Проверка подписи файла через КриптоАРМ — это операция, которая показывает, кто подписал документ, не меняли ли его после подписания и действовал ли сертификат в момент создания подписи. Разберём по шагам, что установить на компьютер, как загрузить присоединённую и отсоединённую подпись (тот самый файл .sig), как прочитать статус и цепочку сертификации, и что делать, когда программа пишет «подпись недействительна». Это часть большого материала про проверку электронной подписи, где собраны все способы проверки — от Госуслуг до программ на компьютере.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что показывает проверка подписи в КриптоАРМ
КриптоАРМ ГОСТ 3 — универсальное средство электронной подписи, которое подписывает, шифрует, расшифровывает и проверяет файлы на компьютере или мобильном устройстве. Когда вам прислали подписанный документ и нужно убедиться, что с ним всё в порядке, программа отвечает на три вопроса сразу. Первый: чья подпись стоит на файле, кому выдан сертификат. Второй: менялся ли документ после подписания хоть на один байт. Третий: был ли сертификат действующим на момент, когда человек нажал «подписать».
Вот тут важный нюанс. Многие думают, что проверка — это про «настоящая подпись или поддельная». На практике поддельную ГОСТ-подпись подобрать нереально, криптография не та. Проверка отвечает на другое: целостность документа и доверие к сертификату. Если после подписания в файле поправили хоть запятую, программа сразу покажет, что хеш не сходится. И подпись слетает в статус недействительной, хотя сам серт настоящий.
Мария Ж, судебный эксперт по трудовому праву: «Чаще всего ко мне приходят не с подделкой, а с банальностью — документ открыли, пересохранили через другую программу, и целостность нарушилась. Подпись сразу краснеет. Поэтому правило простое: подписанный файл не трогаем, не конвертируем, проверяем ровно тот, что прислали.»
Какие форматы подписи проверяет КриптоАРМ
Электронная подпись бывает двух видов по способу хранения, и КриптоАРМ работает с обоими. Присоединённая подпись лежит внутри одного файла вместе с документом — открываете один файл, и подпись там же, «зашита» в контейнер. Отсоединённая (она же открепленная) подпись — это отдельный файл с расширением .sig или .sgn рядом с исходным документом. Если вам прислали договор.pdf и договор.pdf.sig, значит подпись отсоединённая, и для проверки нужны оба файла сразу.
По стандартам программа понимает классический CMS (в речи спикеры зовут его «ЦМС»), усовершенствованный CAdES и архивный CAdES-A с метками времени. Метка времени (TSP, по-нашему «штампик времени») и ответ службы статусов сертификатов (OCSP) — это дополнительные доказательства внутри подписи. Они фиксируют, что в конкретную секунду сертификат был жив, и позволяют проверить подпись даже спустя годы, когда сам сертификат давно протух. Для кадровых и финансовых документов, которые хранят по 50 лет, это критично — без усовершенствованного формата через пять лет проверка упрётся в истёкший серт.
Отдельно про PDF. У присоединённой подписи внутри ПДФ есть удобство — открываете документ в просмотрщике, а там уже видно «плашку» подписи. А вот отсоединённая подпись в исходном файле никак не отображается, и человек, который открыл договор.pdf, может вообще не понять, что документ подписан. Для этого делают визуализацию: КриптоАРМ создаёт копию документа и ставит на неё штамп с данными о подписи, не трогая оригинал. Если вам нужно создать или проверить такую открепленную подпись, посмотрите отдельный разбор про файл с откреплённой УКЭП заявителя — там по шагам, что куда грузить.
Что установить на компьютер перед проверкой
КриптоАРМ сам по себе подпись не считает. Ему нужен криптопровайдер — СКЗИ, которое умеет в российские ГОСТ-алгоритмы. В связке работает КриптоПро CSP версии 5.0 R3 (или 5.0 R2 сборки 12000 и выше). Без провайдера программа не проверит ни хеш, ни сертификат. Сам КриптоАРМ ГОСТ 3 сертифицирован ФСБ в составе КриптоПро CSP по классам КС1 и КС2, сертификат действует до мая 2027 года.
