Расшифровка SIG онлайн — это чтение содержимого файла электронной подписи прямо в браузере, когда нужно вытащить данные о подписанте, не устанавливая на компьютер криптопровайдер. За пару минут вы увидите, кто подписал документ, каким сертификатом, когда и действовала ли подпись на момент подписания. Разберём, что реально лежит внутри .sig, какие сведения о человеке или компании оттуда извлекаются, чем чтение метаданных отличается от полноценной криптографической проверки по ГОСТ и через какие сервисы это сделать бесплатно. Материал входит в большой блок про программы для подписания документов ЭЦП, где собрана вся работа с электронной подписью от создания до архивного хранения.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое SIG-файл и что внутри него хранится
SIG-файл — это откреплённая электронная подпись в контейнере формата CMS (он же PKCS#7, спецификация RFC 5652). Расширение .sig по умолчанию выдают КриптоПро, КриптоАРМ и приложение Госключ. Байтовая начинка у .sig и .p7s одинаковая, разница только в имени после точки, и если переименовать один в другой, ни один валидатор этого не заметит.
Внутри контейнера лежит не сам документ, а результат криптографического вычисления над ним. Если разложить сик-файл на составные части, получится: версия контейнера, идентификатор алгоритма хэширования (для российской крипты это ГОСТ Р 34.11-2012), опционально инкапсулированный контент, набор сертификатов подписанта и цепочка доверия до корневого удостоверяющего центра, список отозванных сертификатов CRL и блок SignerInfo с самим значением подписи и подписанными атрибутами. Всё это записано в структуре ASN.1 и закодировано в DER — двоичный формат, который человек глазами не прочитает без парсера.
Ключевой момент, который многие упускают: открытая часть сертификата с ФИО, СНИЛСом, ИНН и сроком действия почти всегда лежит прямо внутри файла подписи. Иначе получателю нечем было бы проверять подпись. Поэтому чтобы узнать, кто подписал документ, сам закрытый ключ и криптопровайдер вам не нужны — данные подписанта уже упакованы в контейнер, их надо только достать и раскодировать.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда мне падает .sig от контрагента, первое, что смотрю — это серт подписанта и штампик времени. ФИО, ИНН, кто выдал, до какого числа действует. Вся эта открытка уже лежит внутри файлика, крипту разворачивать не надо. А вот сходится ли хэш — это уже другая история, тут без гостового валидатора никак.»
Можно ли расшифровать SIG без СКЗИ и что это значит
Тут надо развести два разных действия, которые в быту сваливают в кучу под словом расшифровка. Первое — прочитать метаданные: субъект сертификата, издателя, серийный номер, срок действия, заявленное время подписания. Второе — криптографически проверить подпись: пересчитать хэш документа и убедиться, что он математически бьётся с тем, что зашифровано закрытым ключом.
Первое делается без СКЗИ вообще. Разбор ASN.1 и декодирование Base64 или DER — это чистая работа с форматом данных, никакой криптографии там нет. Любой PKI-парсер вытащит поля сертификата и покажет, кто подписант. Второе без средства криптографической защиты не выполнить, если внутри российская подпись по ГОСТ Р 34.10-2012. Проверить целостность и валидность гостовой подписи может только валидатор с поддержкой КриптоПро или его аналог. Если же внутри зарубежные алгоритмы RSA и SHA-256, подпись проверит любой PKI-инструмент, хоть OpenSSL.
Отсюда практический вывод. Расшифровка SIG онлайн без СКЗИ на вашей машине возможна и для чтения данных, и для полной проверки — потому что онлайн-сервис держит нужную криптографию на своей стороне, на сервере. Вы загружаете файл в браузер, сервер разворачивает контейнер своим гостовым движком и отдаёт вам результат. На вашем компьютере при этом не установлено ничего. Именно так работают Госуслуги, Контур Крипто и наш сервис Добыто.Подпись.
Какие данные о подписанте извлекаются из SIG-файла
Основной массив сведений живёт в сертификате подписанта — это встроенный в контейнер объект X.509. Разложим по полям, что оттуда достаётся.
- Субъект сертификата (Subject). ФИО физлица или наименование организации, должность, а для юрлиц и ИП — ИНН, ОГРН или ОГРНИП. Для физлица дополнительно СНИЛС. Это и есть ответ на вопрос кто подписал.
