вручную проверять подписи на каждом кадровом документе? В сервисе Добыто верификация встроена в рабочий процесс: система сама проверяет серт при каждом открытии документа и хранит лог для ГИТ и суда. Попробуйте бесплатный период.
Создание подписи в Контур Крипто (онлайн)
Контур Крипто — бесплатный онлайн-сервис от компании «СКБ Контур», позволяющий создавать открепленные подписи без установки дополнительного ПО (кроме КриптоПро CSP и плагина для браузера). Перейдите на страницу сервиса, загрузите документ, выберите сертификат и нажмите «Подписать». Сервис автоматически сформирует файл .sig и предложит его скачать.
Мария Ж., эксперт по электронному документообороту:
«При создании открепленной УКЭП рекомендую всегда добавлять штамп времени — это позволяет доказать момент подписания даже после истечения срока действия сертификата. Формат CAdES-T или CAdES-XLT обеспечивает долгосрочную валидность подписи и снимает вопросы при судебных разбирательствах.»
Как проверить открепленную УКЭП в формате SIG
Проверка электронной подписи — обязательная процедура при получении документов, подписанных контрагентами, государственными органами или сотрудниками. Проверка подтверждает три ключевых факта: документ подписан именно тем лицом, чей сертификат указан; содержимое документа не изменялось после подписания; сертификат подписанта был действителен на момент создания подписи.
Проверьте электронную подпись онлайн
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Проверка через портал Госуслуг
Портал Госуслуг предоставляет бесплатный сервис проверки электронных подписей по адресу gosuslugi.ru/pep. Для проверки открепленной подписи загрузите исходный документ и файл .sig. Система автоматически определит тип подписи, проверит цепочку сертификатов и выдаст результат — действительна подпись или нет. Сервис также покажет данные владельца сертификата, наименование УЦ и срок действия.
Проверка в КриптоАРМ ГОСТ
В программе КриптоАРМ ГОСТ перейдите в раздел «Проверка» и выберите файл подписи .sig. Программа автоматически найдёт исходный документ, если он находится в той же папке. Если файлы расположены в разных директориях, укажите путь к оригиналу вручную. После анализа программа отобразит статус проверки: действительность подписи, информацию о подписанте, дату подписания и наличие штампа времени.
Проверка через командную строку КриптоПро
Для проверки открепленной подписи в командной строке используется утилита cryptcp с параметром -verify: cryptcp -verify -detached [имя_файла] [имя_файла.sig]. Утилита проверит целостность документа, валидность сертификата и цепочку доверия. Результат отображается в консоли — статус верификации и данные подписанта. Этот метод удобен для автоматизации массовой проверки документов через скрипты.
Мария Ж., эксперт по электронному документообороту:
«Если при проверке подпись признаётся недействительной, не спешите отклонять документ. Частая причина — отсутствие в хранилище корневого сертификата удостоверяющего центра. Установите сертификат головного УЦ Минцифры и промежуточные сертификаты УЦ подписанта, после чего повторите проверку.»
Пошаговая инструкция: создание и проверка открепленной УКЭП
Шаг 1. Установите КриптоПро CSP. Скачайте дистрибутив КриптоПро CSP 5.0 R2 или R3 с официального сайта cryptopro.ru. Установите программу, следуя инструкциям мастера установки. После завершения перезагрузите компьютер.
Шаг 2. Подключите токен и установите сертификат. Вставьте USB-токен с ключом УКЭП в порт компьютера. Откройте КриптоПро CSP, перейдите на вкладку «Сервис» и нажмите «Просмотреть сертификаты в контейнере». Выберите контейнер ключа и установите сертификат в хранилище «Личные».
Шаг 3. Установите КриптоАРМ ГОСТ. Скачайте программу КриптоАРМ ГОСТ 3 с сайта cryptoarm.ru. Установите приложение и активируйте лицензию (бесплатный период — 14 дней, далее от 1 600 рублей за лицензию).