Базовый набор для рабочего места выглядит так:
- КриптоПро CSP 5.0 R3 — сам криптопровайдер, скачивается с cryptopro.ru, для клиентов УЦ ФНС есть бесплатный дистрибутив в рамках эксперимента;
- драйверы ключевого носителя, если подпись лежит на «флешке» — Рутокен, JaCarta или eSmart, каждый со своего сайта производителя;
- корневые сертификаты Минцифры России и удостоверяющего центра, которым выдан серт подписанта — без них цепочка не построится;
- КриптоПро ЭЦП Browser Plug-in — нужен, когда проверяете подпись не в программе, а на веб-сервисах.
Корневые сертификаты для подписей УЦ ФНС лежат по адресу uc.nalog.ru/crt. Корневой Минцифры ставят в «Доверенные корневые центры сертификации», промежуточный сертификат УЦ — в «Промежуточные центры сертификации». Этот момент часто пропускают, а потом удивляются, почему подпись «не доверенная». В сервисе Добыто при подключении КЭДО мы закладываем установку корневых сертификатов на рабочие места кадровиков заранее, чтобы потом не ловить разрывы цепочки на каждом втором документе.
Как проверить подпись файла через КриптоАРМ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте КриптоАРМ ГОСТ 3 и перейдите в раздел «Документы». Убедитесь, что КриптоПро CSP установлен и видит ваш носитель.
- Шаг 2. Нажмите «Проверить подпись» и добавьте файл. Для присоединённой подписи грузите один подписанный файл. Для отсоединённой — и исходный документ, и файл .sig рядом с ним.
- Шаг 3. Запустите операцию. Программа посчитает хеш документа, сверит его с подписью и обратится к цепочке сертификатов.
- Шаг 4. Прочитайте статус. «Подпись действительна» — целостность не нарушена и сертификат на момент подписания был действующим. Красный статус означает проблему с документом или сертификатом.
- Шаг 5. Откройте свойства подписи и цепочку сертификации. Здесь видно владельца сертификата, удостоверяющий центр, срок действия и наличие меток времени.
- Шаг 6. При необходимости сохраните отчёт о проверке или сформируйте копию документа с визуализацией штампа подписи для печати.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Если ставить КриптоАРМ ради разовой проверки не хочется, тот же результат даёт онлайн-форма выше: загружаете документ и файл подписи, получаете статус. Для постоянной работы с кадровыми документами программа на компьютере удобнее, но для одного договора онлайн-проверка быстрее.
Установка КриптоПро CSP, драйверов токена и корневых сертификатов на десятки рабочих мест кадровиков — это тот этап, где обычно начинаются звонки в поддержку и срыв сроков. Наши специалисты в Добыто настраивают рабочие места и проверку подписи на потоке: ставим провайдер, корневые сертификаты, проверяем, что цепочка строится на каждом документе. Кадровик получает готовое окружение, а не инструкцию на 12 страниц.
Как читать результат проверки: статусы и цепочка сертификации
Статус «подпись действительна» означает две вещи разом: документ не меняли после подписания и сертификат подписанта был действующим в нужный момент. Если хотя бы одно условие не выполнено, программа покажет красный статус. И тут начинается разбор, что именно сломалось.
Цепочка сертификации — это иерархия доверия. В самом верху всегда стоит Минцифры России, корневой сертификат государства. Ниже — удостоверяющий центр, который выпустил подпись: УЦ ФНС, Госуслуги, СКБ Контур и так далее. В самом низу личный сертификат человека. КриптоАРМ строит эту цепочку снизу вверх и проверяет каждое звено. Если корневой или промежуточный сертификат не установлен на компьютере, цепочка рвётся, и даже настоящая подпись отображается как недоверенная. Разрыв цепочки — причина номер один ложных «подпись не действительна».
Мария Ж, специалист по цифровой подписи и КЭДО: «Когда вижу красный крест на подписи, первым делом смотрю не на сам серт, а на цепочку. В девяти случаях из десяти просто не установлен корневой Минцифры или промежуточный УЦ. Ставишь «бумажечку» с сертификатом в нужное хранилище — и зелёная галочка возвращается. Сам серт при этом был живой всё это время.»
