Проверка подлинности документа подписанного электронной подписью — процедура, которая подтверждает целостность файла, авторство подписанта и действительность сертификата на момент подписания. Без проверки вы принимаете документ на веру, а это в кадровом ЭДО чревато: трудовой договор с невалидной ЭП в суде ничего не стоит, приказ с отозванным сертификатом ГИТ не примет. Разберем конкретные инструменты и порядок действий для каждого типа подписи. Тема тесно связана с общим разбором того, как проверить электронную подпись на подлинность документа, где описаны базовые принципы и алгоритмы верификации.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что именно проверяет электронная подпись в документе
Когда сотрудник подписывает кадровый документ ЭП, криптографический алгоритм фиксирует хэш-сумму файла и привязывает к ней закрытый ключ владельца. Проверка подлинности — обратный процесс: вы берете открытый ключ из сертификата, пересчитываете хэш документа и сравниваете с тем, что зашито в подпись. Если хоть один байт изменился после подписания — хэши не совпадут.
По сути проверка отвечает на три вопроса. Первый — целостность: документ не менялся после подписания? Второй — авторство: сертификат принадлежит тому, кто указан подписантом? Третий — действительность: на момент подписания сертификат не отозван и не просрочен? Для УКЭП добавляется четвертый вопрос — выдан ли сертификат аккредитованным УЦ из перечня Минцифры.
Нюанс в том, что для разных типов ЭП глубина проверки отличается. ПЭП (логин-пароль, смс-код) проверять в криптографическом смысле нечего — система просто фиксирует факт входа и действие пользователя. Для УНЭП и УКЭП проверка полноценная: сертификат, цепочка доверия, CRL или OCSP-ответ. В практике Добыто мы сталкиваемся с тем, что эйчары путают эти уровни и пытаются проверить ПЭП через КриптоПро. Это бессмысленно — простая подпись не создает криптографического файла подписи.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Частая история — кадровик получает подписанный трудовой договор, видит зеленую галочку в системе и считает что все ок. А потом выясняется что серт был отозван за 2 дня до подписания. Зеленая галочка в этом случае — артефакт кэша OCSP. Проверять нужно не иконку, а реальный статус сертификата на дату подписания. Это занимает 30 секунд, но экономит месяцы в суде.»
Какие виды ЭП подлежат проверке и в чем разница
63-ФЗ разделяет электронные подписи на три вида, и для проверки подлинности документа это принципиально. ПЭП подтверждается записью в журнале информационной системы — логом входа, SMS-кодом, одноразкой. Проверить ее вне системы, в которой она создана, нельзя. УНЭП (неквалифицированная) уже создает криптографический файл подписи, но сертификат выдает не аккредитованный УЦ, а сама система или оператор. УКЭП — полноценная квалифицированная подпись с сертификатом от аккредитованного удостоверяющего центра.
Для кадровых документов по 377-ФЗ допустимы все три вида, но с ограничениями. Трудовой договор, приказ об увольнении, акт о несчастном случае — требуют УКЭП со стороны работодателя. Заявления на отпуск, ознакомление с ЛНА, табель — работник подписывает ПЭП или УНЭП (если есть соглашение). Госключ выдает УНЭП бесплатно через подтвержденную учетку ЕСИА — порядка 70% клиентов сервисов КЭДО выбирают этот вариант для сотрудников.
Проверка УКЭП и УНЭП отличается в одном существенном моменте. УКЭП проверяется любым средством, которое поддерживает российскую криптографию — КриптоПро, Госуслуги, Контур Крипто, КриптоАРМ. УНЭП проверяется только в рамках той системы, которая ее выпустила, или через открытый ключ если он опубликован. Мы в сервисе Добыто реализовали автоматическую проверку обоих типов при поступлении подписанного документа — кадровику не нужно запускать отдельные программы.
Как проверить подлинность документа через Госуслуги
Портал Госуслуги предоставляет бесплатный сервис проверки электронных подписей. Работает он с УКЭП и сертификатами от аккредитованных УЦ. Для УНЭП, выпущенной через Госключ, тоже подходит — Минцифры обеспечила эту интеграцию.
Порядок действий простой. Открываете gosuslugi.ru/eds, выбираете тип проверки — подпись на документе (присоединенная) или отдельный файл подписи (отсоединенная). Загружаете файлы. Для отсоединенной подписи нужны два файла: сам документ и sig-файл. Система проверяет сертификат по цепочке доверия, сверяет хэш документа с подписью, проверяет статус сертификата через OCSP. Результат — отчет со статусом: подпись верна / подпись неверна, данные владельца сертификата, срок действия, имя УЦ.