Шаг 4. Создайте открепленную подпись. Откройте КриптоАРМ ГОСТ, выберите «Подписать». Добавьте файл для подписания. В параметрах выберите «Отсоединённая подпись», формат CAdES-BES или CAdES-T (с меткой времени). Укажите сертификат и нажмите «Подписать». Файл .sig появится рядом с оригиналом.
Шаг 5. Проверьте созданную подпись. Перейдите в раздел «Проверка» в КриптоАРМ ГОСТ или откройте портал Госуслуг (gosuslugi.ru/pep). Загрузите файл .sig и исходный документ. Дождитесь результата — статус «Подпись действительна» подтверждает корректное формирование УКЭП.
Шаг 6. Сохраните файлы для передачи. Поместите исходный документ и файл .sig в одну папку. При передаче контрагенту или загрузке на портал всегда отправляйте оба файла — без исходного документа проверить открепленную подпись невозможно.
Форматы и расширения файлов открепленной подписи
Файлы открепленной электронной подписи могут иметь различные расширения в зависимости от программного обеспечения и стандарта формирования. Все они содержат одну и ту же криптографическую информацию, но различаются именованием.
Расширение .sig — наиболее распространённое обозначение, используемое КриптоАРМ ГОСТ и большинством государственных порталов. Расширение .sgn применяется утилитой cryptcp из состава КриптоПро CSP при работе через командную строку. Расширение .p7s — стандартное обозначение формата PKCS#7/CMS, которое используется в международной практике и распознаётся зарубежным программным обеспечением. Независимо от расширения, внутренняя структура файла подчиняется единому стандарту CAdES.
Уровни формата CAdES
Стандарт CAdES определяет несколько уровней подписи, каждый из которых добавляет дополнительные гарантии. CAdES-BES — базовый уровень, содержащий только подпись и сертификат. CAdES-T дополняется штампом времени от доверенного TSP-сервера. CAdES-XLT включает полную цепочку сертификатов и ответы OCSP-сервера о статусе отзыва, что обеспечивает проверяемость подписи даже после прекращения работы удостоверяющего центра. Для долгосрочного хранения документов рекомендуется использовать формат CAdES-XLT.
Мария Ж., эксперт по электронному документообороту:
«В практике КЭДО мы рекомендуем формат CAdES-T как минимальный стандарт для подписания кадровых документов. Штамп времени особенно важен для приказов об увольнении и дисциплинарных взысканий — он однозначно фиксирует дату подписания, исключая споры о сроках ознакомления работника.»
Типичные ошибки при работе с открепленной подписью
При создании и проверке открепленной УКЭП пользователи сталкиваются с рядом распространённых проблем. Понимание причин этих ошибок позволяет быстро устранить их без обращения в техническую поддержку.
Ошибка «Подпись недействительна» при проверке
Наиболее частая причина — изменение исходного документа после подписания. Даже минимальное изменение (лишний пробел, обновление метаданных файла) делает подпись недействительной, поскольку хеш документа перестаёт совпадать с хешем, зафиксированным в файле .sig. Вторая причина — отсутствие в системе корневого сертификата удостоверяющего центра. Установите сертификат головного УЦ Минцифры России и промежуточные сертификаты из цепочки доверия.
Ошибка «Сертификат не найден»
Возникает при попытке создания подписи, когда система не видит сертификат на токене. Убедитесь, что токен подключён, драйверы установлены корректно, а КриптоПро CSP определяет контейнер закрытого ключа. Перейдите в КриптоПро CSP → Сервис → «Протестировать контейнер закрытого ключа» для диагностики.
Файл .sig не формируется
Проблема может быть связана с истёкшей лицензией КриптоАРМ ГОСТ или КриптоПро CSP. Проверьте статус лицензий в настройках программ. Также убедитесь, что срок действия сертификата не истёк — подписание с просроченным сертификатом невозможно по требованиям 63-ФЗ.
Открепленная УКЭП в кадровом электронном документообороте
В системах КЭДО открепленная квалифицированная подпись применяется для подписания документов, которые по законодательству требуют УКЭП работодателя. Согласно статье 22.3 Трудового кодекса РФ, работодатель обязан использовать УКЭП при подписании трудовых договоров, приказов о приёме и увольнении, соглашений о материальной ответственности и ряда других кадровых документов в электронном формате.
