Проверка ЭП в ЭДО: что проверяется автоматически и вручную

Q: Что такое метка времени и зачем она нужна при проверке?

Метка времени (TSP) фиксирует точный момент подписания. Без неё нельзя достоверно установить дату подписания, и проверка идёт на день проверки. Метка защищает от подписания задним числом и нужна для архивного хранения, чтобы документ оставался проверяемым после истечения срока сертификата.

Q: Можно ли проверить подпись по визуальному штампу в PDF?

Нет. Визуальный штамп с ФИО в PDF - графическое изображение, оно не несёт юридической значимости. Проверять нужно электронный оригинал с подписью через криптопровайдер или сервис проверки. Распечатка со штампом лишь знакомит с содержанием документа.

Q: Чем проверка на Госуслугах отличается от КриптоАРМ?

Госуслуги дают базовый результат - верна подпись или нет плюс реквизиты сертификата, без меток времени и расширенной цепочки. КриптоАРМ и КриптоПро DSS дают развёрнутый отчёт: формат CAdES, метки времени TSP, OCSP-ответы, полную цепочку. Для суда подходит развёрнутый протокол.

Проверка ЭП в ЭДО — процедура подтверждения того, что электронный документ подписан конкретным лицом и не менялся после подписания. Часть проверок система выполняет сама, фоном, за доли секунды — целостность файла, действительность сертификата, статус отзыва. Другую часть приходится контролировать вручную: момент подписания, наличие метки времени, полномочия по доверенности. Разберём, что именно проверяется автоматически, что остаётся на человеке, какие условия по 63-ФЗ делают подпись действительной и почему документ, который вчера проходил проверку, сегодня вдруг показывает ошибку. Это часть большого материала про проверку электронной подписи, где собраны все способы проверки ЭП — от Госуслуг до настольных программ.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что проверяется при верификации электронной подписи: два контура

Любая проверка ЭП распадается на два слоя. Первый — криптографический, технический. Сходится ли хэш, тот ли ключ, действует ли сертификат. Второй — юридический, смысловой. Тот ли это человек, были ли у него полномочия, годится ли эта подпись для этого документа. Машина закрывает первый слой почти полностью. Второй — наполовину, остальное на человеке.

Технически проверка работает так. Когда документ подписывают, средство ЭП считает хэш — длинное число, которое однозначно соответствует содержимому файла. Поменяешь в документе хоть запятую — хэш станет другим. Этот хэш шифруется закрытым ключом подписанта, и получается сама подпись. При проверке система заново считает хэш документа и сверяет его с тем, что зашит в подписи и расшифрован открытым ключом из сертификата. Совпали — документ не трогали после подписания. Не совпали — целостность нарушена, подпись недействительна.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Народ часто думает, что ‘проверить подпись’ — это просто глянуть, есть ли плашечка с ФИО внизу документа. Нет. Тот синенький квадратик в PDF — это картинка, нарисованная штука, юридически она ноль. Настоящая проверка лезет в саму крипту: пересчитывает хэш, строит цепочку до головного УЦ, дёргает список отзыва. Всё это происходит фоном, и пользователь видит только финал — зелёная галочка или красный крест.»

ПЭП проверяется иначе и проще — там нет криптографии. Простая подпись лишь фиксирует факт подписания через логин-пароль или одноразовый код, проверить целостность документа она не позволяет. Поэтому когда речь про автоматическую и ручную проверку, имеют в виду усиленные подписи — НЭП и УКЭП. На них и сосредоточимся.

Что проверяется автоматически

Система ЭДО и криптопровайдер берут на себя рутину — то, что человек физически не успел бы делать на потоке из сотен документов. Автоматически, без участия пользователя, проверяется следующее.

Целостность документа. Пересчёт хэша и сверка с подписью. Любое изменение файла после подписания ловится сразу.
Корректность самой подписи. Расшифровка хэша открытым ключом — подтверждение, что подпись создана соответствующим закрытым ключом.
Срок действия сертификата. Действовал ли сертификат на момент подписания или на день проверки.
Цепочка доверия. Построение цепочки от сертификата подписанта через аккредитованный УЦ до головного удостоверяющего центра. Если хоть одно звено не сходится — подпись не пройдёт.
Статус отзыва. Проверка по списку отозванных сертификатов (СОС/CRL) или через протокол OCSP в реальном времени — не отозван ли сертификат.
Метка времени. Если в подпись встроен штамп времени (TSP), система проверяет, когда именно документ был подписан, и не подписан ли он задним числом.