Ограничение сервиса Госуслуг — он не проверяет подписи, созданные с использованием зарубежных криптоалгоритмов (RSA, ECDSA). Только ГОСТ Р 34.10-2012. Для внутрироссийского кадрового ЭДО это не проблема — все УКЭП и УНЭП строятся на ГОСТе. Но если вы получили документ от иностранного контрагента с подписью по стандарту CAdES на RSA — Госуслуги его не проверят.
Мария Ж, юрист со стажем более 20 лет:
«Госуслуги — первый инструмент, который я рекомендую кадровикам для проверки. Бесплатно, без установки, работает из браузера. Единственный момент — сервис иногда медленно отвечает при массовой проверке, тут уже нужен КриптоПро или автоматизация через КЭДО-систему.»
Проверка подписанного документа в КриптоПро CSP
КриптоПро CSP 5.0 R3 — криптопровайдер, который стоит на машине у каждого, кто работает с УКЭП. Проверка подписи через КриптоПро выполняется несколькими способами: через графический интерфейс, через командную строку (cpverify) или через браузерный плагин.
Самый быстрый вариант для кадровика — проверка файла с откреплённой УКЭП через КриптоАРМ ГОСТ 3. Программа показывает: статус подписи (действительна/недействительна), сведения о подписанте (ФИО, ИНН, ОГРН), имя УЦ, дату и время подписания, алгоритм подписи (ГОСТ Р 34.10-2012), статус сертификата на дату проверки. Если подпись присоединенная — загружаете один файл. Если отсоединенная — два: документ плюс сиг-файл.
Через командную строку проверка выглядит так: cpverify -verify -in document.pdf -signature document.pdf.sig. Для пакетной проверки кадровых документов это удобнее — можно написать скрипт на 10 строк и прогнать сотню файлов за минуту. На тестовой странице КриптоПро (cryptopro.ru/sites/default/files/products/cades/demopage/simple.html) тоже проверяется подпись — но только для быстрой диагностики, не для промышленного использования.
Лицензия КриптоПро CSP 5.0 для проверки подписей не нужна. Проверка работает в демо-режиме бесплатно. Лицензия требуется только для создания подписи. Если используете сертификат от ФНС — лицензия КриптоПро идет бесплатно вместе с сертификатом, но только для владельца этого конкретного серта.
Образцы документов для проверки и настройки ЭП
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
Онлайн-сервисы проверки: Контур Крипто и аналоги
Если КриптоПро не установлен на машине — подойдут онлайн-сервисы. Контур Крипто (crypto.kontur.ru) работает через браузер, бесплатно, без регистрации. Загружаете документ и sig — получаете отчет о статусе подписи, данных подписанта, валидности сертификата. Сервис поддерживает CAdES-BES и CAdES-T, проверяет OCSP-статус и метки времени TSP.
Альтернативы — СБИС (Тензор) и онлайн-верификатор от КриптоПро. Saby Crypto помимо проверки умеет подписывать документы прямо в браузере, но для этого нужен установленный КриптоПро CSP и плагин. Для чистой проверки — Контур Крипто проще. А вот для выбора программы для подписания документов ЭЦП нужно учитывать тип подписи, операционную систему и наличие токена.
Наши специалисты в Добыто подключают автоматическую проверку при приеме документа в систему. Кадровик видит результат сразу: зеленая плашка — подпись валидна, красная — ошибка с расшифровкой причины. Не нужно открывать сторонний сервис, копировать файлы, ждать. Все проверяется в момент загрузки.
Настройка проверки подписей в кадровом ЭДО — процесс, который требует знания специфики каждого вида ЭП и интеграции с OCSP-серверами удостоверяющих центров. Сервис Добыто берет эту задачу на себя: автоматическая валидация при каждом подписании, проверка цепочки сертификатов и фиксация результата с метками времени.
Что делать если проверка показала ошибку
Ошибки при проверке подписи делятся на три категории: нарушение целостности документа, проблема с сертификатом, технический сбой. Каждая требует разного подхода.
