Открепленная УКЭП в SIG: как создать и проверить файл подписи

Открепленная усиленная квалифицированная электронная подпись в формате SIG — это парный к документу файл .sig с криптографическим контейнером CMS/CAdES, сформированный по ГОСТ Р 34.10-2012 и подтверждающий авторство подписанта так же, как собственноручная подпись по ст. 6 63-ФЗ. Без понимания, как корректно сделать такой файл и как его потом проверить, документ просто не примут в арбитраж, ЕИС или у контрагента — откажут на формальном основании. Расскажу, какой комплект программ нужен, как создать .sig через КриптоАРМ или связку КриптоПро + плагин для браузера, что должно лежать внутри корректной открепленной подписи и как проверить её самостоятельно или через онлайн-сервис. Это часть большого материала про проверку электронной подписи на подлинность документа, где собраны все способы и сервисы верификации .sig.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что такое открепленная УКЭП в формате SIG

Открепленная (она же отсоединённая, detached) УКЭП — формат, при котором подпись складывается в отдельный файл .sig рядом с документом. Сам документ — dogovor.pdf, prikaz.docx, akt.xml — остаётся неизменным. Парный файл получает имя dogovor.pdf.sig и хранит криптографический отпечаток документа, сертификат подписанта и метаданные о моменте подписания.

Внутри .sig — бинарный контейнер CMS Signed Data по стандарту RFC 5652, в расширенной версии CAdES. В нём четыре обязательных блока. Первый — хеш-сумма документа по ГОСТ Р 34.11-2012 (функция «стрибог»). Второй — сертификат подписанта целиком, в base64 кодировке. Третий — сама подпись, рассчитанная по ГОСТ Р 34.10-2012 закрытым ключом подписанта. Четвёртый — служебные атрибуты: алгоритмы, версия CMS, иногда штамп времени и OCSP-ответ. Размер контейнера — 4-8 КБ. Открыть .sig в Блокноте бесполезно: видна только мешанина символов.

Слово «усиленная квалифицированная» в названии означает, что подпись прошла три условия по ст. 17 63-ФЗ: сертификат выпущен аккредитованным удостоверяющим центром, средство ЭП сертифицировано ФСБ России (приказ ФСБ № 796), сертификат соответствует приказу ФСБ № 795. Только при выполнении всех трёх условий подпись равнозначна собственноручной автоматически — без дополнительного соглашения сторон.

Мария Ж, специалист по цифровой подписи и КЭДО:
«С УКЭП в открепленном виде есть характерный момент: люди приходят и говорят «я же подписал, а они всё равно отказали». А отказали потому, что прислали один документ без парного .sig, или наоборот — .sig без оригинала. Парность — не формальность, это математика. Подпись считалась от конкретных байтов конкретного файла. Поменяли в документе хоть запятую — проверка падает. Прислали другой PDF с тем же содержанием, но пересохранённый — тоже падает. Хеш не сходится.»

Проверить открепленную подпись онлайн — сервис Добыто

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Перетащите или выберите файл

Файл подписи

Перетащите или выберите файл

Нажимая кнопку «Проверить подпись», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Когда нужна именно УКЭП, а не НЭП или ПЭП

Закон 63-ФЗ выделяет три уровня подписи. ПЭП — простая, обычно одноразовый код или связка логин-пароль. УНЭП — усиленная неквалифицированная, делается криптографически, но без участия аккредитованного УЦ. УКЭП — усиленная квалифицированная, верхний уровень.

УКЭП обязательна для следующих сценариев:

Подача документов в арбитражный суд через систему «Мой Арбитр» и в суды общей юрисдикции через ГАС «Правосудие». Иски, апелляционные жалобы, ходатайства принимаются только с открепленной .sig по ГОСТ.
Сдача отчётности в ФНС от имени организации или ИП. Отчёт формируется в программе «Налогоплательщик ЮЛ», подписывается УКЭП руководителя, упаковывается в ZIP-контейнер и отправляется через service.nalog.ru.
Участие в госзакупках в ЕИС (zakupki.gov.ru) и на восьми федеральных торговых площадках. Без УКЭП заявку не зарегистрируют.
Сделки с недвижимостью через Росреестр в электронной форме — регистрация перехода права, ипотеки, залога.
Электронный документооборот с контрагентами по 169-ФЗ — счета-фактуры, УПД, акты сверки. Отдельные операторы (Диадок, СБИС, Такском) принимают и УНЭП, но налоговая для счетов-фактур требует именно УКЭП.
Сделки с особым режимом: переуступка прав требования, корпоративные действия, регистрация юрлица, изменения в ЕГРЮЛ.