Сервис Добыто КЭДО автоматизирует процесс подписания: система формирует открепленную УКЭП к каждому документу и сохраняет пару «документ + подпись» в защищённом электронном архиве. При необходимости сотрудник или контролирующий орган может запросить оригинал документа вместе с файлом .sig для независимой проверки подлинности.
Мария Ж., эксперт по электронному документообороту:
«В Добыто КЭДО каждый подписанный документ автоматически сопровождается открепленной УКЭП — работодателю не нужно вручную формировать подписи через КриптоАРМ. Система интегрирована с КриптоПро CSP и использует сертификат организации для пакетного подписания. При проверке ГИТ достаточно выгрузить документ с подписью из архива.»
Стоимость инструментов для работы с УКЭП
Для создания и проверки открепленной УКЭП потребуются лицензии на программное обеспечение. Ниже приведены ориентировочные цены на 2026 год:
- КриптоПро CSP 5.0 — от 2 700 ₽ (бессрочная лицензия на 1 рабочее место) или от 1 350 ₽ (годовая)
- КриптоАРМ ГОСТ 3 — от 1 600 ₽ (лицензия), 14 дней бесплатно
- Рутокен ЭЦП 2.0 — от 1 500 ₽ за устройство
- Контур Крипто — бесплатно (онлайн-сервис)
- Проверка на Госуслугах — бесплатно
Для организаций, которые внедряют кадровый электронный документооборот с поддержкой УКЭП, сервис Добыто КЭДО предлагает комплексное решение:
| Тариф | Стоимость | Особенности |
|---|---|---|
| Старт | от 30 ₽ за сотрудника/мес | До 25 сотрудников, ПЭП и УНЭП |
| Бизнес | от 50 ₽ за сотрудника/мес | Неограниченно сотрудников, ПЭП + УНЭП + УКЭП, интеграция с 1С |
| Корпорация | По запросу | Выделенный сервер, SLA 99.9%, API и кастомные интеграции |
*Минимальная оплата тарифа «Бизнес» — 50 сотрудников за 30 000 ₽ в год.
Заключение
Открепленная усиленная квалифицированная электронная подпись в формате SIG — надёжный и удобный способ подтверждения подлинности электронных документов. Формирование отдельного файла подписи сохраняет читаемость оригинала, позволяет независимо проверять целостность данных и обеспечивает соответствие требованиям 63-ФЗ. Для создания подписи используйте КриптоАРМ ГОСТ 3 или утилиту cryptcp из КриптоПро CSP, а для проверки — портал Госуслуг, Контур Крипто или КриптоАРМ. При работе с кадровыми документами в системе КЭДО формирование открепленной УКЭП может быть полностью автоматизировано.
Часто задаваемые вопросы
Что такое открепленная электронная подпись в формате SIG?
Открепленная (отсоединённая) электронная подпись в формате SIG — это отдельный файл, содержащий криптографическую информацию о подписании документа. Он формируется отдельно от исходного файла и подтверждает его целостность и авторство подписанта. Для проверки подписи необходимы оба файла — оригинал документа и файл .sig.
Чем отличается .sig от .p7s и .sgn?
Все три расширения (.sig, .p7s, .sgn) обозначают файл электронной подписи одного и того же стандарта CAdES/PKCS#7. Различие только в именовании: .sig используется КриптоАРМ и госпорталами, .sgn — утилитой КриптоПро cryptcp, .p7s — международным ПО. Содержимое файлов идентично.
Какие программы нужны для создания открепленной УКЭП?
Для создания открепленной УКЭП необходимы: криптопровайдер КриптоПро CSP 5.0 (обеспечивает работу с ГОСТовыми алгоритмами), программа для подписания (КриптоАРМ ГОСТ 3, Контур Крипто или утилита cryptcp), действующий квалифицированный сертификат и USB-токен с закрытым ключом (Рутокен или JaCarta).
