Проверка электронной подписи в системах электронного документооборота — это процедура, в ходе которой система или человек подтверждают, что документ подписан конкретным лицом и не менялся после подписания. Тут вы поймёте, что именно проверяется при поступлении документа в СЭД или КЭДО, какие сервисы для этого используют и как отличить настоящий электронный оригинал от картинки с нарисованным штампом. Заодно разберём, почему распечатка с синеньким квадратиком сама по себе не доказывает ничего. Это часть большого материала про проверку электронной подписи, где собран весь процесс от загрузки файла до получения протокола.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что подтверждает проверка электронной подписи в электронном документообороте
Проверка решает три задачи разом. Устанавливает авторство — кто подписал. Подтверждает целостность — текст не правили после подписания. И фиксирует невозможность отказа от авторства — подписант потом не скажет, что это был не он. Эти три функции прописаны в 63-ФЗ, который все профи между собой зовут просто «тройка». Закон работает уже почти 20 лет, и редакция, на которую мы опираемся, действует на текущий момент.
Звучит академично. На практике всё проще. Документ приходит в систему ЭДО, и она фоном, без вашего участия, прогоняет проверку. Если что-то не сходится — подсветит. Если всё ок — покажет зелёную галочку и данные подписанта. Вот эта зелёная галочка и есть результат той самой математики, которая под капотом считает хэш и сверяет сертификаты.
Зачем это вообще нужно работодателю? Подписанный трудовой договор, приказ, допник — всё это документы, которые могут всплыть в суде или на проверке ГИТ. И если подпись под ними не проверяется, то и юридической силы у документа нет. В практике Добыто мы видим, что компании путают факт подписания с его доказуемостью. Подписать-то подписали. А вот доказать через год, что подпись валидна — не могут, потому что не сохранили подпись в правильном формате.
Какие виды подписей проверяют в системах ЭДО: ПЭП, УНЭП, УКЭП
Тройка делит подписи на три вида, и проверяются они по-разному. Это важно, потому что от вида зависит, что вообще можно проверить.
Простая электронная подпись (ПЭП). Коды, пароли, одноразки из СМС. ПЭП фиксирует только сам факт подписания — и указывает на лицо. А вот целостность документа она не проверяет. То есть после подписания текст можно поменять, и ПЭП этого не покажет. Никаких криптографических преобразований с текстом не происходит. Поэтому при проверке ПЭП система смотрит не на документ, а на записи в журнале информационной системы: кто, когда, под какой учёткой совершил действие. Без регламента и идентификации пользователя такая подпись разваливается.
Усиленная неквалифицированная (УНЭП). Уже криптография. Получается двойным преобразованием: сначала система считает хэш — длинное число, однозначно соответствующее тексту, — потом этот хэш подписывается ключом. При проверке вторая сторона заново вычисляет хэш и сверяет. Совпали — документ не менялся. УНЭП проверяет и авторство, и целостность. Но юридическую силу она получает только при наличии соглашения между сторонами либо нормы закона.
Усиленная квалифицированная (УКЭП). Та же криптография плюс два обязательных условия. Первое — квалифицированный сертификат, выпущенный аккредитованным удостоверяющим центром, по форме из приказа ФСБ № 795. Второе — сертифицированные ФСБ средства подписи. УКЭП равнозначна собственноручной подписи по закону, без всяких дополнительных соглашений. Поэтому в кадровом ЭДО для трудовых договоров и ряда приказов используют именно её — либо УНЭП через Госключ.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Нюанс, на котором спотыкаются эйчары — не для каждого документа нужна УКЭП. Для внутренней кадровой первички часто хватает УНЭП, и это совсем другие денюжки для работодателя. Но проверять её надо так же строго, иначе на проверке окажется, что подпись формально есть, а доказать её нельзя.»
Что именно проверяет система электронного документооборота при поступлении документа
Когда в СЭД или КЭДО попадает документ с усиленной подписью, система прогоняет цепочку проверок. Их несколько, и каждая отвечает за свой кусок доверия.
Целостность документа. Система пересчитывает хэш файла и сравнивает с тем, что зашит в подпись. Не сошлось хоть на бит — значит, в документ внесли изменения после подписания, и подпись помечается невалидной.
Действительность сертификата. Сертификат подписанта — это отдельный электронный документ, в котором лежат реквизиты владельца: ФИО, СНИЛС и прочие атрибуты. Его тоже проверяют на целостность, как любой документ.
Срок действия. У ключа подписи и у сертификата свои сроки. Подписать можно до истечения срока действия ключа подписи. А проверить полученный документ — до истечения срока действия ключа проверки. Сертификат должен быть действителен на момент подписания.