- Издатель (Issuer). Какой удостоверяющий центр выпустил сертификат. Для квалифицированной подписи это аккредитованный УЦ, для сотрудников с 2023 года — чаще всего УЦ ФНС.
- Серийный номер (Serial Number). Уникальный идентификатор сертификата. По нему статус серта перепроверяется в реестре Минцифры.
- Срок действия (Validity). Даты notBefore и notAfter. Позволяют понять, был ли сертификат действителен в момент подписания.
- Отпечаток (Thumbprint). Хэш самого сертификата, служит для точной идентификации.
- Время подписания (signing-time). Атрибут, который подписант заявляет сам. Берётся из системного времени его компьютера, а значит теоретически может быть подкручен.
- Штамп времени (signature-time-stamp). Метка от внешней доверенной службы TSP. Вот это уже доказательство, что подпись существовала на конкретный момент, и его подделать нельзя.
- Профиль подписи. CAdES-BES (без штампа времени), CAdES-T (со штампом), CAdES-X Long (плюс данные о статусе сертификата через OCSP), CAdES-A (архивный, для долгого хранения).
У каждой роли свой срез этих данных. Кадровик сверяет, что трудовой договор подписал именно тот человек, что указан в шапке, а не однофамилец и не уволенный сотрудник со старым сертом. Юрист смотрит, не истёк ли серт на момент сделки. Бухгалтер сверяет ИНН и ОГРН в подписи с реквизитами контрагента в первичке. А судебный эксперт разбирает цепочку доверия и штампы CAdES целиком.
Мария Ж, судебный эксперт по трудовому праву:
«В суде и на проверке ГИТ решает не факт что подпись есть, а что подписант в серте совпадает с человеком в документе. Тыщу раз видела: в договоре одна фамилия, а на борту .sig — совсем другая, потому что подписывали чужим токеном. Формально подпись валидна, а по сути это косяк, который в споре разваливает всю сделку.»
Как извлечь данные подписанта из SIG онлайн: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Найдите файл подписи с расширением .sig или .p7s. При откреплённой подписи он лежит рядом с исходным документом, например заявление.pdf и заявление.pdf.sig.
- Шаг 2. Откройте онлайн-сервис проверки подписи в браузере. Установка КриптоПро на компьютер для этого не нужна — криптография работает на сервере.
- Шаг 3. Выберите тип подписи. Для откреплённой загрузите два файла: исходный документ и рядом файл .sig. Для присоединённой достаточно одного .sig, документ уже внутри.
- Шаг 4. Запустите проверку. Сервис развернёт контейнер и покажет данные подписанта: ФИО или организацию, ИНН, СНИЛС или ОГРН, издателя, серийный номер и срок действия сертификата, время подписания.
- Шаг 5. При необходимости скачайте протокол проверки в PDF — для суда или проверки его прикладывают как подтверждение валидности подписи.
Сервисы для расшифровки SIG онлайн без установки программ
Инструментов несколько, и каждый заточен под свою задачу. Ниже разбор, что и когда брать.
Портал Госуслуг. Проверка бесплатная, регистрация не нужна. Вы загружаете документ и файл откреплённой подписи, вводите код защиты и получаете результат с данными подписанта. Главная ценность — официальный протокол с печатью Минцифры, который принимают в суде и на проверке ГИТ. Отдельно на портале проверка квалифицированной электронной подписи от Минцифры позволяет перепроверить сертификат по серийному номеру в реестре аккредитованных УЦ. Есть и режим проверки без раскрытия содержимого документа: на сервер уходит только цифровой отпечаток, из которого исходный текст не восстановить.
Контур Крипто. Работает в браузере без плагина, бесплатно, без обязательной регистрации. Показывает больше деталей, чем Госуслуги: профиль подписи, наличие OCSP-ответа, статус цепочки доверия, полные данные серта, которые можно выгрузить в .cer. Принимает файлы до 100 МБ.
Тестовый сервис КриптоПро. Площадка dss.cryptopro.ru для тех, кто разбирается в технике: OID, параметры криптопровайдера, почему подпись валидна в одной системе и битая в другой. Для глубокого технического разбора.
Добыто.Подпись. Сервис на dobyto.ru/sign открывает SIG-файл без установки программ и без регистрации, распознаёт и .sig, и .p7s автоматически при загрузке архива. Результат выводится таблицей: статус подписи, данные подписанта, сведения о сертификате, время подписания. Мы специально сделали так, чтобы кадровику не пришлось разбираться в тонкостях DER-кодировки и CAdES-профилей — система сама определяет тип подписи и проверяет целостность.