Для внутреннего кадрового документооборота закон допускает УНЭП через Госключ — это отдельная история по ст. 22.2 ТК РФ. Для большинства внешних сценариев работает только УКЭП, и формат файла там почти всегда открепленный SIG.

Что нужно для создания SIG-файла с УКЭП

Для формирования открепленной УКЭП нужны три компонента. Без любого из них процесс не запустится.

Сертификат УКЭП на физическом носителе или в облаке. Юридическим лицам и ИП квалифицированный сертификат руководителя выпускает УЦ ФНС России — бесплатно, со сроком действия 15 месяцев. Сертификаты на сотрудников по МЧД выдают коммерческие УЦ, аккредитованные Минцифры. Список аккредитованных — на сайте ведомства, цепочка доверия проверяется через e-trust.gosuslugi.ru.

Криптопровайдер — программа, которая умеет считать ГОСТ-хеши и формировать ГОСТ-подписи. На рынке доминирует КриптоПро CSP версии 5.0 R3 (сертификат ФСБ до 1 мая 2027 года). Альтернатива — ViPNet CSP от ИнфоТеКС или JinnClient от «Кода Безопасности». Важно: бессрочная лицензия КриптоПро покупается на конкретный компьютер. Для пилотного проекта УЦ ФНС лицензия КриптоПро вшивается в сертификат и действует столько же, сколько сам сертификат — тогда отдельно покупать её не надо.

Программа-подписальщик — инструмент, который собирает документ, подпись и сертификат в один контейнер CMS. Варианты три. КриптоАРМ ГОСТ 3 — универсальная программа на КриптоПро SDK, поддерживает CAdES-T и CAdES-A с метками времени, сертифицирована ФСБ до мая 2027 года. КриптоПро ЭЦП Browser plug-in — подпись прямо в браузере, удобно для веб-сервисов. Онлайн-сервис подписания — когда не хочется ставить тяжёлый софт ради разовой задачи.

Как создать открепленную УКЭП в SIG: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Установите КриптоПро CSP 5.0 R3 с официального сайта cryptopro.ru. Активируйте лицензию или используйте 90-дневный демо-режим. Перезагрузите компьютер.
Шаг 2. Подключите токен Рутокен ЭЦП 2.0/3.0 или JaCarta с сертификатом УКЭП в USB-порт. Через «Панель управления КриптоПро» во вкладке «Сервис» нажмите «Просмотреть сертификаты в контейнере» и убедитесь, что система видит сертификат руководителя или сотрудника.
Шаг 3. Установите программу подписания: КриптоАРМ ГОСТ 3 (cryptoarm.ru) либо плагин КриптоПро ЭЦП Browser plug-in. После установки плагина проверьте его работу на странице cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html.
Шаг 4. В КриптоАРМ ГОСТ 3 откройте проводник, выберите файл документа, нажмите правой кнопкой «КриптоАРМ» -> «Подписать». В мастере подписания снимите галочку «Сохранить подпись присоединённой к документу» — это критично, иначе .sig не появится.
Шаг 5. Выберите выходное расширение .sig (по умолчанию). Если контрагент требует .p7s — укажите его. Содержимое контейнера одинаковое, разница только в имени.
Шаг 6. Выберите сертификат УКЭП из списка установленных. При наличии нескольких сертификатов смотрите по дате выдачи и Ф.И.О. в свойствах.
Шаг 7. Поставьте галочку «Включить штамп времени» (TSP), если документ хранится дольше 12-15 месяцев или подаётся в архив. Без штампа времени после истечения сертификата проверка покажет «сертификат недействителен».
Шаг 8. Введите PIN-код токена (по умолчанию 12345678 для Рутокена, рекомендуется сменить). Программа сформирует файл вида dogovor.pdf.sig в той же папке, что и документ.
Шаг 9. Передавайте получателю оба файла — dogovor.pdf и dogovor.pdf.sig. Без обоих проверка невозможна.