Цепочка доверия. Сертификат лица подписан удостоверяющим центром, УЦ — вышестоящим, и так до головного удостоверяющего центра при Минцифры, который подписывает сертификаты всех аккредитованных УЦ. Система выстраивает эту цепочку и проверяет каждое звено. Если хоть одно не строится — доверия нет.
Статус отзыва. Тут работают два механизма. Список отозванных сертификатов — тот самый CRL, куда УЦ вносит скомпрометированные и отозванные сертификаты. И служба актуальных статусов по протоколу OCSP, которая отвечает на запрос «этот сертификат сейчас действителен?» в режиме реального времени. Если подписант потерял токен и отозвал сертификат, все документы, подписанные после внесения в список отзыва, проверку не пройдут.
Метка времени. Штамп времени фиксирует момент подписания. Без него при долгом хранении возникают риски — не доказать, что подписали именно тогда, когда сертификат был ещё действителен. На мой взгляд метка времени должна быть на любом серьёзном документе, хотя прямого требования в законе нет.
Чем отличается присоединённая подпись от отсоединённой при проверке
Форматы контейнеров подписи бывают двух основных видов, и проверяются они немного по-разному. Присоединённая подпись лежит внутри одного файла вместе с документом — это формат CMS, в обиходе сиг-файл. Загрузил один файл — система достала из него и документ, и подпись. Удобно: ничего не потеряешь.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Отсоединённая (откреплённая) подпись лежит рядом, отдельным файликом. То есть у вас два файла: исходный документ и файл подписи. Для проверки нужно загрузить оба — иначе система не с чем сверять хэш. На этом часто спотыкаются: человек открывает исходный документ, не видит никакого штампа и думает, что файл не подписан. А подпись просто лежит рядом отдельно. Если работаете с откреплёнными подписями, держите файл подписи вместе с документом — подробнее про файл с откреплённой УКЭП и его проверку мы разбирали отдельно.
Ещё бывают усовершенствованные форматы — CAdES. Это та же подпись, но в неё добавлены доказательства подлинности: штамп времени, ответ OCSP о статусе сертификата, архивная метка. О них поговорим в разделе про долгое хранение, потому что именно там они и нужны.
Образцы документов для электронного документооборота и работы с ЭП
Открыть список документов
| Документ | Скачать |
|---|---|
| Шаблон соглашения об электронном документообороте | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о переходе на КЭДО | Скачать |
| Памятка по настройке КЭП для налоговой инспекции | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя по сервису Добыто.КЭДО | Скачать |
| Примерная форма трудового договора по основному месту работы | Скачать |
Как проверить электронную подпись в системе ЭДО: инструменты и сервисы
Проверить подпись можно несколькими путями — от встроенного механизма самой системы до отдельных онлайн-сервисов. Выбор зависит от того, где лежит документ и кто проверяет.
Встроенная проверка в СЭД и КЭДО. Современные системы документооборота проверяют подпись автоматически при получении документа. Кадровик ничего руками не делает — открывает документ, видит статус и плашку с данными подписантов. В сервисе Добыто вся цепочка подписей фиксируется с отметками времени, и при проверке ГИТ или в суде можно выгрузить документ вместе с файлами подписи и протоколом. Это и есть нормальный рабочий процесс: проверка идёт фоном, а не превращается в отдельную операцию.
Портал Госуслуг. Бесплатный сервис проверки электронной подписи на Госуслугах принимает документ и файл подписи и выдаёт результат. Сервис умеет проверять и УКЭП, и УНЭП, и сертификат отдельно, и машиночитаемую доверенность (МЧД). Удобно, когда документ пришёл от внешнего контрагента, а своей системы под рукой нет. Государственный сервис, так что доверие к результату высокое.
КриптоПро CSP и КриптоАРМ. Десктопные программы для тех, кто работает с подписью локально. КриптоПро CSP — криптопровайдер, который стоит почти у всех, кто имеет дело с УКЭП. КриптоАРМ ГОСТ 3 — приложение с собственным почтовым клиентом, проверяет CMS и усовершенствованные CAdES. Через них же делают отсоединённую подпись и проверяют её — какие ещё программы для подписания документов ЭЦП подходят под разные задачи, мы сравнивали отдельно. Если нужно проверять документы пачками автоматически, есть серверное решение КриптоАРМ Server — оно проверяет подписи фоном, формирует протоколы в PDF и складывает результаты в базу.
Онлайн-сервисы. Контур.Крипто, Saby Crypto и подобные веб-сервисы проверяют подпись прямо в браузере, без установки программ. Загрузил файлы — получил статус. Для разовой проверки самое то.
