P7S и SIG — два расширения файлов откреплённой электронной подписи, с которыми кадровик и бухгалтер сталкиваются почти ежедневно. По сути внутри обоих лежит криптографический контейнер CMS / PKCS#7 по RFC 5652, но происхождение у них разное: .p7s выросло из международного стандарта защищённой электронной почты S/MIME, .sig — из российской госинфраструктуры и сервисов Минцифры. В тексте разберу, чем технически отличаются файлики, какие госорганы принимают какой формат, можно ли переименовать одно в другое без потери юрсилы и как проверить любую такую подпись за две минуты онлайн. Это часть большого материала про проверку электронной подписи на подлинность, где описаны все способы и сервисы верификации файла ЭЦП.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое файл с расширением P7S и файл с расширением SIG
Файл подписи — это бинарный контейнер, в котором хранится результат криптографического вычисления. Внутри лежит хеш исходного документа, зашифрованный закрытым ключом подписанта, плюс открытая часть сертификата с ФИО, СНИЛСом, ИНН и сроком действия. Сама сик-файл или пе-7-эс не «вшит» в документ — это отдельная сущность, которая лежит рядом с PDF, XML или DOCX. Поэтому такая подпись называется откреплённой.
P7S получило имя по стандарту PKCS#7 (Public-Key Cryptography Standards, спецификация номер 7). Это документ компании RSA Laboratories начала 1990-х годов, который описывает универсальный формат для подписанных и зашифрованных сообщений. Расширение строится так: P — PKCS, 7 — номер стандарта, S — signature.
SIG — это просто сокращение от signature. Появилось в России в нулевых, когда КриптоПро и другие отечественные вендоры искали короткое и понятное расширение для выходного файлика своих утилит. Никакого официального стандарта за расширением .sig не закреплено, это договорённость рынка.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда юристу первый раз приносят пачку файлов P7S и SIG, реакция стандартная — это что вообще, две разные подписи? Нет. Это два расширения для одной криптографической сущности. По сути одно и то же, просто пришли с разных сторон: P7S — это англоязычное, изначально под почту, SIG — это наше, выросло из утилиты cryptcp и его наследников.»
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Историческое происхождение P7S и SIG
P7S придумали раньше. Стандарт PKCS#7 был разработан RSA Laboratories ещё в 1993 году и описан в RFC 2315. Дальше он эволюционировал в современный CMS (Cryptographic Message Syntax) по RFC 5652, но имя осталось. Главное назначение PKCS#7 в момент рождения — защищённая корпоративная почта по протоколу S/MIME (Secure / Multipurpose Internet Mail Extensions). Outlook, Thunderbird, Apple Mail умели подписывать письма ещё с 1990-х, и подпись прикладывалась как вложение с именем smime.p7s.
Дальше формат выскочил из почты в широкое использование. Государственные информационные системы Европы и США выбрали PKCS#7 как базу для электронных госуслуг и электронных архивов. В России формат попал тем же путём — через банковский сектор и взаимодействие с зарубежными контрагентами.
SIG появилось в России позже, году в 2002-2003. Команда КриптоПро в составе утилиты cryptcp по умолчанию выдавала откреплённую подпись с расширением .sgn (от signature), а сторонние разработчики и обёртки предпочли .sig — короче и читабельнее. Когда в 2012-2014 годах вышли портал Госуслуг, СМЭВ и ЕСИА, технические регламенты Минцифры зафиксировали именно .sig как стандартный формат для файла откреплённой подписи. Дальше за этим расширением закрепилась вся российская госинфраструктура: ФНС, Росреестр, Госключ, ЕГАИС, ЕИС закупок.
В практике работы сервиса Добыто мы обрабатываем оба формата каждый день — в кадровом ЭДО документы приходят и от российских контрагентов с .sig, и от международных партнёров с .p7s. Юридически они равнозначны при условии действующего сертификата, формальность только в расширении.