Что должно быть внутри корректной открепленной УКЭП

Просто сформировать .sig мало. Контейнер должен содержать набор атрибутов, без которых проверка падает или не доказывает ничего по факту. Проверьте свой инструмент по списку.

Хеш-сумма документа по ГОСТ Р 34.11-2012. Алгоритм — «стрибог-256» или «стрибог-512». Если хеш считался по устаревшему ГОСТ Р 34.11-94 (так делали до 2018 года), современные сервисы такую подпись забракуют как неактуальную.

Сертификат подписанта в base64. Целиком, со всей цепочкой до корневого УЦ Минцифры. Без цепочки проверяющая программа не сможет построить путь доверия. Александрова из «Цифровых Технологий» прямо подчёркивает: «корневой сертификат Минцифры — guc_22.cert — и корневой УЦ ФНС CA_FNS_Russia_2022_01.cert должны быть установлены в системе проверяющего».

Подпись по ГОСТ Р 34.10-2012. Длина — 512 или 1024 бита. Считается закрытым ключом подписанта. Если ключ извлекаемый и хранится в реестре Windows — юридически это менее надёжно, чем неизвлекаемый ключ внутри Рутокена ЭЦП 2.0/3.0, где криптооперация выполняется в самом чипе и закрытый ключ ни на секунду не покидает токен.

Штамп времени TSP — желателен. Если в подписи лежит штамп времени от аккредитованной службы, документ остаётся юридически значимым даже после истечения сертификата подписанта. Без штампа после 15 месяцев (типичный срок УЦ ФНС) подпись становится «исторической» — проверка показывает корректность, но сертификат уже недействителен.

OCSP-ответ или CRL о статусе сертификата на момент подписания — желателен для длительного хранения. Доказывает, что в момент подписания сертификат не был отозван.

Мария Ж, юрист со стажем более 20 лет:
«Был у меня кейс с подписанием договора уступки. Стороны подписали в марте, документ ушёл на согласование, в августе подняли вопрос — а подпись на нём действительна? Открыли проверку — сертификат уже истёк, штампа времени нет, OCSP-ответа нет. Формально доказать момент подписания нечем. Стороны выкрутились актом сверки и перепиской, но ситуация показательная: для документов, которые хранятся дольше года, штамп времени — не блажь, а гигиена.»

Усовершенствование подписи: CAdES-T, CAdES-X Long, CAdES-A

Если документ предполагает архивное хранение, простой CMS-подписи мало. Стандарт CAdES расписывает четыре уровня усовершенствования.

CAdES-BES. Базовый формат — подпись + сертификат + хеш. Аналог обычного CMS, без дополнительной защиты от истечения сертификата.

CAdES-T. Добавляется штамп времени от аккредитованной TSP-службы. Доказывает момент подписания. Этого уровня обычно хватает для документов со сроком хранения 1-3 года.

CAdES-X Long Type 1. К штампу времени добавляется OCSP-ответ или CRL о статусе сертификата на момент подписания. Подходит для документов сроком хранения 5-10 лет.

CAdES-A. Архивная подпись. Поверх CAdES-X Long наматывается архивная метка времени. При смене криптоалгоритмов через 10-20 лет можно «нарастить» новый слой архивной метки и продолжить хранение. Это требование ГОСТ Р 57762-2017 и Приказа Росархива от 15.06.2020 для электронных архивов.

В практике сервиса Добыто мы автоматически собираем CAdES-X Long для кадровых документов со сроком хранения 75 лет (трудовые договоры, личные дела, приказы по личному составу) и CAdES-T — для документов оперативного хранения. На клиенте этот выбор не требует ручных настроек, формат подбирается под тип документа автоматически.

Проверка открепленной УКЭП: где и как

Проверить .sig можно тремя способами. Каждый закрывает свой сценарий.

Локально через КриптоАРМ ГОСТ 3. Кладёте документ и .sig в одну папку, правой кнопкой — «КриптоАРМ» -> «Проверить». Программа выводит статус подписи, информацию о подписанте, цепочку сертификатов, статус CRL. Лицензия на проверку не требуется — функция доступна в бесплатной версии.

