Проверка ЭЦП

Расшифровка SIG онлайн: извлечь данные подписанта в 2026

Мария Ж. 16 мин чтения

Расшифровка SIG онлайн — это чтение содержимого файла электронной подписи прямо в браузере, когда нужно вытащить данные о подписанте, не устанавливая на компьютер криптопровайдер. За пару минут вы увидите, кто подписал документ, каким сертификатом, когда и действовала ли подпись на момент подписания. Разберём, что реально лежит внутри .sig, какие сведения о человеке или компании оттуда извлекаются, чем чтение метаданных отличается от полноценной криптографической проверки по ГОСТ и через какие сервисы это сделать бесплатно. Материал входит в большой блок про программы для подписания документов ЭЦП, где собрана вся работа с электронной подписью от создания до архивного хранения.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Что такое SIG-файл и что внутри него хранится

SIG-файл — это откреплённая электронная подпись в контейнере формата CMS (он же PKCS#7, спецификация RFC 5652). Расширение .sig по умолчанию выдают КриптоПро, КриптоАРМ и приложение Госключ. Байтовая начинка у .sig и .p7s одинаковая, разница только в имени после точки, и если переименовать один в другой, ни один валидатор этого не заметит.

Внутри контейнера лежит не сам документ, а результат криптографического вычисления над ним. Если разложить сик-файл на составные части, получится: версия контейнера, идентификатор алгоритма хэширования (для российской крипты это ГОСТ Р 34.11-2012), опционально инкапсулированный контент, набор сертификатов подписанта и цепочка доверия до корневого удостоверяющего центра, список отозванных сертификатов CRL и блок SignerInfo с самим значением подписи и подписанными атрибутами. Всё это записано в структуре ASN.1 и закодировано в DER — двоичный формат, который человек глазами не прочитает без парсера.

Ключевой момент, который многие упускают: открытая часть сертификата с ФИО, СНИЛСом, ИНН и сроком действия почти всегда лежит прямо внутри файла подписи. Иначе получателю нечем было бы проверять подпись. Поэтому чтобы узнать, кто подписал документ, сам закрытый ключ и криптопровайдер вам не нужны — данные подписанта уже упакованы в контейнер, их надо только достать и раскодировать.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда мне падает .sig от контрагента, первое, что смотрю — это серт подписанта и штампик времени. ФИО, ИНН, кто выдал, до какого числа действует. Вся эта открытка уже лежит внутри файлика, крипту разворачивать не надо. А вот сходится ли хэш — это уже другая история, тут без гостового валидатора никак.»

Можно ли расшифровать SIG без СКЗИ и что это значит

Тут надо развести два разных действия, которые в быту сваливают в кучу под словом расшифровка. Первое — прочитать метаданные: субъект сертификата, издателя, серийный номер, срок действия, заявленное время подписания. Второе — криптографически проверить подпись: пересчитать хэш документа и убедиться, что он математически бьётся с тем, что зашифровано закрытым ключом.

Первое делается без СКЗИ вообще. Разбор ASN.1 и декодирование Base64 или DER — это чистая работа с форматом данных, никакой криптографии там нет. Любой PKI-парсер вытащит поля сертификата и покажет, кто подписант. Второе без средства криптографической защиты не выполнить, если внутри российская подпись по ГОСТ Р 34.10-2012. Проверить целостность и валидность гостовой подписи может только валидатор с поддержкой КриптоПро или его аналог. Если же внутри зарубежные алгоритмы RSA и SHA-256, подпись проверит любой PKI-инструмент, хоть OpenSSL.

Отсюда практический вывод. Расшифровка SIG онлайн без СКЗИ на вашей машине возможна и для чтения данных, и для полной проверки — потому что онлайн-сервис держит нужную криптографию на своей стороне, на сервере. Вы загружаете файл в браузер, сервер разворачивает контейнер своим гостовым движком и отдаёт вам результат. На вашем компьютере при этом не установлено ничего. Именно так работают Госуслуги, Контур Крипто и наш сервис Добыто.Подпись.

Схема устройства усиленной квалифицированной электронной подписи и её элементов

Какие данные о подписанте извлекаются из SIG-файла

Основной массив сведений живёт в сертификате подписанта — это встроенный в контейнер объект X.509. Разложим по полям, что оттуда достаётся.

  • Субъект сертификата (Subject). ФИО физлица или наименование организации, должность, а для юрлиц и ИП — ИНН, ОГРН или ОГРНИП. Для физлица дополнительно СНИЛС. Это и есть ответ на вопрос кто подписал.
  • Издатель (Issuer). Какой удостоверяющий центр выпустил сертификат. Для квалифицированной подписи это аккредитованный УЦ, для сотрудников с 2023 года — чаще всего УЦ ФНС.
  • Серийный номер (Serial Number). Уникальный идентификатор сертификата. По нему статус серта перепроверяется в реестре Минцифры.
  • Срок действия (Validity). Даты notBefore и notAfter. Позволяют понять, был ли сертификат действителен в момент подписания.
  • Отпечаток (Thumbprint). Хэш самого сертификата, служит для точной идентификации.
  • Время подписания (signing-time). Атрибут, который подписант заявляет сам. Берётся из системного времени его компьютера, а значит теоретически может быть подкручен.
  • Штамп времени (signature-time-stamp). Метка от внешней доверенной службы TSP. Вот это уже доказательство, что подпись существовала на конкретный момент, и его подделать нельзя.
  • Профиль подписи. CAdES-BES (без штампа времени), CAdES-T (со штампом), CAdES-X Long (плюс данные о статусе сертификата через OCSP), CAdES-A (архивный, для долгого хранения).

У каждой роли свой срез этих данных. Кадровик сверяет, что трудовой договор подписал именно тот человек, что указан в шапке, а не однофамилец и не уволенный сотрудник со старым сертом. Юрист смотрит, не истёк ли серт на момент сделки. Бухгалтер сверяет ИНН и ОГРН в подписи с реквизитами контрагента в первичке. А судебный эксперт разбирает цепочку доверия и штампы CAdES целиком.

Окно свойств сертификата электронной подписи с данными владельца, издателя и сроком действия

Мария Ж, судебный эксперт по трудовому праву:
«В суде и на проверке ГИТ решает не факт что подпись есть, а что подписант в серте совпадает с человеком в документе. Тыщу раз видела: в договоре одна фамилия, а на борту .sig — совсем другая, потому что подписывали чужим токеном. Формально подпись валидна, а по сути это косяк, который в споре разваливает всю сделку.»

Как извлечь данные подписанта из SIG онлайн: пошаговая инструкция

Показать пошаговую инструкцию
  1. Шаг 1. Найдите файл подписи с расширением .sig или .p7s. При откреплённой подписи он лежит рядом с исходным документом, например заявление.pdf и заявление.pdf.sig.
  2. Шаг 2. Откройте онлайн-сервис проверки подписи в браузере. Установка КриптоПро на компьютер для этого не нужна — криптография работает на сервере.
  3. Шаг 3. Выберите тип подписи. Для откреплённой загрузите два файла: исходный документ и рядом файл .sig. Для присоединённой достаточно одного .sig, документ уже внутри.
  4. Шаг 4. Запустите проверку. Сервис развернёт контейнер и покажет данные подписанта: ФИО или организацию, ИНН, СНИЛС или ОГРН, издателя, серийный номер и срок действия сертификата, время подписания.
  5. Шаг 5. При необходимости скачайте протокол проверки в PDF — для суда или проверки его прикладывают как подтверждение валидности подписи.

Сервисы для расшифровки SIG онлайн без установки программ

Инструментов несколько, и каждый заточен под свою задачу. Ниже разбор, что и когда брать.

Портал Госуслуг. Проверка бесплатная, регистрация не нужна. Вы загружаете документ и файл откреплённой подписи, вводите код защиты и получаете результат с данными подписанта. Главная ценность — официальный протокол с печатью Минцифры, который принимают в суде и на проверке ГИТ. Отдельно на портале проверка квалифицированной электронной подписи от Минцифры позволяет перепроверить сертификат по серийному номеру в реестре аккредитованных УЦ. Есть и режим проверки без раскрытия содержимого документа: на сервер уходит только цифровой отпечаток, из которого исходный текст не восстановить.

Контур Крипто. Работает в браузере без плагина, бесплатно, без обязательной регистрации. Показывает больше деталей, чем Госуслуги: профиль подписи, наличие OCSP-ответа, статус цепочки доверия, полные данные серта, которые можно выгрузить в .cer. Принимает файлы до 100 МБ.

Тестовый сервис КриптоПро. Площадка dss.cryptopro.ru для тех, кто разбирается в технике: OID, параметры криптопровайдера, почему подпись валидна в одной системе и битая в другой. Для глубокого технического разбора.

Добыто.Подпись. Сервис на dobyto.ru/sign открывает SIG-файл без установки программ и без регистрации, распознаёт и .sig, и .p7s автоматически при загрузке архива. Результат выводится таблицей: статус подписи, данные подписанта, сведения о сертификате, время подписания. Мы специально сделали так, чтобы кадровику не пришлось разбираться в тонкостях DER-кодировки и CAdES-профилей — система сама определяет тип подписи и проверяет целостность.

Проверка сертификатов и электронной подписи на портале Госуслуг онлайн

Когда .sig приходит от контрагента пачками, а внутри разные профили CAdES, откреплённые и присоединённые вперемешку, ручная проверка каждого файла через браузер съедает часы. В сервисе Добыто мы забираем этот массив целиком: система сама раскладывает архив, вытаскивает данные подписантов, сверяет сертификаты и отдаёт сводку. Кадровику остаётся посмотреть, кто и чем подписал.

Проверить SIG-файл онлайн

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Проверка электронной подписи онлайн — сервис Добыто

notify

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Файл подписи

Образцы документов по электронной подписи и ЭДО

Открыть список документов
Документ Скачать
Памятка по настройке КЭП для налоговой Скачать
Ответы на вопросы об установке ЭЦП Скачать
Инструкция по установке ЭЦП на компьютер Скачать
Руководство пользователя Добыто КЭДО Скачать
Заявление на выпуск квалифицированного сертификата ЭП Скачать
Заявление на аннулирование сертификата ЭП Скачать
Доверенность на получение сертификата ЭП Скачать
Согласие на обработку ПДн для выпуска сертификата ЭП Скачать
Соглашение об использовании ПЭП и НЭП Скачать
Шаблон соглашения по ЭДО Скачать

Присоединённая и откреплённая подпись: как тип влияет на чтение SIG

Есть два вида, и от того, какой перед вами, зависит, что и как загружать в сервис. Присоединённая подпись включает исходный документ внутрь самого контейнера — получатель видит единый файл, из которого документ можно извлечь. Откреплённая лежит рядом отдельным файликом, а документ хранится сам по себе. Кадровый ЭДО и госсервисы в России — это территория откреплённой .sig.

Практическая разница простая. Для присоединённой достаточно загрузить один .sig, документ уже внутри, сервис его достанет и покажет. Для откреплённой нужны оба файла: и документ, и подпись, причём именно те, что были в паре при подписании. Если подсунуть подпись от другого документа, проверка вернёт, что подпись не соответствует. Отсюда важное правило хранения: файл с откреплённой УКЭП заявителя и сам документ должны храниться синхронно, желательно в едином архиве с резервным копированием. Потеряли одну половину пары — подпись становится бесполезной.

Ещё нюанс с расширениями. Госуслуги и КриптоПро DSS корректно обрабатывают и .sig, и .p7s. Но неспециализированные онлайн-проверки иногда отказывают по расширению, не заглядывая внутрь контейнера. Если валидатор не открывает файл — переименуйте .p7s в .sig или наоборот, либо просто возьмите другой сервис. В КЭДО расширение вообще роли не играет, система работает с контейнером напрямую. В сервисе Добыто мы распознаём оба формата автоматически, кадровику не нужно вникать в эти тонкости.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самая частая беда с откреплёнкой — хранят документ в одном месте, а .sig где-то потеряли. Приходит человек: проверьте подпись. А проверять нечего, половина пары уплыла. Мы поэтому в Добыто складываем документ и подпись вместе, одним контейнером, чтобы через три года при проверке ГИТ не бегать с бумажками и не искать, где чей файлик.»

Типичные ошибки при расшифровке SIG-файла

Разберём частые промахи, каждый из которых стоит времени, а иногда и юридической силы документа.

Ошибка 1. Путают чтение метаданных и проверку по ГОСТ. Человек открыл серт, увидел ФИО и решил, что подпись валидна. Так делают, потому что данные подписанта действительно видны без крипты. Цена ошибки: документ с истёкшим или отозванным сертификатом принимают за действительный, а в споре выясняется, что подпись невалидна. Читать метаданные и проверять подпись — разные операции, и вторую надо выполнять всегда.

Ошибка 2. Проверяют откреплённую подпись без исходного документа. Загружают только .sig и удивляются ошибке. Так выходит из-за непонимания природы откреплённой подписи. Цена: ложный вывод, что подпись битая, хотя на деле сервису просто не дали документ для сверки хэша.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Ошибка 3. Валидатор без поддержки ГОСТ. Пытаются проверить российскую подпись инструментом, который умеет только RSA. Мотив — взяли первый попавшийся зарубежный онлайн-парсер. Цена: подпись по ГОСТ Р 34.10-2012 такой инструмент либо не прочитает, либо покажет ошибку, и человек делает неверный вывод о подделке.

Ошибка 4. Игнорируют штамп времени. Смотрят только на signing-time, который подписант заявляет сам. Так проще, лишний атрибут глазам не мешает. Цена: если сертификат истёк, а доверенной метки TSP нет, доказать, что подпись создана в период действия серта, становится трудно. Для долгого хранения нужен профиль CAdES-T и выше.

Ошибка 5. Не сверяют подписанта с шапкой документа. Убедились, что подпись технически валидна, и на этом остановились. Цена самая дорогая: договор подписан валидным сертификатом, но не того человека — однофамильца, коллеги, уже уволенного сотрудника. Формально всё чисто, а по сути документ можно оспорить.

Стоимость сервиса КЭДО с проверкой и подписанием SIG

Разовая расшифровка SIG онлайн бесплатна на всех перечисленных сервисах. Платить имеет смысл, когда проверка и подписание документов становятся потоком — тогда нужен КЭДО с автоматической обработкой подписей. Итоговая цена зависит от численности штата, выбранного тарифа и набора модулей.

Тариф Стоимость Условия
Старт — для небольших компаний в начале перехода на КЭДО от 30 ₽ за сотрудника / мес до 25 сотрудников
Бизнес — для среднего бизнеса с полным набором функций от 50 ₽ за сотрудника / мес без ограничения по числу
Корпорация — для крупного бизнеса с SLA по запросу выделенный сервер, API

Тариф Старт включает ПЭП и УНЭП, базовые шаблоны и email-поддержку. Бизнес добавляет УКЭП, кастомные шаблоны, интеграцию с 1С, приоритетную поддержку и электронный архив с автоматической проверкой подписей. Корпорация — это всё из Бизнеса плюс выделенный сервер, SLA 99.9%, персональный менеджер и кастомные интеграции. Итоговая сумма зависит от численности персонала, тарифа и объёма модулей, поэтому актуальные тарифы сервиса Добыто помогут сориентироваться точнее под ваш штат.

Выводы: расшифровка SIG онлайн и извлечение данных подписанта

SIG-файл — это откреплённый контейнер CMS по стандарту PKCS#7, внутри которого лежат хэш документа, сертификат подписанта с ФИО, ИНН, СНИЛС и ОГРН, цепочка доверия и подписанные атрибуты. Данные о подписанте читаются без криптопровайдера, потому что открытая часть сертификата уже упакована в файл, и достать её — это декодирование ASN.1, а не криптография. А вот полная проверка гостовой подписи требует валидатора с поддержкой российской крипты, и онлайн-сервисы держат эту криптографию на сервере, поэтому на вашей машине СКЗИ не нужно.

Для практики держите в голове несколько правил. Для откреплённой подписи всегда загружайте в сервис оба файла — документ и .sig в исходной паре. Различайте чтение метаданных и криптографическую проверку, вторую делайте обязательно. Смотрите не только signing-time, но и штамп времени TSP, если документ уходит на долгое хранение. И главное — сверяйте подписанта из сертификата с человеком в шапке документа, потому что технически валидная подпись не того лица разваливается в любом споре. Для официального протокола берите Госуслуги с печатью Минцифры, для глубокого разбора профилей CAdES — Контур или Добыто.Подпись.

К 2027 году Минцифры планирует запустить платформу архивного хранения на портале Госуслуг, а формат .sig с профилем CAdES-T остаётся основным в кадровом ЭДО и госсервисах. Работать с ним придётся всё больше, поэтому навык быстро вытащить данные подписанта и перепроверить сертификат по серийному номеру в реестре становится базовым для кадровика, юриста и бухгалтера.

Часто задаваемые вопросы

Можно ли открыть SIG-файл без КриптоПро и вообще без установки программ?
Да. Данные подписанта и сведения о сертификате читаются онлайн в браузере через Госуслуги, Контур Крипто, тестовый сервис КриптоПро или Добыто.Подпись. Криптография при этом работает на сервере сервиса, на вашем компьютере ставить КриптоПро не требуется. Установка нужна только для оффлайн-работы или технического разбора.
Чем чтение данных из SIG отличается от проверки подписи?
Чтение данных — это декодирование ASN.1 и вывод полей сертификата: ФИО, ИНН, издатель, срок действия. Никакой криптографии, СКЗИ не нужно. Проверка подписи — пересчёт хэша документа и сверка его с зашифрованным значением. Для российской подписи по ГОСТ Р 34.10-2012 это возможно только валидатором с поддержкой КриптоПро или аналогом.
Какие именно данные о человеке хранятся в файле подписи?
В сертификате внутри контейнера: ФИО или наименование организации, должность, ИНН, для физлица СНИЛС, для юрлица и ИП ОГРН или ОГРНИП, наименование выпустившего удостоверяющего центра, серийный номер сертификата, срок действия и отпечаток. Отдельно в подписанных атрибутах — заявленное время подписания, а в профилях CAdES-T и выше ещё и доверенный штамп времени.
Что нужно загружать для проверки откреплённой подписи?
Два файла: исходный документ и файл подписи .sig, причём именно ту пару, что была при подписании. Для присоединённой подписи достаточно одного .sig — документ уже упакован внутрь контейнера. Если подпись не соответствует документу, проверьте, что вы загрузили правильную пару файлов.
В чём разница между .sig и .p7s?
Только в расширении. Байтовая структура обоих файлов — это контейнер PKCS#7 по RFC 5652 с одинаковым содержимым. Формат .p7s пришёл из почтового стандарта S/MIME, а .sig закрепился в российской госинфраструктуре: его выдают Госключ и отечественные криптопровайдеры. Внутри файла нет строки sig или p7s, поэтому переименование одного в другой валидатор не заметит.
Безопасно ли загружать документ на онлайн-сервис проверки?
При проверке через сторонний портал вы фактически передаёте документ оператору сервиса. Для конфиденциальных документов на Госуслугах есть режим проверки без раскрытия содержимого: на сервер уходит только цифровой отпечаток, из которого восстановить текст нельзя. Большинство сервисов файлы на сервере не хранят, но решение о загрузке вы принимаете самостоятельно.
Как перепроверить сертификат подписанта по серийному номеру?
Серийный номер сертификата извлекается из SIG-файла при проверке. По нему статус сертификата проверяется в реестре аккредитованных удостоверяющих центров Минцифры на портале e-trust.gosuslugi.ru. Там видно, действителен ли сертификат, кто его выпустил и не отозван ли он.
Почему одна и та же подпись валидна в одном сервисе и битая в другом?
Разные сервисы по-разному трактуют требования к сертификатам и профилям подписи из-за регуляторных пробелов. Часть условий читается неоднозначно, поэтому инструменты ведут себя по-разному. Если один сервис отказал, попробуйте другой, а для спорных случаев берите официальный протокол с Госуслуг.
Что такое профили CAdES-BES, CAdES-T и CAdES-A?
Это уровни усовершенствования подписи. CAdES-BES — базовый, без доверенного времени. CAdES-T добавляет штамп времени от службы TSP. CAdES-X Long включает данные о статусе сертификата через OCSP. CAdES-A — архивный профиль для долгого хранения. Госключ выдаёт подпись сразу в формате CAdES-T с расширением .sig.
Можно ли восстановить подпись, если файл .sig потерян?
Нет. Подпись формируется математически и на сервере не хранится. Если сертификат подписанта ещё действует и человек доступен, документ можно переподписать заново и получить новый .sig. Если сертификат истёк или подписант недоступен, документ юридически становится неподписанным. Поэтому пары документ плюс подпись храните синхронно.
Подходит ли онлайн-протокол проверки для суда и проверки ГИТ?
Для официальных целей берите протокол проверки с портала Госуслуг — он выдаётся с печатью Минцифры и его прикладывают в суд как подтверждение валидности подписи. Для детального разбора цепочки доверия и штампов CAdES дополнительно используют отчёт от Контура или Добыто. Юристу под суд обычно нужны оба документа.

Разовая расшифровка SIG онлайн закрывает единичную задачу: посмотрел подписанта, скачал протокол. Но когда подписей десятки в день, а документы копятся годами, ручная проверка каждого файла превращается в рутину, которая съедает рабочее время кадровика и юриста. Тогда нужен КЭДО, который сам вытаскивает данные подписантов, сверяет сертификаты и хранит пары документ плюс подпись синхронно.

Сервис Добыто подключил к КЭДО более 500 компаний, от небольших ИП до ритейла на несколько тысяч сотрудников. Мы работаем с откреплённой и присоединённой подписью, автоматически распознаём .sig и .p7s, фиксируем всю цепочку подписей с отметками времени — это защищает при проверках ГИТ и в суде.

  • Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
  • Встроенная проверка ЭП: система сама разбирает контейнер и показывает данные подписанта
  • Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
  • Хранение документов до 50 лет: доступ к архиву сохраняется даже при расторжении договора с провайдером
  • Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
  • Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
  • Защищённые каналы связи, шифрование, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ

Открыть SIG и проверить подпись

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Поделиться:

Попробуйте ДОБЫТО КЭДО

Подписывайте кадровые документы электронно. Оставьте заявку и начните работу.