Технически P7S и SIG — один и тот же контейнер
Если открыть P7S и SIG в шестнадцатеричном редакторе, разницы вы не увидите. Внутри обоих лежит ASN.1-структура SignedData по стандарту RFC 5652. Состав ровно одинаковый: версия контейнера, набор алгоритмов хеширования, инкапсулированный контент или ссылка на него, опционально цепочка сертификатов и список отозванных сертификатов CRL, плюс информация о подписанте SignerInfo с самим хешем.
Сравним по параметрам — таблица показывает, насколько форматы совпадают.
| Параметр | P7S | SIG |
|---|---|---|
| Базовый стандарт | PKCS#7 / CMS (RFC 5652) | PKCS#7 / CMS (RFC 5652) |
| Кодировка | ASN.1 BER / DER | ASN.1 BER / DER |
| Алгоритмы для российской ЭП | ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 | ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 |
| Алгоритмы для зарубежной ЭП | RSA / SHA-256, ECDSA | Технически возможно, но редко используется |
| Поддержка профилей CAdES | CAdES-BES, CAdES-T, CAdES-X Long | CAdES-BES, CAdES-T, CAdES-X Long |
| Размер файла | от 4 до 12 КБ | от 4 до 12 КБ |
| Юридическая значимость в РФ | Полная при УКЭП | Полная при УКЭП |
Главный нюанс. Расширение файла — это служебная метка, которую программа-генератор присваивает на выходе. Внутри файла нет ни одного байта, который содержит строку «p7s» или «sig». Это значит, что если переименовать .p7s в .sig (или наоборот), ни один валидатор не заметит разницы при условии корректной работы со внутренним содержимым контейнера.
Мария Ж, юрист со стажем более 20 лет:
«В судебной практике расширение файла никогда не было и не будет основанием для признания подписи недействительной. Тройка не упоминает .p7s или .sig — закон оперирует понятием криптографического вычисления над документом. Если внутри контейнер CMS, сертификат действующий, цепочка проверяется — значит подпись валидна, как файлик ни назови.»
Где принимают P7S, а где SIG: реальная картина по госорганам
На бумаге форматы взаимозаменяемы. На практике каждое ведомство и каждая система прописывает в техническом регламенте конкретное расширение, и автоматический парсер на стороне сервера проверяет именно его. Если регламент требует .sig, а вы загружаете .p7s — система отдаст ошибку, даже если содержимое внутри идентичное.
| Где встречается | P7S | SIG |
|---|---|---|
| Госключ (приложение Минцифры) | — | + |
| Портал Госуслуг (ЕПГУ) | — | + |
| ФНС, личный кабинет налогоплательщика | + | + |
| Росреестр (выписки ЕГРН) | — | + |
| ЕФРСБ (реестр банкротств) | + | — |
| Электронные торги (44-ФЗ, 223-ФЗ) | + | + |
| Кадровый ЭДО (КЭДО) у работодателей | редко | + |
| Корпоративная почта (S/MIME) | + | — |
| Международные банковские системы | + | — |
Логика проста. Российские госуслуги, гражданские сервисы и кадровый ЭДО — это территория .sig. Корпоративный документооборот с зарубежными контрагентами, защищённая почта, международные стандарты ISO/IEC — территория .p7s. Налоговая принимает оба формата, но в разных модулях: для отчётности через оператора ЭДО используется .p7s, для физлиц через ЛК — .sig. Подробнее про форматы создания подписей читайте в материале про создание подписи SIG в КриптоПро.
В сервисе Добыто КЭДО мы по умолчанию формируем кадровые документы с откреплённой подписью .sig — это совместимо с проверкой через Госключ и Госуслуги, без рисков на ГИТ-проверке. P7S при этом не блокируется, документы с такой подписью в архиве хранятся и проверяются штатно.
Если получили из госоргана файл с расширением, которого ваша программа не поддерживает — не торопитесь переименовывать вручную. Сначала проверьте подпись в нашем сервисе: загружаете документ и файлик подписи, получаете заключение о валидности и видите, какой именно сертификат стоит внутри. Это снимает 90% страхов кадровика «вдруг подпись поддельная».