Онлайн через сервис Добыто или Контур.Крипто (crypto.kontur.ru). Загружаете документ и .sig, нажимаете «Проверить», получаете результат за 5-10 секунд. Способ работает без установки софта — через обычный браузер. Полезен в командировке, на чужом компьютере, на macOS или Linux.

Через портал Госуслуг. На gosuslugi.ru есть штатный сервис проверки от Минцифры. Принимает присоединённые и открепленные подписи, выдаёт официальный результат с указанием статуса подписанта и цепочки сертификатов.

В практике сервиса Добыто проверка отделена от подписания: контрагент или работник может проверить любой полученный документ через нашу форму без регистрации, бесплатно. Это снижает количество вопросов в техподдержку — люди сами видят, корректна подпись или нет.

Мария Ж, судебный эксперт по трудовому праву:
«При судебных разбирательствах по электронным документам первое, что я делаю — прогоняю файл через несколько проверщиков. Один — локально через КриптоАРМ, второй — через Госуслуги, третий — через сервис Добыто. Если все три дают зелёную галочку и совпадают по подписанту и времени — подпись доказательно валидна. Если расходятся — есть повод для экспертизы.»

Стоимость инструментов и сервиса КЭДО Добыто

Цена подписания .sig складывается из трёх частей: сам сертификат УКЭП, криптопровайдер, программа-подписальщик. Если документов много — выгоднее подключиться к сервису КЭДО, где всё упаковано «из коробки» и отдельно каждый компонент покупать не надо.

Тариф / Услуга	Стоимость	Условия
Тариф «Старт» — ПЭП и УНЭП, базовые шаблоны	от 30 ₽ за сотрудника / мес	До 25 сотрудников
Тариф «Бизнес» — ПЭП, УНЭП и УКЭП, кастомные шаблоны, 1С, архив	от 50 ₽ за сотрудника / мес	Минимум 50 сотрудников за 30 000 ₽ в год
Тариф «Корпорация» — выделенный сервер, SLA 99.9%, API	По запросу	Под параметры компании
Выпуск ПЭП и УНЭП на сотрудников	Бесплатно	На всех тарифах
УКЭП руководителя — выпуск через УЦ ФНС	Бесплатно	Срок действия 15 мес

Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто КЭДО помогут сориентироваться точнее. Электронные подписи ПЭП и УНЭП на сотрудников выпускаются бесплатно на всех тарифах, отдельной денюжки за это с заказчика мы не берём.

Если в компании регулярно подписывают .sig для арбитража, ФНС или контрагентов — ручной процесс с КриптоАРМ и токенами на каждом рабочем месте быстро превращается в головняк. Утеряли токен, истёк сертификат, не сошёлся хеш, плагин обновился и сломал подписание — и всё это лежит на одном кадровике или бухгалтере.

Добыто.КЭДО берёт эту цепочку на себя: автоматический выпуск ПЭП и УНЭП, интеграция с УКЭП через Госключ, формирование открепленной .sig в правильном формате CAdES под задачу, пакетная подпись и архивное хранение с метками времени.

Попробуйте ДОБЫТО КЭДО

Типичные ошибки при работе с открепленной УКЭП

Подменили документ после подписания. Самая частая беда. Подписали dogovor.pdf, потом вспомнили, что нужно поправить пункт 3.2, поправили, пересохранили. Парный .sig теперь невалиден — хеш не сходится. Лечится только переподписанием. Цена ошибки — повторная процедура, потерянное время, иногда срыв сделки.

Передали только .sig, без оригинала. Открепленная подпись бесполезна без своего парного документа — это не самостоятельный объект, а функция от исходного файла. Получатель не может ни прочитать содержимое, ни проверить, к чему относится подпись.

Использовали .p7s вместо .sig. Технически контейнеры одинаковые, но «Мой Арбитр» и ГАС «Правосудие» строго смотрят на расширение и .p7s могут отклонить. Лечится переименованием расширения или повторным подписанием в формате .sig в КриптоАРМ.

Не включили штамп времени. Через 15 месяцев истёк сертификат — проверка показывает «сертификат недействителен». Если документ нужно проверять через 2 года, юридически это спорно. Для длительного хранения всегда CAdES-T или CAdES-X Long.

Подписали неправильным сертификатом. На токене лежит сертификат руководителя и сертификат сотрудника по МЧД — подписали сотрудника без МЧД, для документа, требующего полномочий руководителя. Цена ошибки — переподписание плюс возможный отказ контрагента.