За время работы Добыто мы прогнали через проверку десятки тысяч кадровых документов, и закономерность одна: пользователи путают «недействительный сертификат» и «недостроенную цепочку». Это разные вещи. В первом случае серт реально отозван или просрочен, во втором — на машине просто не хватает корневых сертификатов. КриптоАРМ в свойствах подписи прямо пишет, на каком звене встал, читать нужно именно этот текст, а не общий статус.
Образцы документов и памятки для работы с ЭЦП
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Криптографическая защита информации: формирование и проверка ЭП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
Почему подпись не проходит проверку — типичные причины
Красный статус пугает, хотя в большинстве случаев проблема не в подделке, а в настройке рабочего места или в обращении с файлом. Разберу частые ситуации и цену каждой ошибки.
Документ изменили после подписания. Самая частая история. Файл открыли, пересохранили в другом редакторе, конвертировали Word в PDF — и хеш поехал. Подпись была настоящей, но теперь не сходится с содержимым. Цена ошибки: документ юридически перестаёт быть подписанным, в суде или на проверке ГИТ его не примут. Лечится только одним способом: подписать заново оригинал и больше его не трогать.
Не установлена цепочка сертификатов. На машине нет корневого Минцифры или промежуточного сертификата УЦ. Подпись валидная, но «недоверенная». Цена ошибки тут нулевая по сути, но человек тратит часы на панику, а решается установкой двух сертификатов из хранилища УЦ за пару минут.
Сертификат отозван или просрочен. Если серт подписанта отозвали или истёк срок, а подпись без метки времени, проверка покажет недействительность. Для подписей с архивной меткой (CAdES-A) это не проблема — метка фиксирует статус на момент подписания. Поэтому документы длительного хранения изначально подписывают усовершенствованной подписью.
Грузят не тот файл при отсоединённой подписи. Классические «грабли»: к файлу .sig подкладывают не тот исходник или версию документа. Хеши не совпадают, подпись краснеет. Нужно проверять ровно ту пару файлов, в которой подпись и создавалась.
Мария Ж, юрист со стажем более 20 лет: «В экспертизе первым делом спрашиваю — вы оригинал проверяете или копию, которую кто-то «причесал»? Половина споров отваливается на этом вопросе. Документ с УКЭП нельзя пересохранять, нельзя «оптимизировать» через сторонний конвертер. Один лишний байт — и «серт» вроде живой, а подпись уже не та.»
Чем заменить КриптоАРМ — альтернативные способы проверки
КриптоАРМ удобен, когда проверять нужно регулярно и на своём железе. Но способов проверить подпись больше одного, и под разные задачи подходят разные инструменты.
Портал Госуслуг. Государственный сервис проверки электронной подписи на портале Госуслуг проверяет и отсоединённую, и присоединённую подпись бесплатно, без установки программ. Подходит для разовой проверки, когда нет КриптоПро. Удобно ещё и тем, что это государственный ресурс, результату которого доверяют контрагенты.
Контур Крипто и другие онлайн-сервисы. Онлайн-проверка в браузере без программ на компьютере. Загружаете документ и подпись, получаете статус и сведения о сертификате.
КриптоАРМ Server для организаций. Когда документов сотни и тысячи, ручная проверка не вариант. КриптоАРМ Server ставится в контуре компании и проверяет подписи автоматически, фоном, сохраняет результаты в базу и формирует отчёты в PDF. Полезно для электронных архивов, где подписи нужно периодически переподписывать и улучшать до архивного формата.
Сервис КЭДО Добыто. Внутри кадрового документооборота проверка подписи встроена в процесс: каждый кадровый документ подписывается и проверяется автоматически, вся цепочка подписей фиксируется с метками времени. Это и есть защита при проверках ГИТ и в суде — не нужно потом доказывать, кто и когда подписал приказ. Сравнить программы для работы с подписью можно в обзоре программ для подписания документов ЭЦП.