Можно ли просто переименовать .p7s в .sig и наоборот
Технически — да. Юридически — тоже да, если внутри корректный CMS-контейнер по 63-ФЗ. Расширение — это просто три символа после точки в имени файла, и операционная система использует их для подбора программы по умолчанию. Содержимое контейнера от переименования не меняется ни на бит.
Практически — смотрите по приёмнику. Если автоматическая система проверки на сервере госоргана просит .sig, она проверит расширение в имени файла. С .p7s она вернёт ошибку валидации, даже если переименовать в .sig — подпись пройдёт. Обратная история тоже работает: некоторые корпоративные системы, заточенные под международный формат, не принимают .sig и требуют переименовать в .p7s.
Есть один нюанс. Если внутри контейнера российская подпись по ГОСТ Р 34.10-2012, а её пытается проверить иностранный валидатор без поддержки CryptoPro — проверка завалится. Не из-за расширения, а из-за алгоритма. И наоборот: подпись по RSA/SHA-256 в контейнере .sig не пройдёт через российский крипто-провайдер, если в нём не настроена поддержка зарубежных алгоритмов. Расширение тут вообще ни при чём.
Мария Ж, судебный эксперт по трудовому праву:
«Был случай в практике, когда работник прислал заявление об увольнении с подписью .p7s, а HR-кадровая система предприятия принимала только .sig. Кадровик отверг заявление, человек подал в суд за нарушение порядка увольнения. Суд разобрался: подпись валидная, сертификат действующий, расширение — это технический момент. Работодатель должен был принять документ или письменно отказать с обоснованием. История закончилась восстановлением и компенсацией морального вреда.»
Какие программы создают .p7s, а какие .sig
Список программ, в которых формат подписи на выходе по умолчанию .p7s:
- OpenSSL — утилита командной строки, родная для Linux. Команда openssl smime -sign выдаёт результат с расширением .p7s.
- Microsoft Outlook — при подписании письма по S/MIME присоединяет вложение smime.p7s.
- Adobe Acrobat Pro — при подписании PDF в формате S/MIME формирует p7s-файл.
- Зарубежные банковские клиент-банки — в большинстве выдают .p7s.
- КриптоПро при настройке через openssl-команды или PKCS#7-обёртку — может выдать .p7s, если задать в параметрах.
Список программ, в которых формат подписи на выходе по умолчанию .sig:
- КриптоПро CSP в составе утилиты cryptcp (если задано через ключ -file имя.sig).
- КриптоАРМ ГОСТ 3 — универсальное приложение от Цифровых Технологий с встроенным почтовым клиентом, работает на Windows, Linux, macOS, сертифицирован ФСБ России.
- КриптоАРМ 6 — расширенная версия с мастером подписи и защиты PDF, добавлен встроенный просмотрщик документов.
- Crypto Expert от компании CrypteX — работает на Windows, Linux и macOS, поддерживает российские ОС Astra Linux, имеет прямой доступ к ФНС.
- Litoria Desktop от Gin Service — программа для трансграничного документооборота, реализует функции клиента доверенной третьей стороны.
- Госключ — мобильное приложение Минцифры для УНЭП и УКЭП.
- Сервис Добыто.Подпись — онлайн-подписание документов с выходом в .sig.
- Большинство сервисов КЭДО на российском рынке.
Если нужно подписать документ в конкретном формате под требование контрагента, выбирайте программу под выход. Большинство современных утилит позволяют задать расширение вручную при сохранении — даже КриптоПро через cryptcp умеет выдавать .p7s, если прописать имя файла в параметре. Подробнее про инструменты — в обзоре программ для подписания документов ЭЦП.