Извлекаемый ключ скопировали и потеряли. Ключ хранится в реестре Windows, делается резервная копия на флешке, флешку забыли в кафе. Юридически это компрометация — сертификат нужно немедленно отзывать через УЦ. Решение — неизвлекаемые ключи Рутокен ЭЦП 2.0/3.0, где криптооперация выполняется внутри чипа и закрытка не покидает токен.

Образцы документов и инструкции по электронной подписи

Открыть список документов

Документ	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Криптографическая защита информации (ГОСТ Р)	Скачать
Руководство пользователя сервиса Добыто КЭДО	Скачать
Шаблон соглашения по ЭДО	Скачать
Приказ о введении КЭДО	Скачать
Методические рекомендации по внедрению ЭДО	Скачать
Правила обработки персональных данных	Скачать
Примерная форма трудового договора	Скачать

Проверка статуса аккредитации УЦ и доверенный список

Перед использованием сертификата УКЭП проверьте, что выпустивший его удостоверяющий центр аккредитован Минцифры на текущий момент. Аккредитация — не разовое событие, она пересматривается, и сертификаты от лишённого аккредитации УЦ перестают признаваться УКЭП.

Доступ к актуальному перечню — через портал e-trust.gosuslugi.ru. Там же скачиваются корневые сертификаты Минцифры (guc_22.cert) и ГУЦ. Без установки этих корневых в системе проверяющего цепочка доверия не построится, и проверка вернёт «не удалось проверить цепочку сертификатов».

В практике сервиса Добыто мы при подключении нового клиента сразу настраиваем установку корневых сертификатов в групповые политики Active Directory — тогда у всех сотрудников проверка работает автоматически, без ручных манипуляций. Это занимает около часа на средний офис и снимает 90% инцидентов с проверкой подписи в первые месяцы внедрения.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда мы запускаем КЭДО на крупной компании, первое, что делаем — проверяем, что у каждого подписанта стоят свежие корневые. У одного из клиентов выяснилось, что половина сотрудников работает на ноутбуках с выключенным автообновлением Windows — и у них в системе нет сертификата ГУЦ. Подписи валидны, но проверки на их машинах падают — бухгалтер думает, что подпись битая, и закидывает поставщика претензией. Полчаса работы с групповыми политиками — и проблема снимается на год вперёд.»

Выводы: открепленная УКЭП в формате SIG

Открепленная УКЭП в файле .sig нужна для всех внешних сценариев, где требуется юридическая равнозначность собственноручной подписи без дополнительного соглашения сторон: арбитраж, ФНС, госзакупки, Росреестр, документооборот с контрагентами через ЭДО. Контейнер CMS/CAdES содержит хеш по ГОСТ Р 34.11-2012, сертификат подписанта и саму подпись по ГОСТ Р 34.10-2012. Парность исходного документа и .sig — обязательна, без неё проверка падает математически.

Для формирования и проверки нужны три компонента: сертификат от аккредитованного УЦ Минцифры или УЦ ФНС, криптопровайдер уровня КриптоПро CSP 5.0 R3, программа-подписальщик уровня КриптоАРМ ГОСТ 3 или плагина для браузера. Для документов со сроком хранения дольше года обязателен штамп времени TSP — формат CAdES-T минимум, для архивного хранения — CAdES-X Long или CAdES-A. Без штампа после истечения сертификата проверка покажет «недействителен», и юридическая значимость придётся восстанавливать через переписку и акты.

В ближайшие год-два роль открепленных .sig-файлов вырастет: расширяется охват ЕИС, госзакупки приходят в небольшие муниципалитеты, ФНС переходит на полностью электронные требования по документам. Параллельно меняется криптография — постепенно вытесняется ГОСТ Р 34.11-94, на смену приходит «стрибог», в архивных подписях накапливаются дополнительные слои меток времени. Готовность работать с .sig — не разовый проект, а текущая компетенция кадровой и юридической службы.

Часто задаваемые вопросы

Можно ли создать открепленную УКЭП без КриптоПро?