Отдельная история — визуализация. Когда подпись отсоединённая, в исходном документе её не видно. Поэтому делают точную копию документа и добавляют в неё штампик с данными подписи — синенький квадратик. Целостность оригинала при этом не трогают. Этот штампик нужен только для наглядного просмотра и распечатки. Сам по себе он подпись не заменяет.
Если документы пришли от десятка разных контрагентов, с разными видами подписи и форматами контейнеров, ручная проверка каждого файла превращается в затык. Тут проще, когда система проверяет всё фоном и сама подсвечивает проблемные подписи. Наши специалисты настраивают автоматическую проверку входящих под конкретные маршруты согласования, чтобы кадровик не шарился по окнам в поисках сертификата.
Как проверить электронную подпись на документе: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите тип контейнера. Присоединённая подпись — один файл (сиг-файл). Отсоединённая — два файла: документ и отдельный файл подписи.
- Шаг 2. Откройте сервис проверки: встроенный механизм вашей СЭД, портал Госуслуг, КриптоАРМ или онлайн-сервис в браузере.
- Шаг 3. Загрузите файлы. Для присоединённой подписи — один файл. Для отсоединённой — и документ, и файл подписи вместе.
- Шаг 4. Запустите проверку и дождитесь результата: статус подписи, данные сертификата подписанта, срок действия и результат построения цепочки.
- Шаг 5. Сохраните протокол проверки в PDF. Этот отчёт пригодится при проверке ГИТ или в судебном споре как доказательство валидности подписи.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Протокол проверки подписи и почему штампик в PDF не равен оригиналу
Самое частое заблуждение в документообороте. Приходит PDF, на нём нарисован штампик: «документ подписан электронной подписью, сертификат такой-то». И человек считает, что этого достаточно. Это не так.
Распечатка или PDF с визуальным штампом сами по себе юридической значимости не несут. Штампик нарисован, проверить по нему подпись нельзя. Юридическую значимость несёт электронный оригинал, подписанный электронной подписью, — тот, который можно загрузить в сервис проверки и получить результат. Бумага со штампиком годится только для того, чтобы ознакомить человека с содержанием. Доказать ей ничего нельзя.
Поэтому важная вещь — протокол проверки. Это отчёт, который формирует сервис: какая подпись, чей сертификат, действителен ли он был на момент подписания, прошла ли проверка целостности. Протокол сохраняют в PDF и прикладывают к делу. Когда придёт выездная проверка, инспектору ГИТ нужен будет именно доступ к системе или электронные оригиналы с подписями, а не пачка распечаток. Все аккредитованные УЦ обязаны предоставлять ключи проверки, так что технически проверяющий может проверить любой ваш электронный документ сам.
Мария Ж, судебный эксперт по трудовому праву:
«Видела не один спор, где работодатель приносил в суд распечатки с плашкой подписи и был уверен в своей правоте. А доказать не мог — электронных оригиналов с подписью не сохранилось. Грабли тут одни и те же: люди хранят красивую картинку вместо сиг-файла. Картинку нельзя проверить, и весь документооборот летит к чертям.»
Проверка подписи при долговременном хранении кадровых документов
Кадровые документы хранятся долго. Часть — десятилетиями, отдельные категории до 50 лет. И вот тут возникает проблема. Сертификат подписи действует ограниченный срок — сейчас сертификаты выдают на срок до 12 лет, раньше было 15 месяцев. Что будет с подписью, когда сертификат протухнет, а документ ещё хранить 30 лет?
Ответ — усовершенствованная подпись. Это когда обычную подпись доводят до более высокого уровня, добавляя доказательства подлинности. Штамп времени фиксирует момент подписания. Метка OCSP подтверждает, что сертификат был действителен именно тогда. Архивная метка объединяет предыдущие две и подписывается поверх — так называемое ухаживание за подписью. Эти доказательства позволяют проверить подпись даже после того, как истёк срок действия сертификата.
В форматах это CAdES — CAdES-T со штампом времени, CAdES-X Long, CAdES-A архивный. Серверные решения вроде КриптоАРМ Server умеют периодически проверять документы в электронном архиве, находить те, что пора переподписать, и улучшать их автоматически. Для кадрового архива на десятки лет это не блажь, а условие, без которого подпись через 15 лет окажется непроверяемой. Мы в Добыто закладываем усовершенствование подписи и хранение до 50 лет с доступом к архиву даже при расторжении договора с провайдером — иначе долгое хранение теряет смысл.