Стоимость проверки подписи и тарифы на КЭДО Добыто
Сама проверка подписи в КриптоАРМ лицензии не требует — программу можно поставить и проверять файлы бесплатно. Лицензия нужна только для создания подписи и для криптопровайдера КриптоПро CSP. А вот стоимость кадрового документооборота, где проверка подписи встроена в каждый процесс, зависит от численности штата, выбранного тарифа и набора видов подписи.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | до 25 сотрудников, ПЭП и УНЭП |
| Бизнес — оптимальный выбор для среднего бизнеса | от 50 ₽ за сотрудника / мес | мин. оплата 50 сотрудников за 30 000 ₽ в год, ПЭП, УНЭП и УКЭП |
| Корпорация — для крупного бизнеса с SLA | по запросу | выделенный сервер, SLA 99.9%, API |
Итоговая сумма зависит от численности персонала, выбранного тарифа и того, какие виды подписи вы подключаете — на тарифе Бизнес доступна УКЭП, на Старте только ПЭП и УНЭП. Свериться с цифрами помогут актуальные тарифы сервиса Добыто с разбивкой по функциям каждого пакета.
Выводы: проверка подписи через КриптоАРМ
Проверка подписи в КриптоАРМ отвечает на три вопроса: чей сертификат, менялся ли документ после подписания и был ли сертификат действующим. Для работы нужен криптопровайдер КриптоПро CSP 5.0 R3, драйверы носителя и корневые сертификаты Минцифры и удостоверяющего центра. Сам раздел проверки лицензии не требует, программу ставят и проверяют файлы бесплатно. Присоединённую подпись грузят одним файлом, отсоединённую — вместе с исходным документом и файлом .sig.
Главная практическая рекомендация: подписанный файл не трогать. Любое пересохранение, конвертация или правка ломают целостность, и подпись становится недействительной, хотя сертификат живой. При красном статусе сначала читайте текст в свойствах подписи и смотрите цепочку сертификации — чаще всего проблема в неустановленных корневых сертификатах, а не в самой подписи. Для документов долгого хранения используйте усовершенствованный формат с меткой времени, иначе через несколько лет проверка упрётся в истёкший сертификат.
Сертификаты сейчас выдают на срок до 12 лет, а корневой Минцифры и инфраструктура УЦ ФНС остаются центром доверия для всех квалифицированных подписей. Способов проверки несколько — программа на компьютере, портал Госуслуг, онлайн-сервисы и автоматическая серверная проверка для организаций. Выбор зависит от того, проверяете вы один договор или поток кадровых документов.
Часто задаваемые вопросы
Нужна ли лицензия для проверки подписи в КриптоАРМ?
Чем отличается присоединённая подпись от отсоединённой при проверке?
Почему КриптоАРМ пишет «подпись недействительна», если сертификат настоящий?
Какая версия КриптоПро нужна для работы с КриптоАРМ ГОСТ 3?
Можно ли проверить подпись без установки КриптоАРМ?
Что такое цепочка сертификации и зачем её проверять?
Как проверить подпись на документе, который хранится много лет?
Почему подпись слетает после конвертации документа?
Где взять корневые сертификаты для проверки подписи УЦ ФНС?
Можно ли проверить подпись на токене или флешке?
Как сделать так, чтобы подпись была видна на PDF-документе?
Как организации проверять подписи на потоке документов?
Проверка подписи на одном договоре — дело пяти минут. А вот поток кадровых документов, где каждый приказ, заявление и допсоглашение нужно подписать, проверить и сохранить вместе с цепочкой подписей, превращается в отдельную задачу. Сервис КЭДО Добыто берёт эту рутину на себя: подписание и проверку встраивает прямо в кадровый процесс, фиксирует метки времени и хранит документы в электронном архиве.
Мы подключили к электронному документообороту сотни компаний разного масштаба — от небольших команд до организаций с тысячами сотрудников. Проверка подписи и построение цепочки у нас работает на каждом документе, без ручной возни с корневыми сертификатами на стороне кадровика.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Мобильное приложение для подписания документов с телефона — без похода в отдел кадров
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