Можно через альтернативные сертифицированные ФСБ криптопровайдеры — ViPNet CSP от ИнфоТеКС или JinnClient от «Кода Безопасности». Без любого сертифицированного СКЗИ создать УКЭП на компьютере нельзя — криптография по ГОСТ требует именно сертифицированного средства. Исключение — Госключ, где криптография встроена в само мобильное приложение и работает без отдельного провайдера на телефоне.

Какое расширение указывать у файла подписи: .sig, .sgn или .p7s?

Внутри контейнер одинаковый — CMS Signed Data. Разница в расширении принципиальна для приёма государственными системами: «Мой Арбитр» и ГАС «Правосудие» ждут .sig, СБИС и Контур принимают и .p7s. Если контрагент запросил конкретное расширение — выбирайте его в КриптоАРМ при подписании. Переименовать .p7s в .sig вручную в большинстве случаев тоже работает, но это костыль.

Сколько действует УКЭП от УЦ ФНС?

15 месяцев (1 год 3 месяца) с момента выпуска. После истечения сертификата подписать новый документ им нельзя, но проверять старые подписи можно бессрочно при условии установленного штампа времени и сохранённого OCSP-ответа. Перевыпуск — бесплатный, через личный кабинет налоговой при наличии действующей УКЭП либо очно в инспекции.

Что делать, если .sig не открывается на проверку?

Сначала убедитесь, что в той же папке лежит парный исходный документ — открепленная подпись без него не работает. Затем проверьте, что у вас установлены корневые сертификаты Минцифры и ГУЦ — скачайте их с e-trust.gosuslugi.ru. Если документ в .sig от УЦ ФНС — дополнительно установите CA_FNS_Russia_2022_01.cert. Если ничего не помогло — используйте онлайн-сервис проверки или сторонний компьютер с установленным КриптоАРМ.

Можно ли подписать .sig на телефоне?

Да — через мобильные приложения. Госключ работает на iOS, Android и Huawei AppGallery, формирует открепленную УНЭП ИЭП или УКЭП ФЛ. Для УКЭП ФЛ через Госключ нужны биометрический загранпаспорт нового образца и телефон с NFC. Также мобильную подпись поддерживают КриптоПро DSS с push-уведомлениями и Рутокен ЭЦП 3.0 с NFC через смарткарту.

Чем .sig отличается от подписи внутри PDF?

Подпись внутри PDF (присоединённая, через КриптоПро PDF) встраивается в сам файл — оригинал и подпись становятся одним объектом. Открепленная .sig лежит снаружи отдельным файлом. Для арбитражных судов и ЕИС нужна именно открепленная. Для архивного хранения и пакетной рассылки сотрудникам удобнее присоединённая — меньше риск потерять парный файл. Юридически оба формата равны.

Что делать, если истёк сертификат, а документ ещё нужен?

Если в подписи был штамп времени TSP — документ остаётся юридически значимым. Проверка покажет «корректная подпись на момент подписания, сертификат истёк». Если штампа времени не было — доказать момент подписания в суде сложнее, обычно используют косвенные доказательства: журналы операторов ЭДО, переписку, акты сверки. Для документов длительного хранения всегда ставьте CAdES-T или CAdES-X Long.

Можно ли подписать один документ несколькими УКЭП?

Да, и это базовый сценарий для договоров и актов. Каждый подписант формирует свой .sig рядом с документом — первый dogovor.pdf.sig от продавца, второй dogovor.pdf.sig от покупателя. Документ остаётся один. В программах вроде КриптоАРМ есть пакетная подпись, где маршрут определяется автоматически. Альтернатива — последовательное подписание внутри одного файла CMS, но это сложнее в реализации.

Что такое неизвлекаемые ключи и зачем они нужны?

Неизвлекаемый ключ — закрытый ключ подписи, который физически не покидает чип токена. Криптооперация выполняется внутри Рутокена ЭЦП 2.0 или 3.0 — токен принимает на вход хеш документа, считает подпись и отдаёт результат. Скопировать закрытку с такого токена нельзя. Срок действия ключа подписи на этой связке достигает трёх лет вместо обычных 15 месяцев. Для УКЭП руководителя в крупных компаниях это базовое требование информационной безопасности.

Нужна ли МЧД при подписании от имени организации?