Стоимость сервиса КЭДО с проверкой электронной подписи в Добыто
Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей. Проверка подписи и хранение входят в тарифы, отдельной строкой за неё не платят. Вот основные тарифы сервиса КЭДО Добыто.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | небольшие компании |
| Бизнес — неограниченно сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | минимум 50 сотрудников, 30 000 ₽ в год |
| Корпорация — всё из Бизнес, выделенный сервер, SLA 99.9%, API и кастомные интеграции | по запросу | крупный бизнес |
Окончательная цена зависит от того, сколько у вас человек, какой вид подписи нужен и нужны ли интеграции с учётной системой. Тариф Бизнес с УКЭП и электронным архивом подойдёт компаниям, которым важна проверяемость подписи на долгом сроке хранения. Чтобы прикинуть бюджет точнее, посмотрите актуальные тарифы сервиса Добыто — там разложено по позициям.
Типичные ошибки при проверке электронной подписи в документообороте
Первая ошибка — хранить визуализацию вместо оригинала. Компания сохраняет PDF с нарисованным штампом, а сиг-файл выбрасывает. Делают так ради экономии места и из-за непонимания, чем картинка отличается от подписи. Цена ошибки — документ становится недоказуемым. На проверке или в суде подтвердить подпись нечем, и документ можно считать неподписанным со всеми последствиями по ст. 5.27 КоАП.
Вторая — игнорировать срок действия и статус сертификата. Подписали документ сертификатом, который уже отозван или просрочен, и не заметили. Так делают, когда проверка не автоматизирована и человек просто жмёт «подписать». Цена — подпись невалидна, документ оформлен с нарушением.
Третья — терять файл отсоединённой подписи. Документ есть, а файла подписи рядом нет. Проверить нечего. Происходит при ручной пересылке файлов по почте, когда один из двух файлов забыли приложить. Цена — те же недоказуемые документы.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«За время работы мы выработали правило: проверка подписи и сохранение оригинала с протоколом должны идти автоматом, без участия человека. Как только это отдаётся на ручную работу кадровика — появляются косяки. Человек устаёт, забывает приложить файл, не смотрит на статус сертификата. Система не устаёт.»
Выводы: проверка электронной подписи в системах ЭДО
Проверка подписи в документообороте подтверждает три вещи: кто подписал, что документ не меняли и что подписант не отопрётся. Для УНЭП и УКЭП проверка криптографическая — система считает хэш, сверяет сертификат, строит цепочку доверия до головного УЦ, проверяет срок и статус отзыва через CRL и OCSP. Для ПЭП проверяют записи в журнале системы. Вид подписи определяет и набор проверок, и юридическую силу: УКЭП равнозначна собственноручной по 63-ФЗ без соглашений, УНЭП и ПЭП требуют соглашения сторон или нормы закона.
На практике держите два правила. Храните электронный оригинал с подписью, а не PDF со штампиком — картинку проверить нельзя, доказать ей ничего нельзя. И сохраняйте протокол проверки в PDF: при проверке ГИТ или в суде он подтверждает валидность. Для отсоединённых подписей всегда держите файл подписи вместе с документом. Для документов с долгим сроком хранения используйте усовершенствованную подпись с меткой времени и архивной меткой, иначе через годы подпись окажется непроверяемой.
Тренд на ближайшее время — проверка уходит в фон. Системы ЭДО проверяют подписи автоматически при поступлении документа, формируют протоколы и складывают оригиналы в архив. Ручная проверка остаётся для разовых случаев и внешних контрагентов. Готовиться стоит к тому, что доказуемость подписи на долгом сроке станет таким же стандартным требованием, как сейчас сама подпись.
Часто задаваемые вопросы
Можно ли проверить электронную подпись без интернета?
Что значит «подпись не валидна» при проверке в системе ЭДО?
Имеет ли юридическую силу PDF со штампом электронной подписи?
Как проверить подпись на документе от внешнего контрагента?
Чем присоединённая подпись отличается от отсоединённой при проверке?
Нужен ли штамп времени при подписании кадровых документов?
Что такое усовершенствованная электронная подпись?
Что проверяет инспектор ГИТ при выездной проверке электронных документов?
Что такое протокол проверки электронной подписи?
Остаётся ли документ действительным после истечения срока сертификата?
Можно ли проверить подпись, сделанную через Госключ?
Вы разобрались, что проверка подписи — это не зелёная галочка ради галочки, а доказуемость документа на годы вперёд. Сервис КЭДО Добыто берёт эту работу на себя: проверяет подписи фоном при поступлении документа, формирует протоколы и хранит электронные оригиналы вместе с файлами подписи. За время работы мы подключили сотни компаний — от небольших ИТ-команд до организаций с тысячами сотрудников в нескольких регионах.
Кадровику не нужно шариться по окнам в поисках сертификата или вручную сверять хэши. Система проверяет всё сама и подсвечивает проблемные подписи до того, как документ уйдёт дальше по маршруту.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет с усовершенствованием подписи — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Готовый коннектор с 1С (ЗУП, КА, ERP) — отправка на подписание одной кнопкой из привычного интерфейса
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