Для УКЭП этот автоматический контур закрывает почти все четыре условия действительности из статьи 11 63-ФЗ: сертификат выдан аккредитованным УЦ, аккредитация которого действовала на день выдачи; сертификат действителен на момент подписания или на день проверки; есть положительный результат проверки принадлежности подписи владельцу; соблюдены ограничения, если они есть в сертификате. Машина прогоняет все четыре пункта за секунду.

В практике Добыто мы видим, что для большинства кадровых и финансовых документов этого автоматического контура достаточно — если документооборот выстроен правильно и в подпись на этапе подписания закладывается метка времени. Проблемы начинаются там, где про метку забыли.

Проверка электронной подписи онлайн — сервис Добыто

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Перетащите или выберите файл

Файл подписи

Перетащите или выберите файл

Нажимая кнопку «Проверить подпись», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Что проверяется вручную

Автоматика отвечает на вопрос «подпись технически верна?». Но есть вопросы, на которые машина либо не отвечает вовсе, либо отвечает неполно — и тут включается человек.

Первое — соответствие подписанта и реального лица. Система подтверждает, что подпись принадлежит владельцу сертификата. Но владелец сертификата и тот, кто фактически нажал кнопку, — не всегда одно и то же. Классика: директор отдаёт свою закрытку секретарю, чтобы тот «подписал пачку документов скопом». Технически всё чисто, подпись пройдёт проверку. Юридически — вопрос, и решается он не криптографией, а здравым смыслом и регламентом.

Второе — полномочия. С переходом на машиночитаемые доверенности проверка усложнилась. Сотрудник подписывает документ от лица компании, и к подписи прикладывается МЧД — эмчедэшка, которая описывает его полномочия. Автоматика проверит, что МЧД действует и не отозвана. А вот хватает ли описанных в ней полномочий именно на этот документ — это смотрит человек. Машина не знает, что подписание договора на 50 миллионов выходит за рамки доверенности на «текущую хозяйственную деятельность».

Мария Ж, судебный эксперт по трудовому праву:
«Самый частый затык в суде — не сломанная крипта, а превышение полномочий. Подпись валидна, цепочка строится, зелёная галочка горит — а человек подписал то, на что доверенности не было. Вот тут вся автоматическая проверка летит к чертям, потому что вопрос уже не технический. Поэтому полномочия по МЧД мы всегда проверяем руками, отдельно от криптографии.»

Третье — момент подписания и метка времени. Если в подпись не встроен штамп времени, система не может достоверно установить, когда документ подписан. По статье 11 тогда сертификат проверяют на день проверки, а не на день подписания. И вот тут человек должен сообразить: документ подписан два года назад, сертификат с тех пор истёк — и сервис показывает «сертификат недействителен на момент проверки», хотя в момент подписания всё было в порядке. Это не дефект подписи, это отсутствие метки времени. Решается усовершенствованием подписи — добавлением штампа времени и OCSP-ответа для архивного хранения.

Четвёртое — пригодность вида подписи для конкретного документа. Машина не подскажет, что трудовой договор нельзя подписать простой подписью или что для подачи в госорган нужна именно УКЭП. Это знание, а не вычисление.

Связка «подпись валидна, но полномочий не было» или «сертификат истёк, потому что забыли метку времени» — то место, где компания теряет юридическую значимость документа уже после подписания. Распутывать это в суде дороже, чем настроить процесс заранее. В сервисе Добыто проверка подписи, МЧД и метки времени собрана в один процесс — и при подписании метка времени проставляется автоматически, чтобы документ не «протух» через год.

Оставить заявку

Чем проверяют ЭП: от Госуслуг до серверной автоматизации

Инструменты проверки отличаются глубиной отчёта. Выбор зависит от того, что вам нужно — быстро глянуть статус или получить развёрнутый протокол для суда.