Стоимость подключения к сервису КЭДО для работы с электронной подписью
Если нужно подписывать кадровые документы и архивировать файлики .sig и .p7s в едином хранилище — имеет смысл подключиться к сервису КЭДО. Стоимость зависит от численности сотрудников, выбранного тарифа и набора функций. Электронные подписи ПЭП и УНЭП для штата выпускаются бесплатно на всех тарифах Добыто, отдельно платить не нужно.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП |
| Бизнес — для среднего бизнеса | от 50 ₽ за сотрудника / мес | Минимум 50 сотрудников за 30 000 ₽ в год |
| Бизнес — расширенный пакет | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, ПЭП, УНЭП и УКЭП |
| Бизнес — интеграция с 1С | от 50 ₽ за сотрудника / мес | Кастомные шаблоны, электронный архив, приоритетная поддержка |
| Корпорация — для крупного бизнеса | по запросу | Выделенный сервер, SLA 99.9%, персональный менеджер |
| Корпорация — API и интеграции | по запросу | Кастомные интеграции, API, всё из тарифа Бизнес |
Итоговая стоимость зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто КЭДО помогут сориентироваться точнее под профиль компании. На каждом из тарифов файлы .sig и .p7s обрабатываются и хранятся одинаково — архив сохраняет оба формата с привязкой к исходному документу. УКЭП по запросу выпускается через партнёров — аккредитованные удостоверяющие центры.
Образцы документов и инструкции по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации | Скачать |
| Правила обработки персональных данных | Скачать |
Типичные ошибки при работе с файлами P7S и SIG
Первая ошибка — удалить .sig или .p7s, считая файл служебным. Подпись восстановить нельзя. Если автор сертификата ещё доступен и сертификат действует, можно переподписать заново. Если нет — документ потерял юридическую значимость.
Вторая ошибка — переименовать расширение и пытаться отправить в систему, которая фильтрует по содержимому. Некоторые валидаторы парсят первые байты файла и проверяют OID-идентификатор внутри ASN.1-структуры. Им расширение неважно, но если внутри российский ГОСТ, а валидатор не знает про CryptoPro, проверка не пройдёт. Расширение в этом случае — симптом, а не причина.
Третья ошибка — проверять подпись на неподходящем валидаторе. Госуслуги принимают .sig и .p7s, КриптоПро DSS работает с обоими, но неспециализированные онлайн-проверки иногда отказывают по расширению. Если валидатор не открывает файлик — попробуйте другой сервис, лучше сразу проверять через профильную площадку под нужное ведомство. Подробнее про файл с откреплённой УКЭП заявителя и его проверку — в отдельном материале.
Четвёртая ошибка — подписывать .p7s в почтовом клиенте, а отправлять файлик в кадровый сервис. Outlook делает p7s в формате S/MIME, который структурно отличается от классического CMS — там есть дополнительные обёртки под почту. Российские валидаторы такую подпись могут не понять. Лучше подписывать через КриптоПро или специализированную утилиту для документного потока.
Пятая ошибка — забыть про штамп времени. Без штампа времени по протоколу TSP подпись через несколько лет может стать непроверяемой — сертификат истечёт, а доказать, что он был валиден на момент подписания, нечем. Это касается обоих форматов одинаково. Профиль CAdES-T решает проблему — его поддерживают и .p7s, и .sig.
В практике Добыто чаще всего ловим ошибку номер один: HR-кадровая служба получает архив с документами от удалённого работника, забирает PDF, а файлики .sig игнорирует как «служебные». Через полгода ГИТ запрашивает оригинал — юридически документа уже нет, остался только PDF без подписи. Поэтому в нашем сервисе архивирование документов и подписей идёт парами автоматически, без участия человека.
Как проверить электронную подпись P7S или SIG: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Перейдите на страницу проверки подписи Добыто. Установка программ и регистрация не требуются — сервис работает полностью в браузере.
- Шаг 2. Выберите тип подписи: «Присоединённая» (один файл, содержащий документ и подпись) или «Откреплённая» (два отдельных файла — документ и файл подписи .sig/.p7s).
- Шаг 3. Загрузите файлы. Для присоединённой подписи — один файл. Для откреплённой — перетащите или выберите исходный документ в поле «Документ», а файл подписи (.sig, .sgn, .p7s) — в поле «Файл подписи».