Когда .sig приходит от контрагента пачками, а внутри разные профили CAdES, откреплённые и присоединённые вперемешку, ручная проверка каждого файла через браузер съедает часы. В сервисе Добыто мы забираем этот массив целиком: система сама раскладывает архив, вытаскивает данные подписантов, сверяет сертификаты и отдаёт сводку. Кадровику остаётся посмотреть, кто и чем подписал.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Образцы документов по электронной подписи и ЭДО
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
Присоединённая и откреплённая подпись: как тип влияет на чтение SIG
Есть два вида, и от того, какой перед вами, зависит, что и как загружать в сервис. Присоединённая подпись включает исходный документ внутрь самого контейнера — получатель видит единый файл, из которого документ можно извлечь. Откреплённая лежит рядом отдельным файликом, а документ хранится сам по себе. Кадровый ЭДО и госсервисы в России — это территория откреплённой .sig.
Практическая разница простая. Для присоединённой достаточно загрузить один .sig, документ уже внутри, сервис его достанет и покажет. Для откреплённой нужны оба файла: и документ, и подпись, причём именно те, что были в паре при подписании. Если подсунуть подпись от другого документа, проверка вернёт, что подпись не соответствует. Отсюда важное правило хранения: файл с откреплённой УКЭП заявителя и сам документ должны храниться синхронно, желательно в едином архиве с резервным копированием. Потеряли одну половину пары — подпись становится бесполезной.
Ещё нюанс с расширениями. Госуслуги и КриптоПро DSS корректно обрабатывают и .sig, и .p7s. Но неспециализированные онлайн-проверки иногда отказывают по расширению, не заглядывая внутрь контейнера. Если валидатор не открывает файл — переименуйте .p7s в .sig или наоборот, либо просто возьмите другой сервис. В КЭДО расширение вообще роли не играет, система работает с контейнером напрямую. В сервисе Добыто мы распознаём оба формата автоматически, кадровику не нужно вникать в эти тонкости.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самая частая беда с откреплёнкой — хранят документ в одном месте, а .sig где-то потеряли. Приходит человек: проверьте подпись. А проверять нечего, половина пары уплыла. Мы поэтому в Добыто складываем документ и подпись вместе, одним контейнером, чтобы через три года при проверке ГИТ не бегать с бумажками и не искать, где чей файлик.»
Типичные ошибки при расшифровке SIG-файла
Разберём частые промахи, каждый из которых стоит времени, а иногда и юридической силы документа.
Ошибка 1. Путают чтение метаданных и проверку по ГОСТ. Человек открыл серт, увидел ФИО и решил, что подпись валидна. Так делают, потому что данные подписанта действительно видны без крипты. Цена ошибки: документ с истёкшим или отозванным сертификатом принимают за действительный, а в споре выясняется, что подпись невалидна. Читать метаданные и проверять подпись — разные операции, и вторую надо выполнять всегда.
Ошибка 2. Проверяют откреплённую подпись без исходного документа. Загружают только .sig и удивляются ошибке. Так выходит из-за непонимания природы откреплённой подписи. Цена: ложный вывод, что подпись битая, хотя на деле сервису просто не дали документ для сверки хэша.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Ошибка 3. Валидатор без поддержки ГОСТ. Пытаются проверить российскую подпись инструментом, который умеет только RSA. Мотив — взяли первый попавшийся зарубежный онлайн-парсер. Цена: подпись по ГОСТ Р 34.10-2012 такой инструмент либо не прочитает, либо покажет ошибку, и человек делает неверный вывод о подделке.
Ошибка 4. Игнорируют штамп времени. Смотрят только на signing-time, который подписант заявляет сам. Так проще, лишний атрибут глазам не мешает. Цена: если сертификат истёк, а доверенной метки TSP нет, доказать, что подпись создана в период действия серта, становится трудно. Для долгого хранения нужен профиль CAdES-T и выше.
Ошибка 5. Не сверяют подписанта с шапкой документа. Убедились, что подпись технически валидна, и на этом остановились. Цена самая дорогая: договор подписан валидным сертификатом, но не того человека — однофамильца, коллеги, уже уволенного сотрудника. Формально всё чисто, а по сути документ можно оспорить.