Можно ли проверить открепленную подпись бесплатно?
Да, проверить открепленную УКЭП можно бесплатно на портале Госуслуг (gosuslugi.ru/pep) или через онлайн-сервис Контур Крипто. Также бесплатная проверка доступна на сайте КриптоПро. Для проверки загрузите исходный документ и файл .sig — сервис определит действительность подписи и покажет данные подписанта.
Почему при проверке подпись показывает «недействительна»?
Основные причины: документ был изменён после подписания (даже минимальное изменение нарушает хеш), не установлены корневые сертификаты УЦ в хранилище доверенных центров, истёк срок действия сертификата подписанта на момент проверки без штампа времени, или загружен неправильный файл подписи (не соответствующий данному документу).
Обязательно ли добавлять штамп времени при подписании?
Законодательство не обязывает добавлять штамп времени, однако он настоятельно рекомендуется. Штамп времени (TSP) фиксирует точный момент подписания от доверенного сервера и позволяет подтвердить, что подпись была создана в период действия сертификата. Без штампа после истечения срока сертификата подтвердить валидность подписи на момент создания становится затруднительно.
Как передать документ с открепленной подписью контрагенту?
При передаче документа с открепленной УКЭП необходимо отправить оба файла: исходный документ и файл подписи .sig. Рекомендуется поместить их в одну папку или архив. Без исходного документа проверить открепленную подпись невозможно — файл .sig сам по себе не содержит подписанных данных, только их криптографический слепок.
Можно ли подписать один документ несколькими открепленными УКЭП?
Да, это одно из преимуществ открепленного формата. Каждый подписант создаёт свой файл .sig для одного и того же документа. В результате рядом с документом будет несколько файлов подписей (например, договор.pdf.sig от первой стороны и договор.pdf_2.sig от второй). Каждую подпись можно проверить независимо.
Какой формат CAdES выбрать для открепленной подписи?
Для текущего документооборота достаточно CAdES-BES (базовый формат). Для документов, которые нужно хранить длительное время, рекомендуется CAdES-T (с меткой времени) или CAdES-XLT (с полной цепочкой сертификатов). Государственные порталы и электронные площадки обычно принимают CAdES-BES, но для судебных разбирательств предпочтительнее CAdES-T.
Как открепленная УКЭП используется в КЭДО?
В кадровом электронном документообороте работодатель подписывает трудовые договоры, приказы и иные кадровые документы открепленной УКЭП. Система КЭДО автоматически формирует файл .sig при подписании и сохраняет пару «документ + подпись» в электронном архиве. При проверке ГИТ или запросе работника документ выгружается вместе с файлом подписи для независимой верификации.
Сколько стоит создание открепленной УКЭП?
Стоимость складывается из нескольких компонентов: квалифицированный сертификат (от 1 500 ₽/год для физлиц, бесплатно в ФНС для ИП и юрлиц), КриптоПро CSP (от 2 700 ₽ бессрочно), КриптоАРМ ГОСТ (от 1 600 ₽) и USB-токен (от 1 500 ₽). Проверка подписи через Госуслуги и Контур Крипто бесплатна.
Что делать, если потерял файл .sig?
Если файл подписи утерян, его невозможно восстановить из исходного документа. Необходимо повторно подписать документ действующим сертификатом. Если срок сертификата истёк, потребуется получить новый сертификат и подписать документ заново. Для предотвращения таких ситуаций рекомендуется использовать системы КЭДО с электронным архивом, где подписи хранятся автоматически.
Переход на КЭДО с правильно настроенной верификацией подписей — это защита от рисков при проверках ГИТ и трудовых спорах. Сервис Добыто автоматически проверяет подписи, хранит лог-файлы и формирует документальную базу для любых контрольных мероприятий.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ
- Готовый коннектор с 1С (ЗУП, КА, ERP)
- Хранение документов до 50 лет
- Защищённые каналы связи, шифрование данных, 152-ФЗ
- Мобильное приложение для подписания с телефона