Программы для проверки электронной подписи решают одну задачу — показать, валидна ли подпись под документом, кто его подписал и не менялся ли файл после. КриптоАРМ, КриптоПро и онлайн-сервисы вроде Госуслуг делают это по-разному, и результат у одного и того же файла может отличаться от программы к программе. Разберём, чем КриптоПро отличается от КриптоАРМ, какие есть бесплатные альтернативы, что выбрать под присоединённую и откреплённую подпись, под PDF и под архивное хранение — и в каких случаях программа на компьютере не нужна вовсе. Это часть большого материала про проверку электронной подписи, где собран весь процесс от выпуска сертификата до проверки подписи на документе.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что вообще проверяет программа проверки электронной подписи
Любая программа проверки делает три вещи. Считает хэш документа и сравнивает с тем, что зашит в подпись — совпало, значит после подписания в файл не вносили изменения. Строит цепочку сертификатов: от подписанта до удостоверяющего центра и дальше до головного УЦ Минцифры. И проверяет, был ли сертификат действителен на момент подписания, не попал ли он в список отозванных сертификатов (СОС).
Вот тут и кроется первый нюанс, на котором спотыкаются. У подписи и у сертификата разные сроки. Подписать документ можно пока действует ключ подписи, а проверить — пока действует сертификат проверки. Если сертификат истёк, обычная подпись проверку не пройдёт, даже если документ подписали год назад абсолютно легально. Для этого в усиленную подпись добавляют метку времени — штамп, фиксирующий момент подписания. Без неё документ через пару лет превратится в файл с пометкой «подпись недействительна», хотя по сути с ним всё в порядке.
Важно понимать, что именно сертификат отвечает на вопрос «кто подписал документ». Согласно пункту 2 статьи 2 63-ФЗ «Об электронной подписи» — в речи кадровиков и юристов просто «тройка» — сертификат ключа проверки ЭП подтверждает, что конкретный ключ принадлежит конкретному владельцу. Внутри присоединённой подписи лежит сам документ, серт подписанта, дата и цепочка доверия. Откреплённая подпись — это отдельный сиг-файл рядом с документом. Для проверки откреплённой нужны оба файла: оригинал плюс файл подписи.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Главная ошибка после подписания — не сохранить сиг-файл. Подписал, скачал, отправил контрагенту и удалил у себя. А через полгода ГИТ приходит с проверкой или контрагент заявляет, что ничего не подписывал. И у вас нет ни документа, ни подписи. Мы своим клиентам вбиваем одно правило: подписал — сохрани архив в отдельную папку с датой.»
КриптоПро для проверки подписи: что умеет и где ограничения
КриптоПро CSP — это криптопровайдер, ядро, которое выполняет операции с российской криптографией: считает хэш, формирует и проверяет подпись, шифрует. Сам по себе CSP графического окна «проверь мне файл» не даёт. Актуальная версия на дату написания статьи — КриптоПро CSP 5.0 R3, вся линейка 5.0 (R1, R2, R3) сертифицирована, сертификаты действуют до 1 мая 2027 года. В 5.0 R3 встроен браузерный плагин и добавлен SDK, который обращается к службам штампа времени и проверки статусов сертификатов.
Проверить подпись через КриптоПро можно несколькими способами. На вкладке «Сервис» в самом КриптоПро CSP — там же тестируют контейнер закрытого ключа и проверяют работоспособность токена. Через КриптоПро ЭЦП Browser Plug-in — расширение для браузера, после установки его проверяют на сайте КриптоПро кнопкой «Проверить работу плагина». И через облачный сервис DSS КриптоПро по адресу dss.cryptopro.ru/Verify — туда загружают документ и подпись прямо в браузере, без локальной установки.
Минус КриптоПро как инструмента проверки — порог входа. Это не приложение «перетащил файл, увидел галочку»: нужен установленный криптопровайдер, корневые сертификаты, иногда плагин и определённый браузер. Лицензия CSP стоит денег: бессрочная или годовая для клиента, отдельная — для сервера. С 1 января 2025 года цены на клиентские лицензии 4 и 5 версии повысили, и это касается бессрочных, годовых и лицензий на обновление. Для разовой задачи «проверить одну выписку» городить КриптоПро смысла мало. А для постоянной работы с подписью на десятках документов это базовая инфраструктура.