С 1 сентября 2023 года — да, если документ за организацию подписывает не руководитель, а сотрудник со своей УКЭП ФЛ. К файлу .sig прикладывается машиночитаемая доверенность, в которой указаны полномочия по классификатору ЕСНСИ. УКЭП руководителя, выпущенная УЦ ФНС, работает без МЧД — там полномочия зашиты в сам сертификат. Передоверие МЧД — только через нотариуса.

Какие криптографические алгоритмы должны быть в современной УКЭП?

Хеш — ГОСТ Р 34.11-2012 («стрибог-256» или «стрибог-512»). Подпись — ГОСТ Р 34.10-2012. Симметричное шифрование при необходимости — ГОСТ Р 34.12-2015 («магма» или «кузнечик»). Старые алгоритмы ГОСТ 28147-89 и ГОСТ Р 34.11-94 формально работают, но Банк России и крупные регуляторы рекомендуют переход на 2012/2015. Поддержка свежих ГОСТ требует КриптоПро CSP не ниже 5.0 R2.

Как проверить, что сертификат не отозван на момент подписания?

Через CRL — список отозванных сертификатов от УЦ. Адрес списка зашит в самом сертификате (расширение CRL Distribution Point). Современные программы автоматически скачивают свежий CRL при проверке. Альтернатива — OCSP-запрос к службе УЦ, который возвращает статус сертификата на конкретный момент. Если в .sig включён OCSP-ответ или CRL на момент подписания, статус доказывается даже без интернета у проверяющего.

Можно ли использовать УКЭП в кадровом документообороте?

Да, ст. 22.2 ТК РФ допускает любой из видов ЭП по соглашению сторон или нормативному акту. УКЭП на работнике обязательна только для трудового договора, договора о материальной ответственности и договора на дистанционную работу. Для остальных документов хватает УНЭП через Госключ — её закон признаёт без отдельного соглашения. Применять УКЭП к каждому заявлению на отпуск избыточно.

Что делать при компрометации сертификата?

Немедленно отозвать сертификат через УЦ — подать заявление на отзыв в личном кабинете или очно. После отзыва сертификат попадает в CRL за минуты, и вся последующая проверка покажет «отозван». Все документы, подписанные до момента отзыва и со штампом времени, остаются юридически значимыми. Документы, подписанные после момента компрометации — в зоне риска, оспоримы. Параллельно — выпустить новый сертификат с новой парой ключей и обязательно сменить PIN-код токена.

Как хранить .sig-файлы для длительного архива?

Согласно ГОСТ Р 57762-2017 и Приказу Росархива от 15.06.2020, для электронных архивов используется формат CAdES-A с архивной меткой времени. Каждые 5-10 лет, при смене криптоалгоритмов, к подписи добавляется новый слой архивной метки — это называется «ухаживание за подписью». Хранение — в формате PDF/A для документа и .sig рядом, или в специализированной системе электронного архива с автоматическим продлением подписей.

За время работы Добыто.КЭДО мы подключили более 500 компаний — от ритейла со штатом 3000+ до медцентров и IT-команд из 30 человек. В каждом проекте звено «открепленная УКЭП в .sig» оказывалось одним из самых проблемных, если его делать вручную: токены теряются, сертификаты истекают, плагины обновляются и ломают подписание, корневые сертификаты не доходят до удалённых сотрудников.

В сервисе мы автоматизируем всю цепочку. Выпуск ПЭП и УНЭП на сотрудников — бесплатно. Интеграция с УКЭП руководителя через Госключ или коммерческий УЦ — встроена. Формат .sig подбирается под задачу: для арбитража одно, для архива другое, для контрагента третье. Сотрудник подписывает с телефона за минуту, юрист потом проверяет одним кликом.

Поддержка ПЭП, УНЭП и УКЭП — все три вида подписи в одной системе
Автоматическое формирование .sig в формате CAdES-T или CAdES-X Long под задачу
Мобильное подписание с телефона через интеграцию с Госключом по API
Хранение документов и подписей до 50 лет с продлением меток времени
Готовый коннектор с 1С (ЗУП, КА, ERP), SAP и Boss-Кадровик — ставится за час
Юридическая обвязка из коробки: Положение об ЭДО, согласия работников, шаблоны ЛНА
Соответствие 152-ФЗ и 63-ФЗ, лицензии ФСТЭК и ФСБ, защищённые каналы

Запросить демо-доступ