Портал Госуслуг и браузерные сервисы дают базовый результат — верна подпись или нет, плюс реквизиты сертификата. Удобно, ничего ставить не надо, но без меток времени и расширенной цепочки доверия. Настольные программы — КриптоАРМ, КриптоПро DSS — дают развёрнутый отчёт: формат CAdES (BES, T, X Long, A), метки времени TSP, OCSP-ответы, полную цепочку. Это уже уровень доказательства.

Отдельная история — автоматическая проверка на потоке. Когда в организацию ежедневно приходят сотни подписанных документов, проверять каждый руками невозможно. Тут используют серверные решения вроде КриптоАРМ Server, которые фоном проверяют входящие документы, обрабатывают присоединённые и откреплённые подписи, формируют протоколы проверки в PDF и складывают результаты в базу. Около 80% запросов на автоматизацию у вендоров приходится именно на проверку и улучшение подписи — это самая массовая операция в ЭДО.

Для архивов есть ещё одна задача — периодическая переподпись. Сертификаты, которыми подписаны старые документы, со временем истекают, криптоалгоритмы устаревают. Серверное решение само находит в архиве документы, которые пора усовершенствовать, добавляет архивную метку (то самое «ухаживание за подписью») и переподписывает их поверх — так документ остаётся проверяемым и через 50 лет.

Образцы документов и шаблоны для работы с ЭП и ЭДО

Открыть список документов

Документ	Скачать
Шаблон соглашения по ЭДО	Скачать
Приказ о введении КЭДО	Скачать
Приказ о КЭДО	Скачать
Правила обработки персональных данных	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Руководство пользователя Добыто КЭДО	Скачать
Примерная форма трудового договора	Скачать
Образец приказа о приёме на работу	Скачать

Почему документ перестал проходить проверку: типичные ошибки

Первая и самая массовая ошибка — подписание без метки времени. Документ подписали, всё прошло, забыли про штамп времени. Через год сертификат истёк, и любой проверяющий видит «сертификат недействителен на момент проверки». Документ при этом был подписан законно. Цена ошибки — потеря юридической значимости целого массива документов, которые придётся усовершенствовать задним числом, если это ещё возможно. Бизнес-мотив прост: метка времени — дополнительный платный сервис УЦ, и на ней пытаются сэкономить.

Вторая ошибка — неправильно построенная цепочка доверия. На машине проверяющего нет корневого или промежуточного сертификата УЦ, либо стоит чужой промежуточный сертификат того же УЦ. Подпись валидна, а проверка показывает ошибку. Лечится установкой правильных корневых сертификатов и актуального списка отзыва (СОС/CRL). Делают так ради экономии времени — не настраивают рабочее место заранее, а потом удивляются красному кресту.

Третья ошибка — отзыв сертификата без ведома получателя. УЦ может отозвать сертификат по запросу владельца, по решению суда или при собственной ликвидации. Если документ подписан после отзыва — подпись недействительна. Проверяется это автоматически по СОС, но человек должен понимать, что свежая проверка старого документа может дать новый результат.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Главная грабля у тех, кто внедряет ЭДО самостоятельно — они настраивают подписание и забывают про архивное хранение. Подпись без метки времени — это бомба замедленного действия. Сегодня документ проверяется, через год нет. Мы на проектах сразу закладываем метку времени и OCSP-ответ в подпись, чтобы клиент не собирал потом эти грабли по всему архиву.»

Как проверить ЭП на документе в ЭДО: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Определите тип подписи: присоединённая (подпись внутри файла) или откреплённая (отдельный файл .sig рядом с документом).
Шаг 2. Загрузите документ в сервис проверки. Для присоединённой подписи — один файл, для откреплённой — и документ, и файл подписи.
Шаг 3. Запустите проверку. Система автоматически сверит целостность, действительность сертификата, построит цепочку доверия и проверит статус отзыва.
Шаг 4. Проверьте вручную метку времени и момент подписания — особенно для старых документов и архива.
Шаг 5. Если к подписи приложена МЧД — сверьте полномочия подписанта с содержанием документа. Скачайте протокол проверки в PDF для хранения.