Мария Ж, судебный эксперт по трудовому праву:
«КриптоПро берут не ради проверки как таковой — её и Госуслуги сделают. Берут ради цельной картины: показать CAdES-формат, метку времени, OCSP-ответы. Когда подпись идёт в суд как доказательство, нужен протокол со всеми этими полями, а не скриншот зелёной галочки. Тут уже не сэкономишь на сертифицированном софте.»
КриптоАРМ: проверка подписи без лицензии и с расширенным отчётом
КриптоАРМ — это уже приложение с графическим интерфейсом, надстройка над криптопровайдером. Работает в связке с КриптоПро CSP. Главное, что отличает его от голого CSP: понятное окно, куда загружаешь файл и получаешь развёрнутый результат — статус подписи, свойства сертификата, цепочку сертификации, формат подписи (CMS, CAdES, в том числе CAdES-A для архивного хранения), наличие метки времени и OCSP-ответов.
Ключевая особенность для нашей темы: для проверки электронной подписи КриптоАРМ не требует установки лицензии. Ставите и проверяете — и это касается и КриптоАРМ ГОСТ. Для подписания лицензия нужна, для проверки — нет. У онлайн-версии (cryptoarm.ru) бесплатный тестовый период составляет 14 дней.
Линейка тут не одна, и в этом часто путаются. Есть КриптоАРМ ГОСТ 3 от компании Цифровые Технологии — универсальное средство со встроенным почтовым клиентом для безопасного обмена письмами по S/MIME. Это его выделяет среди других средств подписи: почта внутри. Сертифицирован ФСБ России в составе КриптоПро CSP по классам КС1 и КС2, сертификат действует до мая 2027 года. Есть КриптоАРМ 6 — в нём ко всему из ГОСТ 3 добавлен мастер подписи и защиты PDF: встроенная подпись внутрь PDF, графический штамп, пакетная подпись, сертификация документа после подписания. В сертифицированную версию ГОСТ 3 функция встроенной подписи PDF пока не попала, она есть в релизе версии 6.
Есть нюанс с интеграцией. Если используете КриптоАРМ ГОСТ только через графический интерфейс — а так делают процентов 99 пользователей — никаких дополнительных исследований по оценке влияния не требуется. Как только начинаете обращаться к нему через API, через так называемые белые функции из эксплуатационной документации, появляется необходимость оценки влияния среды функционирования. А если функции за пределами белого перечня — уже тематические исследования ФСБ, «темка» на профессиональном сленге.
Как проверить подпись через КриптоАРМ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Установите КриптоПро CSP и КриптоАРМ. Для проверки лицензия на КриптоАРМ не нужна, достаточно установить программу.
- Шаг 2. Запустите КриптоАРМ и выберите операцию «Проверить подпись».
- Шаг 3. Для присоединённой подписи загрузите один файл (например, .sig или .p7s, где документ и подпись вместе). Для откреплённой — укажите и исходный документ, и файл подписи рядом.
- Шаг 4. Запустите проверку. Программа построит цепочку сертификатов, сверит хэш и покажет статус: подпись действительна или нет.
- Шаг 5. Откройте свойства подписи и сертификата: посмотрите владельца, срок действия, издателя, формат подписи и наличие метки времени. При необходимости выгрузите отчёт о проверке.
Альтернативы КриптоПро и КриптоАРМ для проверки подписи
Рынок средств электронной подписи не сводится к двум именам. Под разные задачи — разные программы, и у каждой свой акцент. Перечислю значимые, которые встречаются на практике.
JinnClient от Кода безопасности. На сленге «джин». Средство создания подписи с доверенной визуализацией документов: показывает, что именно вы подписываете, защищает от подмены данных при просмотре. Подпись выполняется на изолированных ресурсах компьютера, поддерживает крипто-контейнеры формата КС1 и чтение контейнеров КриптоПро. Доступен на Windows и Linux, сертифицирован ФСБ.
Litoria Desktop от ИнфоТеКС. Фокус на трансграничный документооборот, реализует функции клиента доверенной третьей стороны. Простой интерфейс, ставится в один клик, совместим с Astra Linux. Поддерживает классические подписи CMS и усовершенствованный CAdES, проходит более 200 тестов по информационной безопасности. Сертифицирована ФСБ.
Crypto Expert (КриптоЭксперт) от CrypteX. Работает на Windows, Linux и macOS, из российских ОС заявлена Astra Linux. Главная особенность — подпись и проверка PDF, есть сертификация документа после подписания. Поддерживает усовершенствованную подпись CAdES-X Long Type 1, архивную, работу с МЧД и проверку статусов доверенности. Компания — действующий оператор ЭДО с прямым доступом к реестру сертификатов ФНС, но сертификата ФСБ у CrypteX нет.