Нарушение целостности — самая серьезная ситуация. Хэш документа не совпадает с хэшем в подписи. Это означает, что файл изменился после подписания. Причины бывают невинные: кто-то пересохранил PDF с другим сжатием, конвертер изменил кодировку, антивирус вставил метаданные. Или документ реально подделали. В обоих случаях подпись недействительна. Документ нужно подписать заново с исходным файлом.
Проблемы с сертификатом — отозван, просрочен, не удается построить цепочку доверия до корневого сертификата. Отзыв проверяется через CRL (список отозванных сертификатов) или OCSP (онлайн-протокол проверки статуса). Если OCSP-сервер УЦ недоступен — КриптоПро выдаст ошибку, хотя сертификат в порядке. Подождите и повторите проверку. Если сертификат реально отозван — документ нужно переподписать с действующим сертификатом.
Техническая ошибка — нет корневого сертификата УЦ в хранилище, не установлен КриптоПро, браузер не поддерживает ГОСТ-алгоритмы. Решение — установить корневые сертификаты головного УЦ Минцифры и промежуточные сертификаты того УЦ, который выдал подпись. Скачать их можно на сайте УЦ или через e-trust.gosuslugi.ru.
Мария Ж, судебный эксперт по трудовому праву:
«В суде я видела случай, когда работодатель предъявил трудовой договор с УКЭП, а экспертиза показала что хэш не совпадает. Оказалось бухгалтерия открыла PDF в редакторе, поправила опечатку в ФИО и сохранила. Подпись слетела. Документ признали ненадлежащим доказательством. Поэтому мы говорим клиентам: подписанный документ — неприкасаемый. Редактировать — отзывать подпись, править, подписывать заново.»
Проверка подлинности при долгосрочном хранении
Кадровые документы хранятся до 50 лет (приказы по личному составу) и 75 лет (личные дела). Сертификат ЭП действует 12-15 месяцев. Через 2 года OCSP-сервер УЦ может закрыться, через 5 лет криптоалгоритм устареет. Как проверить подлинность документа через 20 лет?
Ответ — метки времени TSP и формат подписи CAdES-A (архивная). При подписании запрашивается метка времени у TSA-сервера (Time-Stamp Authority), которая фиксирует момент подписания. Это доказывает, что на дату подписания сертификат был действителен. По стандарту TSP-метка действительна до 18 лет. Для хранения дольше 18 лет используется ухаживание за подписью — КриптоПро Archive наращивает метки времени, переподписывая документ актуальным алгоритмом поверх предыдущей подписи. Фактически — архивариус.
В сервисе Добыто мы храним документы с полной цепочкой доказательств: исходный файл, файл подписи, OCSP-ответ на дату подписания, TSP-метку. Даже если УЦ ликвидируется через 5 лет — факт валидности подписи зафиксирован в OCSP-ответе, который сохранен рядом с документом. Доступ к архиву сохраняется даже при расторжении договора с провайдером.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Хранение подписанных документов — это не просто место на диске. Это целая инфраструктура: OCSP-ответы, TSP-метки, цепочки сертификатов. Без них через 3 года ваш архив превращается в набор файлов, подлинность которых доказать не получится. Мы закладываем это в архитектуру при подключении каждого клиента.»
Стоимость сервисов проверки и КЭДО в 2026 году
Проверка подписей через Госуслуги, Контур Крипто и КриптоПро (в режиме проверки) бесплатна. Расходы начинаются при организации систематической работы с подписанными документами: КЭДО-система, лицензии на криптопровайдер, токены для УКЭП.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| КЭДО Добыто — тариф Старт | от 30 ₽ за сотрудника/мес | до 25 сотрудников |
| КЭДО Добыто — тариф Бизнес | от 50 ₽ за сотрудника/мес | минимум 50 сотрудников, 30 000 ₽/год |
| КЭДО Добыто — тариф Корпорация | по запросу | выделенный сервер, SLA 99.9% |
| ПЭП и УНЭП для сотрудников | входит в тариф | все тарифы |
| Проверка подписей (Госуслуги, Контур Крипто) | бесплатно | без ограничений |
| КриптоПро CSP 5.0 (проверка подписи) | бесплатно (демо) | лицензия — для подписания |
Итоговая сумма зависит от численности персонала, выбранного тарифа и объема подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. На всех тарифах электронные подписи ПЭП и УНЭП для сотрудников выпускаются бесплатно. УКЭП оформляется через партнеров-удостоверяющих центров или бесплатно в ФНС (для руководителей и ИП).