Стоимость подключения ЭДО с проверкой подписи и метками времени

Стоимость зависит от численности сотрудников, выбранного тарифа и набора подключаемых модулей. Проверка подписи, поддержка меток времени и архивное хранение идут в составе сервиса КЭДО, отдельной строкой за «проверку» платить не нужно.

Тариф	Стоимость	Условия
Старт — для небольших компаний, начинающих переход на ЭДО	от 30 ₽ за сотрудника / мес	до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны
Бизнес — для среднего бизнеса с полным набором функций	от 50 ₽ за сотрудника / мес	неограниченно сотрудников, ПЭП, УНЭП и УКЭП, электронный архив
Корпорация — для крупного бизнеса с расширенными требованиями и SLA	По запросу	выделенный сервер, SLA 99.9%, API и кастомные интеграции

На тарифе Бизнес действует минимальная оплата — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от численности штата, набора модулей и вида электронной подписи — актуальные тарифы сервиса Добыто помогут рассчитать стоимость под вашу компанию точнее.

Выводы: что важно запомнить о проверке ЭП в ЭДО

Проверка электронной подписи делится на автоматическую и ручную. Автоматически система сверяет целостность документа через хэш, корректность подписи, срок действия сертификата, цепочку доверия до головного УЦ и статус отзыва по СОС или OCSP. Для УКЭП этот контур закрывает четыре условия действительности из статьи 11 63-ФЗ. Вручную остаётся то, что машина не вычисляет: соответствие подписанта реальному лицу, достаточность полномочий по МЧД, наличие метки времени и пригодность вида подписи для конкретного документа.

На практике главное правило — закладывать метку времени при подписании. Без неё сертификат проверяется на день проверки, и через год после истечения срока документ перестаёт проходить проверку, хотя был подписан законно. Для архивного хранения подпись усовершенствуют — добавляют штамп времени и OCSP-ответ, периодически переподписывают документы поверх архивной меткой. Цепочку доверия и список отзыва на рабочем месте проверяющего держат в актуальном состоянии, иначе валидная подпись покажет ошибку.

С распространением МЧД и ростом сроков хранения электронных документов до 50 лет проверка смещается в сторону автоматизации потока и долговременного хранения. Компании всё чаще ставят серверные решения, которые проверяют входящие документы фоном и сами ухаживают за подписями в архиве. Эта тенденция в ближайшие годы станет стандартом для организаций с большим объёмом ЭДО.

Часто задаваемые вопросы

Что проверяется при верификации электронной подписи в первую очередь?

Сначала целостность документа: система пересчитывает хэш файла и сверяет с тем, что зашит в подписи. Если совпало — документ не меняли после подписания. Затем проверяется действительность сертификата, цепочка доверия до головного УЦ и статус отзыва. Всё это система делает автоматически за доли секунды.

Чем отличается автоматическая проверка ЭП от ручной?

Автоматически проверяются технические параметры: целостность, корректность подписи, срок сертификата, цепочка доверия, статус отзыва, метка времени. Вручную контролируют то, что машина не вычисляет: соответствие подписанта реальному лицу, достаточность полномочий по МЧД, пригодность вида подписи для документа.

Какие условия делают квалифицированную подпись действительной?

По статье 11 63-ФЗ одновременно: сертификат выдан аккредитованным УЦ с действующей на день выдачи аккредитацией; сертификат действителен на момент подписания или на день проверки; есть положительный результат проверки принадлежности подписи владельцу; соблюдены ограничения, если они указаны в сертификате. УКЭП признаётся действительной, пока решением суда не установлено иное.

Почему документ раньше проходил проверку, а теперь нет?

Чаще всего причина — отсутствие метки времени. Без неё сертификат проверяется не на момент подписания, а на день проверки. Когда сертификат истёк, сервис показывает «сертификат недействителен на момент проверки», хотя в момент подписания всё было в порядке. Решение — усовершенствовать подпись штампом времени и OCSP-ответом. Другие причины: отзыв сертификата или неправильно построенная цепочка доверия.

Что такое метка времени и зачем она нужна при проверке?

Метка времени (штамп времени, TSP) фиксирует точный момент подписания документа. Без неё нельзя достоверно установить, когда документ подписан, и проверка идёт на день проверки, а не на день подписания. Метка времени защищает от подписания задним числом и нужна для архивного хранения, чтобы документ оставался проверяемым после истечения срока сертификата.