Контур.Крипто. Онлайн-сервис от удостоверяющего центра Контура (crypto.kontur.ru): проверка КЭП, подписание, шифрование и расшифрование. Бесплатный пробный период — до 30 проверок в месяц. Вводите файл с подписью, система сама распознаёт тип и запускает проверку. Удобно, когда под рукой нет ни КриптоПро, ни КриптоАРМ.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Стоит вообще задуматься: а нужна ли вам именно настольная программа? Для разовой проверки чаще нет. В практике Добыто мы видим, что кадровики и бухгалтеры в большинстве случаев проверяют две-три подписи в неделю — и ставить ради этого тяжёлый софт, который ещё и обновлять, не всегда оправдано. Тут выручает онлайн.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Не гонитесь за самым навороченным средством. Я думаю, половине компаний хватило бы онлайн-проверки, а они покупают лицензии КриптоПро на весь отдел кадров. Нюанс в том, что вид подписи и тип задачи диктуют инструмент, а не наоборот. Подписать кадровый документ можно ПЭП — а это совсем другие денюжки, чем выпускать УКЭП на каждого.»
Образцы документов для работы с электронной подписью и КЭДО
Открыть список документов
| Документ | Скачать |
|---|---|
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
Проверка электронной подписи без установки программ: онлайн-сервисы и Госуслуги
Портал Госуслуг даёт бесплатный онлайн-сервис проверки — удобно, когда под рукой нет ни КриптоПро, ни КриптоАРМ. Сервис доступен на странице проверки электронной подписи на портале Госуслуг. Там есть разделы для проверки квалифицированной подписи (КЭП), проверки УНЭП и проверки сертификата. Загружаете файл, вводите капчу, нажимаете «Проверить».
Важный нюанс, на котором спотыкаются постоянно. Госуслуги проверяют присоединённую и откреплённую подпись — то есть когда у вас исходный файл и рядом сиг-файл либо контейнер с подписью. Но сервис не проверяет подпись, встроенную внутрь PDF, — именно такая стоит, например, на выписке из ЕГРЮЛ. Загрузите выписку — получите «входные данные не являются подписанным сообщением». Для встроенной в PDF подписи нужен КриптоАРМ или КриптоЭксперт с просмотрщиком PDF.
Отдельная история — Единый портал электронной подписи Минцифры по адресу e-trust.gosuslugi.ru. Он файл вообще не принимает. Принимает серийный номер сертификата или отпечаток Thumbprint и проверяет статус серта в государственном реестре. Зачем это нужно: вы вытащили Thumbprint из Контура или другого сервиса, подпись вроде валидна, но серт мог быть отозван заранее — сотрудника уволили, ключ скомпрометировали, организация сменила реквизиты. Файл этого не покажет, а реестр Минцифры покажет.
Есть и наш инструмент. Добыто.Подпись — бесплатный онлайн-сервис проверки. Загружаете документ и файл подписи (или присоединённую подпись одним файлом), сервис показывает владельца сертификата, срок действия, издателя и статус подписи. Лимит файла — 25 МБ. Файлы обрабатываются в момент проверки и не хранятся на серверах, после сессии удаляются. Мы разрабатывали Добыто.Подпись с нуля именно под формат sig, поддерживает более 100 форматов файлов.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Почему один файл проверяется по-разному в разных программах
Реальная ситуация из практики: загружаешь один и тот же документ в КриптоАРМ, в Контур и на Госуслуги — и видишь три разных результата. Где-то «подпись действительна», где-то «сертификат не найден», где-то ошибка формата. Это не баг конкретной программы.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Причина в требованиях к сертификатам и регуляторных пробелах. Часть условий 63-ФЗ трактуется по-разному, поэтому инструменты проверки ведут себя неодинаково. Один сервис строит цепочку до корня Минцифры и считает подпись валидной, другой требует актуальный OCSP-ответ на момент проверки, третий не умеет работать с конкретным форматом контейнера. Ещё момент: ни КриптоАРМ, ни Госуслуги при проверке только присоединённого файла не покажут, что он отличается от исходного документа, — потому что исходника у них нет, они проверяют то, что внутри контейнера.
Практический вывод: если подпись не прошла в одном инструменте, не спешите хоронить документ. Проверьте в другом и сверьте статус сертификата отдельно через реестр Минцифры. Когда результаты расходятся, ориентируйтесь на самый строгий и на государственный реестр. В сервисе Добыто мы при автоматической проверке подписи прогоняем файл по нескольким параметрам сразу — целостность, цепочка, статус сертификата на момент подписания, — чтобы не получить ложноположительный результат.
Когда подпись расходится в трёх программах, а документ нужен для суда или проверки ГИТ, разбираться по полям сертификата вручную — долго и рискованно. Можно ошибиться в трактовке и принять отозванный серт за действительный. Специалисты Добыто проверяют подпись по целостности, цепочке и статусу сертификата сразу и выдают понятный результат, а не три противоречивых.
Какую программу выбрать под конкретную задачу
Сведём всю предыдущую математику к одному: инструмент подбирают под вид подписи и под формат файла, а не по принципу «что мощнее». По сценариям. Разовая проверка присоединённой или откреплённой подписи без установки — Госуслуги или Добыто.Подпись, бесплатно и за минуту. Подпись встроена внутрь PDF (выписка ЕГРЮЛ, штраф ГИБДД) — КриптоАРМ 6 или КриптоЭксперт со встроенным просмотрщиком PDF. Нужен протокол для суда с разбором по полям, форматом CAdES, меткой времени и OCSP — КриптоАРМ или КриптоПро с SDK. Постоянная работа с российской криптографией плюс защищённая почта — связка КриптоПро CSP 5.0 R3 и КриптоАРМ ГОСТ 3. Автоматическая проверка большого потока на сервере — серверные решения вроде КриптоАРМ Server, который проверяет подпись фоном, формирует протоколы в PDF и сохраняет результаты в базу.
Отдельно про долговременное хранение. Если документ нужно хранить 50 лет (кадровые, финансовые), обычной подписи мало — сертификат истечёт, и через годы проверка покажет «недействительна». Здесь применяют усовершенствованную подпись с меткой времени и метками статуса сертификата. Срок действия службы штампов времени — 3 года плюс 15 лет, итого до 18 лет можно гарантировать проверяемость. Дальше документ переподписывают поверх — программисты КриптоПро ласково назвали это «ухаживанием за подписью», а подпись поверх старой при смене криптоалгоритмов — «архивариусом». Так комбинируя метки, обеспечивают условно бесконечное хранение.
Мария Ж, юрист со стажем более 20 лет:
«Логику в некоторых требованиях искать бессмысленно, их нужно просто выполнить. Хотите хранить трудовой договор 50 лет — закладывайте усовершенствованную подпись сразу при подписании, а не когда сертификат уже истёк. Переподписать задним числом нельзя. На одном из наших проектов клиент про это вспомнил через три года, и часть архива пришлось признавать через экспертизу. Дорого вышло.»
Типичные ошибки при проверке подписи и их цена
Первая ошибка — проверять выписку из ЕГРЮЛ на Госуслугах и делать вывод «подпись битая». Подпись там встроена в PDF, Госуслуги её не видят в принципе. Человек думает, что документ поддельный, отказывает контрагенту, теряет сделку. Цена — сорванный договор на ровном месте. Решение: для PDF берут КриптоАРМ или КриптоЭксперт.
Вторая — доверять только статусу «подпись действительна» в одной программе, не проверив сертификат в реестре. Серт мог быть отозван заранее, а файл с меткой времени всё равно покажет валидность на момент подписания. Если документ свежий и важный, отзыв критичен. Цена — принять документ от лица, у которого уже нет полномочий. Решение: сверять Thumbprint через e-trust.gosuslugi.ru.
Третья — распечатать документ со штампиком подписи и считать распечатку юридически значимой. Бумага со штампом, синеньким квадратиком «подписано ЭП», сама по себе юридической значимости не несёт — этот штамп фактически нарисован. Значимость у электронного оригинала с подписью, который можно проверить. Цена — в споре такая распечатка ничего не докажет. В практике Добыто мы с этим сталкиваемся: компании годами хранят распечатки вместо электронных оригиналов и при проверке ГИТ остаются без доказательной базы.
Стоимость программ и сервисов для проверки электронной подписи
Сама проверка подписи в большинстве инструментов бесплатна: Госуслуги, Добыто.Подпись, пробные периоды Контура и КриптоАРМ. Платить приходится за лицензию КриптоПро CSP, если работаете с подписью постоянно, и за подписку на сервис КЭДО, если переводите кадровые документы в электронный вид. Стоимость сервиса Добыто КЭДО зависит от численности персонала, выбранного тарифа и набора подключаемых функций — в том числе видов подписи и электронного архива, где как раз хранятся файлы подписи для последующей проверки.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив) | от 50 ₽ за сотрудника / мес | мин. оплата 50 сотрудников — 30 000 ₽ в год |
| Корпорация — для крупного бизнеса (всё из Бизнеса, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции) | по запросу | расширенные требования и SLA |
Тарифы считаются за рабочее место в месяц. У тарифа Бизнес действует условие минимальной оплаты — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от численности штата, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее под вашу компанию.
Выводы: как выбрать программу для проверки электронной подписи
Проверка подписи отвечает на три вопроса: не менялся ли документ, кто его подписал и был ли сертификат действителен на момент подписания. КриптоПро CSP — криптографическое ядро без удобного окна проверки, актуальная версия 5.0 R3 с сертификатом до 1 мая 2027 года. КриптоАРМ — приложение поверх криптопровайдера с развёрнутым отчётом, причём для проверки лицензия не нужна, в отличие от подписания. КриптоАРМ ГОСТ 3 отличает встроенный почтовый клиент, а встроенная подпись PDF есть в КриптоАРМ 6. Альтернативы — JinnClient, Litoria Desktop, КриптоЭксперт, Контур.Крипто, каждая под свой акцент.
Инструмент подбирают под вид подписи и формат файла. Присоединённая и откреплённая подпись без установки — Госуслуги или Добыто.Подпись бесплатно. Подпись внутри PDF — КриптоАРМ 6 или КриптоЭксперт. Протокол для суда — КриптоАРМ или КриптоПро с SDK. Статус сертификата в госреестре — e-trust.gosuslugi.ru по серийнику или Thumbprint. Один файл может дать разный результат в разных программах из-за разной трактовки требований — при расхождении ориентируйтесь на самый строгий инструмент и государственный реестр.
Для долговременного хранения закладывайте усовершенствованную подпись с меткой времени сразу при подписании: служба штампов времени даёт до 18 лет проверяемости, дальше документ переподписывают. Распечатка со штампом подписи юридической значимости не несёт — значим только электронный оригинал. И главное правило после подписания: сохраняйте сиг-файл и архив, иначе доказывать факт подписания будет нечем.
Часто задаваемые вопросы
Чем КриптоПро отличается от КриптоАРМ при проверке подписи?
Можно ли проверить электронную подпись бесплатно и без установки программ?
Почему один и тот же документ проверяется по-разному в разных программах?
Какой программой проверить подпись, встроенную в PDF (например, выписку из ЕГРЮЛ)?
Чем КриптоАРМ ГОСТ 3 отличается от КриптоАРМ 6?
Нужна ли лицензия для проверки подписи в КриптоАРМ?
Какие есть альтернативы КриптоПро и КриптоАРМ?
Что такое присоединённая и откреплённая подпись и как их проверять?
Почему подпись валидна, а программа пишет «сертификат недействителен»?
Как проверить статус сертификата через государственный реестр?
Как обеспечить проверяемость подписи при долговременном хранении 50 лет?
Имеет ли юридическую силу распечатка документа со штампом электронной подписи?
Нужна ли отдельная сертификация при использовании КриптоАРМ ГОСТ?
Проверка подписи — только верхушка работы с электронными документами. Если в компании накапливаются подписанные трудовые договоры, приказы и заявления, важно не просто их проверять, а хранить так, чтобы подпись оставалась валидной и через десять лет, и при проверке ГИТ. Сервис Добыто закрывает весь цикл: подписание кадровых документов, проверку подписи в момент подписания, электронный архив с метками времени и выгрузку с файлами подписей для проверяющих.
За время работы мы подключили компании по всей России и довели практику до того, что вся цепочка подписей фиксируется с отметками времени — это защита при проверках ГИТ и в суде. Подписи для сотрудников (ПЭП и УНЭП) входят в стоимость тарифа, отдельно покупать не нужно.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Проверка подписи в момент подписания и вся цепочка с отметками времени — защита при проверках ГИТ и в суде
- Электронный архив с длительным сроком хранения — доступ сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Готовый коннектор с 1С (ЗУП, КА) — ставится без привлечения разработчиков
- Мобильное приложение для подписания с телефона — в командировке, в отпуске, без похода в отдел кадров
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