Мария Ж, HR-эксперт с 13-летним стажем:
«Самая частая ошибка при планировании бюджета на КЭДО — считать только лицензии. А потом выясняется что нужны токены для УКЭП работодателя, сертификаты, обучение кадровиков. На одном из наших проектов (производство, 1200 человек) только обучение заняло 3 недели. Но зато потом проверка подписей происходит автоматически и ни один документ не проходит без валидации.»
Как проверить подлинность подписанного документа: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите тип подписи. Если документ пришел с отдельным sig-файлом — подпись отсоединенная. Если sig-файла нет, подпись встроена в сам документ (присоединенная). Для ПЭП (логин-пароль, SMS) криптографической проверки нет — подлинность подтверждается журналом информационной системы.
- Шаг 2. Выберите инструмент проверки. Для быстрой проверки без установки ПО — откройте gosuslugi.ru/eds или crypto.kontur.ru. Для пакетной проверки — КриптоАРМ ГОСТ 3 или КриптоПро CSP (команда cpverify).
- Шаг 3. Загрузите файлы в сервис. Для отсоединенной подписи загрузите два файла: исходный документ и sig-файл. Для присоединенной — один файл. Дождитесь результата проверки.
- Шаг 4. Проверьте результат. Убедитесь что: подпись математически верна (хэш совпадает), сертификат действителен (не отозван, не просрочен), сертификат выдан аккредитованным УЦ (для УКЭП), ФИО и реквизиты подписанта соответствуют ожидаемым.
- Шаг 5. Сохраните результат проверки. Сделайте скриншот или экспортируйте отчет. Для долгосрочного хранения сохраните OCSP-ответ и TSP-метку рядом с документом — это пригодится для подтверждения подлинности через несколько лет.
Выводы: проверка подлинности документа с электронной подписью
Проверка подлинности документа с ЭП сводится к трем операциям: сверка хэша документа с хэшем в подписи (целостность), проверка сертификата подписанта через OCSP или CRL (действительность), подтверждение цепочки доверия до корневого сертификата УЦ (авторство). Для УКЭП все три операции выполняются бесплатно через Госуслуги (gosuslugi.ru/eds), КриптоПро CSP или Контур Крипто. Для УНЭП проверка возможна в рамках системы, выпустившей подпись. ПЭП криптографически не проверяется — подлинность фиксируется журналом системы.
При организации кадрового ЭДО критично настроить автоматическую проверку подписей на этапе приема документа в систему. Ручная проверка через сторонние сервисы подходит для единичных случаев, но при потоке в 50-100 кадровых документов в день становится непродуктивной. Ошибки проверки (невалидная подпись, отозванный сертификат, нарушение целостности) требуют переподписания документа — без исключений.
Для долгосрочного хранения кадровых документов (до 50-75 лет) необходимо сохранять вместе с документом OCSP-ответ и TSP-метку на дату подписания. Без этих артефактов подтвердить подлинность подписи через 3-5 лет после истечения сертификата будет невозможно. Формат архивной подписи CAdES-A и ухаживание за подписью через КриптоПро Archive решают эту задачу на горизонте 18+ лет.
Часто задаваемые вопросы
Можно ли проверить электронную подпись без установки КриптоПро?
Чем отличается проверка присоединенной и отсоединенной подписи?
Что означает ошибка «сертификат отозван» при проверке подписи?
Как проверить подпись документа в формате PDF?
Нужна ли лицензия КриптоПро для проверки электронной подписи?
Как убедиться что документ не изменяли после подписания?
Можно ли проверить подпись на телефоне?
Что такое TSP-метка и зачем она при проверке подписи?
Как проверить МЧД вместе с подписанным документом?
Можно ли проверить УНЭП выданную через Госключ вне этого приложения?
Как хранить результат проверки подписи для ГИТ?
Почему после обновления Windows подпись перестала проверяться?
Проверка подлинности подписанных кадровых документов — задача, которую сервис Добыто автоматизирует при подключении КЭДО. Каждый документ проходит валидацию в момент подписания: проверка сертификата, цепочки доверия, OCSP-статуса и целостности файла. Результат фиксируется с метками времени и хранится в электронном архиве.
За время работы сервиса Добыто подключено более 500 компаний к кадровому ЭДО. В каждом проекте выстраивается полный цикл: от выпуска подписей сотрудникам до автоматической проверки и архивного хранения с OCSP-ответами.
- Поддержка всех трех видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Защищенные каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному