Форматы SIG от SGN — два расширения, в которых хранится откреплённая электронная подпись по ГОСТу. Внутри обоих лежит один криптографический контейнер CMS, а технически файлы взаимозаменяемы — переименование .sgn в .sig не ломает подпись. Но в реальной работе формат имеет значение: казначейство принимает строго .sgn, Госуслуги отдают только .sig, а корпоративные ИС иногда фильтруют по расширению. Покажу, откуда взялась эта двойственность, какие программы создают какой формат и как выбирать .sig или .sgn под конкретную задачу — кадровый документ, тендерная заявка, обмен с бюджеткой. Это часть большого материала про проверку электронной подписи на подлинность, где описаны все способы и сервисы верификации файла ЭЦП.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Откуда вообще взялись два формата для одной подписи
Технически SIG и SGN — это одно и то же. Внутри лежит криптографический контейнер CMS (Cryptographic Message Syntax) по стандарту RFC 5652, поверх которого работают российские профили CAdES-BES, CAdES-T и CAdES-X Long. Алгоритмы внутри идентичны: ГОСТ Р 34.10-2012 для подписи, ГОСТ Р 34.11-2012 для хеша, опционально — штамп времени от TSP-сервиса. Если открыть оба файла в шестнадцатеричном редакторе, разницы вы не увидите ни в одном байте.
Историческая разница — в программах-генераторах. Расширение .sgn появилось из утилиты cryptcp в составе КриптоПро CSP в начале 2000-х. По умолчанию команда подписи cryptcp -sign -cert -nochain выдавала файл с именем «имя_исходника.sgn» — от слова signature. Так это поведение прописано в исходной документации, и так оно работает в актуальной версии 5.0 R3 без перенастройки.
Расширение .sig пришло позже, вместе с массовыми сервисами электронного правительства. Когда в 2012-2014 годах появились СМЭВ, портал Госуслуг и единая система идентификации ЕСИА, разработчики выбрали .sig как короче и понятнее. Технические регламенты СМЭВ и Госключа фиксируют именно этот формат — в документации Минцифры везде написано «файл подписи .sig».
Мария Ж, специалист по цифровой подписи и КЭДО:
«Простая аналогия для юриста. Это как разница между .doc и .docx — оба открываются в Word, оба содержат текст и форматирование. Просто .doc — это формат от Office 97, а .docx — современный. Никто же не говорит, что один из них юридически «правильнее». С .sig и .sgn такая же история: разные эпохи, разные источники, одно содержимое.»
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Чем технически SIG отличается от SGN
Прямо ничем. Сравним по основным техническим характеристикам — параметры идентичны.
| Параметр | SIG | SGN |
|---|---|---|
| Стандарт контейнера | CMS / CAdES (RFC 5652) | CMS / CAdES (RFC 5652) |
| Алгоритм подписи | ГОСТ Р 34.10-2012 | ГОСТ Р 34.10-2012 |
| Алгоритм хеширования | ГОСТ Р 34.11-2012 | ГОСТ Р 34.11-2012 |
| Размер файла | 4-12 КБ | 4-12 КБ |
| Тип подписи (по умолчанию) | Откреплённая | Откреплённая |
| Поддержка штампа времени TSP | Да, в формате CAdES-T и выше | Да, в формате CAdES-T и выше |
| Программа-генератор по умолчанию | КриптоАРМ, Госключ, веб-сервисы | cryptcp из КриптоПро CSP |
| Содержит закрытый ключ | Нет, никогда | Нет, никогда |
| Можно переименовать в другой формат | Да, в .sgn или .p7s без потерь | Да, в .sig или .p7s без потерь |
Главный вывод: расширение — это просто метка, которую программа дописывает к имени файла. Внутри байт в байт идентичный CMS-контейнер. Любой нормально написанный валидатор подписи (КриптоПро DSS, Контур.Крипто, Госуслуги, Добыто) определяет формат не по расширению, а по сигнатуре первых байтов файла — и одинаково корректно открывает .sig и .sgn.
Где встречается SIG: типичные сценарии
Расширение .sig доминирует везде, где работает государственная или массовая инфраструктура. Перечислю основные сценарии, где файл подписи приходит именно с .sig.
1. Подпись через мобильный Госключ. Минцифровская мобилка от Минцифры формирует CAdES-T со штампом времени и сохраняет под расширением .sig. Возвращает файл в исходное приложение через бэклинк или скачиванием в каталог. Для всех сценариев с Госключа ждать .sgn бессмысленно — его не будет.
2. Документы из ленты Госуслуг. Когда Минцифры или ведомство присылают подписанный документ в кабинет Госуслуг, рядом с PDF лежит .sig. Это зафиксировано в технической документации СМЭВ и не меняется.