- Шаг 4. Поставьте галочку согласия на обработку персональных данных (152-ФЗ) и нажмите кнопку «Проверить подпись».
- Шаг 5. Дождитесь результата. Сервис проверит целостность подписи и отобразит сведения о сертификате: статус подписи (действительна или недействительна), данные владельца, удостоверяющий центр, срок действия сертификата. Если подпись недействительна — убедитесь, что выбран правильный тип и файл подписи соответствует документу.
Дополнительный полезный инструмент для проверки подписей государственных органов — сервис «Проверка электронного документа» на официальном сайте rosreestr.gov.ru для выписок ЕГРН. Туда загружается XML-выписка и .sig-файл подписи Росреестра, сервис возвращает заключение о валидности.
Выводы: что нужно запомнить о форматах P7S и SIG
P7S и SIG — это два разных расширения для одного и того же криптографического содержимого. Внутри обоих лежит контейнер CMS / PKCS#7 по RFC 5652. Юридическая сила определяется не расширением, а сертификатом и алгоритмом подписи внутри контейнера. По 63-ФЗ оба формата равнозначны при условии действующего сертификата и корректной криптографической проверки.
Практический выбор формата диктует приёмник. Госключ, Госуслуги, Росреестр и КЭДО работают преимущественно с .sig — это российский стандарт по умолчанию. P7S встречается в международных системах, S/MIME-почте, банковских клиентах и при взаимодействии с зарубежными контрагентами. Налоговая принимает оба, но в разных модулях. Переименование расширения работает на уровне файла, но не помогает, если автоматический валидатор приёмника фильтрует по строгому регламенту.
Главное правило сохранности подписи — никогда не удалять файлик .sig или .p7s, считая его служебным. Без файла подписи документ теряет юридическую значимость, а восстановить его невозможно при истёкшем сертификате. Архивировать пары «документ + подпись» нужно вместе, желательно с штампом времени для долгосрочного хранения. В кадровом ЭДО эта задача решается автоматически на стороне сервиса — в архив попадают связанные пары без ручных действий кадровика.
Часто задаваемые вопросы
P7S и SIG — это одно и то же или разные форматы?
Можно ли переименовать .p7s в .sig для отправки в Росреестр?
Какой формат принимает ФНС для отчётности?
Нужны ли разные сертификаты для P7S и SIG?
Что делать, если потерял файл .sig от важного документа?
Госключ выдаёт подпись в формате P7S или SIG?
В P7S или SIG может лежать ПЭП?
Чем отличается P7S от P7M?
Можно ли проверить подпись P7S без КриптоПро?
Что важнее — расширение файла или сертификат внутри?
Какой формат используется в кадровом ЭДО по умолчанию?
Чем .p7s отличается от smime.p7s в почте Outlook?
Сколько хранятся файлы .sig и .p7s в архиве?
Можно ли открыть .p7s или .sig без специальных программ?
Если в вашей компании уже накоплен архив кадровых документов с подписями .sig и .p7s, и каждый раз при проверке надо разбираться, чем подписан документ и валиден ли сертификат — имеет смысл перевести этот процесс на сервис, который автоматически разбирает форматы и хранит документы парами с подписью.
Сервис КЭДО Добыто работает с обоими форматами без участия HR. Документы поступают в кадровый архив с автоматической верификацией подписи и привязкой к сотруднику. ГИТ-проверка проходит быстрее, чем при ручном архиве на сетевом диске — все файлики доступны в один клик с историей подписаний и метаданными сертификатов.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет с автоматической архивацией пар «документ + подпись»
- Готовый коннектор с 1С (ЗУП, КА, ERP), SAP и Boss-Кадровик — ставится за час без разработчиков
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Прозрачное ценообразование — фиксированная стоимость за рабочее место, без скрытых модулей
- Сопровождение клиента до первых 50 подписаний — провайдер ведёт до самостоятельной работы