Можно ли проверить подпись по визуальному штампу в PDF?

Нет. Визуальный штамп с ФИО подписанта в PDF — это графическое изображение, нарисованная метка. Сам по себе он не несёт юридической значимости и не подтверждает подпись. Проверять нужно электронный оригинал с подписью через криптопровайдер или сервис проверки. Распечатка со штампом лишь знакомит с содержанием документа.

Чем проверка на Госуслугах отличается от КриптоАРМ?

Госуслуги и браузерные сервисы дают базовый результат — верна подпись или нет, плюс реквизиты сертификата, без меток времени и расширенной цепочки доверия. КриптоАРМ и КриптоПро DSS — настольные программы с развёрнутым отчётом: формат CAdES (BES, T, X Long, A), метки времени TSP, OCSP-ответы, полная цепочка. Для суда подходит развёрнутый протокол.

Как проверяется ЭП, если документов сотни в день?

На потоке используют серверные решения вроде КриптоАРМ Server. Они фоном проверяют входящие документы, обрабатывают присоединённые и откреплённые подписи, формируют протоколы проверки в PDF и складывают результаты в базу. Около 80% запросов на автоматизацию у вендоров приходится на проверку и улучшение подписи — это самая массовая операция в ЭДО.

Что такое присоединённая и откреплённая подпись и как их проверять?

Присоединённая подпись включена внутрь документа — проверяется загрузкой одного файла. Откреплённая лежит рядом отдельным файлом (обычно .sig) — для проверки нужно загрузить и сам документ, и файл подписи. Сервисы проверки обрабатывают оба формата, в том числе CMS и CAdES. Можно загрузить и zip-архив с подписанными файлами.

Как проверяются полномочия подписанта по МЧД?

Машиночитаемая доверенность прикладывается к подписи и описывает полномочия сотрудника, подписывающего от лица компании. Автоматически проверяется, что МЧД действует и не отозвана. А достаточность полномочий именно на этот документ оценивает человек — система не знает, что подписание выходит за рамки доверенности. Реквизиты и объём полномочий по МЧД проверяют отдельно.

Действительна ли подпись после истечения срока сертификата?

Если в подпись встроена метка времени, фиксирующая момент подписания, подпись остаётся проверяемой и после истечения сертификата — сертификат проверяется на момент подписания. Без метки времени проверка идёт на день проверки, и после истечения сертификата подпись покажет ошибку. Для долговременного хранения подпись усовершенствуют до форматов CAdES со штампом времени и архивной меткой.

Нужна ли проверка подписи для документов с ПЭП?

У простой электронной подписи нет криптографии, проверить целостность документа она не позволяет. ПЭП лишь фиксирует факт подписания через логин-пароль или одноразовый код. Поэтому криптографическая проверка применяется к усиленным подписям — НЭП и УКЭП. Для ПЭП значимы регламент информационной системы и возможность определить лицо, подписавшее документ.

Проверка ЭП в ЭДО — это связка криптографии и юридической оценки. Технический контур закрывает автоматика, но юридическую значимость документа на дистанции обеспечивает правильно настроенный процесс: метка времени при подписании, актуальная цепочка доверия, усовершенствование подписи для архива. Сервис Добыто берёт эту обвязку на себя — проверка подписи, МЧД и меток времени собрана в одном интерфейсе.

За время работы мы подключили более 500 компаний к электронному документообороту — от стартапов до организаций с тысячами сотрудников. И почти в каждом проекте видим одну и ту же картину: документы, подписанные без метки времени на старых этапах, через год перестают проходить проверку. Грамотно настроенный процесс снимает эту проблему ещё до того, как она доходит до суда.

Проверка присоединённой и откреплённой подписи в браузере, без установки криптопровайдера
Автоматическая метка времени при подписании — документ не теряет значимость после истечения сертификата
Поддержка ПЭП, УНЭП и УКЭП — под любой документ и любой процесс ЭДО
Проверка МЧД: реквизиты, срок действия, объём полномочий и связь с подписантом
Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
Хранение документов до 50 лет с усовершенствованием подписи для архива
Готовый коннектор с 1С — отправка на подписание и проверка одной кнопкой