Стоимость сервиса КЭДО с проверкой и подписанием SIG
Разовая расшифровка SIG онлайн бесплатна на всех перечисленных сервисах. Платить имеет смысл, когда проверка и подписание документов становятся потоком — тогда нужен КЭДО с автоматической обработкой подписей. Итоговая цена зависит от численности штата, выбранного тарифа и набора модулей.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний в начале перехода на КЭДО | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес | без ограничения по числу |
| Корпорация — для крупного бизнеса с SLA | по запросу | выделенный сервер, API |
Тариф Старт включает ПЭП и УНЭП, базовые шаблоны и email-поддержку. Бизнес добавляет УКЭП, кастомные шаблоны, интеграцию с 1С, приоритетную поддержку и электронный архив с автоматической проверкой подписей. Корпорация — это всё из Бизнеса плюс выделенный сервер, SLA 99.9%, персональный менеджер и кастомные интеграции. Итоговая сумма зависит от численности персонала, тарифа и объёма модулей, поэтому актуальные тарифы сервиса Добыто помогут сориентироваться точнее под ваш штат.
Выводы: расшифровка SIG онлайн и извлечение данных подписанта
SIG-файл — это откреплённый контейнер CMS по стандарту PKCS#7, внутри которого лежат хэш документа, сертификат подписанта с ФИО, ИНН, СНИЛС и ОГРН, цепочка доверия и подписанные атрибуты. Данные о подписанте читаются без криптопровайдера, потому что открытая часть сертификата уже упакована в файл, и достать её — это декодирование ASN.1, а не криптография. А вот полная проверка гостовой подписи требует валидатора с поддержкой российской крипты, и онлайн-сервисы держат эту криптографию на сервере, поэтому на вашей машине СКЗИ не нужно.
Для практики держите в голове несколько правил. Для откреплённой подписи всегда загружайте в сервис оба файла — документ и .sig в исходной паре. Различайте чтение метаданных и криптографическую проверку, вторую делайте обязательно. Смотрите не только signing-time, но и штамп времени TSP, если документ уходит на долгое хранение. И главное — сверяйте подписанта из сертификата с человеком в шапке документа, потому что технически валидная подпись не того лица разваливается в любом споре. Для официального протокола берите Госуслуги с печатью Минцифры, для глубокого разбора профилей CAdES — Контур или Добыто.Подпись.
К 2027 году Минцифры планирует запустить платформу архивного хранения на портале Госуслуг, а формат .sig с профилем CAdES-T остаётся основным в кадровом ЭДО и госсервисах. Работать с ним придётся всё больше, поэтому навык быстро вытащить данные подписанта и перепроверить сертификат по серийному номеру в реестре становится базовым для кадровика, юриста и бухгалтера.
Часто задаваемые вопросы
Можно ли открыть SIG-файл без КриптоПро и вообще без установки программ?
Чем чтение данных из SIG отличается от проверки подписи?
Какие именно данные о человеке хранятся в файле подписи?
Что нужно загружать для проверки откреплённой подписи?
В чём разница между .sig и .p7s?
Безопасно ли загружать документ на онлайн-сервис проверки?
Как перепроверить сертификат подписанта по серийному номеру?
Почему одна и та же подпись валидна в одном сервисе и битая в другом?
Что такое профили CAdES-BES, CAdES-T и CAdES-A?
Можно ли восстановить подпись, если файл .sig потерян?
Подходит ли онлайн-протокол проверки для суда и проверки ГИТ?
Разовая расшифровка SIG онлайн закрывает единичную задачу: посмотрел подписанта, скачал протокол. Но когда подписей десятки в день, а документы копятся годами, ручная проверка каждого файла превращается в рутину, которая съедает рабочее время кадровика и юриста. Тогда нужен КЭДО, который сам вытаскивает данные подписантов, сверяет сертификаты и хранит пары документ плюс подпись синхронно.
Сервис Добыто подключил к КЭДО более 500 компаний, от небольших ИП до ритейла на несколько тысяч сотрудников. Мы работаем с откреплённой и присоединённой подписью, автоматически распознаём .sig и .p7s, фиксируем всю цепочку подписей с отметками времени — это защищает при проверках ГИТ и в суде.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Встроенная проверка ЭП: система сама разбирает контейнер и показывает данные подписанта
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет: доступ к архиву сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
- Защищённые каналы связи, шифрование, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