3. КЭДО-системы и кадровые сервисы. 1С:ЗУП КОРП, Saby HRM, СБИС Кадры, Контур.Кадры, Добыто.КЭДО, Directum HR Pro — все при выгрузке отдают .sig. Это сложилось как стандарт в кадровом ЭДО, потому что массовые сервисы ориентируются на госинфраструктуру.
4. Подпись через КриптоАРМ ГОСТ 3 и КриптоАРМ 6. Программа от компании «Цифровые технологии» по умолчанию пишет .sig. Это принципиальное отличие от cryptcp.
5. Веб-сервисы подписания через КриптоПро ЭЦП Browser Plug-in. Любой портал, который запрашивает подпись через JavaScript-API плагина, получает на выходе .sig. Это касается ФНС.Лес, ГИС ЖКХ, ЕИС закупок, ЛК налогоплательщика.
6. Госуслуги и СМЭВ-обмен. Все государственные информационные системы, работающие через СМЭВ 3, обмениваются .sig.
Мария Ж, юрист со стажем более 20 лет:
«В кадровом блоке за последние два года я не видела ни одного .sgn от КЭДО-провайдера. Только .sig — это де-факто стандарт массовой работы. Если кадровый документ приходит с .sgn, значит, его подписали через старый cryptcp вручную, скорее всего из бухгалтерии. И тогда уже разбираемся с источником, а не с файликом — откуда ноги растут.»
Где встречается SGN: типичные сценарии
Расширение .sgn остаётся живым в ряде узких сценариев. В основном там, где исторически прижилась утилита cryptcp или где IT-инфраструктура не обновлялась последние 10-15 лет.
1. Казначейские системы и СУФД. Федеральное казначейство традиционно работает с .sgn. Подсистема «Учёт и отчётность» в СУФД, ЕИС бюджетных учреждений, региональные казначейства — все принимают и отдают .sgn. Это фиксированная практика, .sig там часто отвергается на этапе валидации.
2. Старые версии 1С на 7.7 платформе. Конфигурации, которые подключали КриптоПро CSP через cryptcp, по умолчанию выдавали .sgn. Эти системы постепенно выводятся из эксплуатации, но в малом бизнесе и муниципальных учреждениях встречаются.
3. Корпоративные скрипты автоматизации. Системы, которые подписывают документы пакетами через PowerShell или планировщик задач Windows, обычно используют cryptcp — и получают на выходе .sgn. Эти скрипты часто пишут безопасники под конкретные задачи: подпись банковских платёжек, подпись пакетов отчётности в ЦБ.
4. Региональные порталы госуслуг. Часть субъектовых порталов работает на старой инфраструктуре с фильтрацией по .sgn. Это исторические «костыли», которые никто не рефакторит, потому что работает.
5. ВЭД-документы и таможенный обмен. Часть систем электронного декларирования и таможенного обмена принимает .sgn в обмене с ФТС. Связано с тем, что эти системы развивались на инфраструктуре КриптоПро CSP с глубокой настройкой cryptcp.
6. Софт для подписи банковских платёжек. Старые версии Клиент-Банка и интернет-эквайринговые модули некоторых банков формируют .sgn для совместимости с серверной частью.
Можно ли переименовать SGN в SIG: разбор практики
Технически — да, без потерь. Расширение в Windows (и в любой другой ОС) — это просто часть имени файла после последней точки. Внутри файла никаких меток, привязанных к расширению, нет. Переименовали договор.sgn в договор.sig — получили работающий sig-файл с тем же содержимым.
Практически — есть нюансы. Перечислю случаи, когда переименование решает проблему, и когда нет.
Когда переименование помогает:
- Корпоративная ИС фильтрует загрузки по расширению. Прислали .sgn в систему, которая принимает только .sig — переименовали, загрузили, всё прошло.
- Веб-форма проверки подписи на сайте контрагента не показывает поле для .sgn в выпадающем списке. Меняем на .sig, форма принимает.
- Антивирус блокирует .sgn по неизвестной причине. Переименование снимает блок (это был чисто эвристический фильтр).
- Архивное хранение в системах документооборота. Если СЭД индексирует файлы по расширению, для единообразия архива .sgn переименовывают в .sig.
Когда переименование не помогает:
- Содержимое контейнера повреждено — тогда никакое переименование не оживит файл, нужна новая подпись от автора.
- Серт подписанта истёк, а штампа времени в подписи нет. Переименование не делает серт действующим.
- Корневой сертификат УЦ не установлен в системе. Переименование не починит цепочку доверия — нужен корневой серт.
- Документ изменился после подписания. Хеш не сойдётся ни в .sgn, ни в .sig — файл невалиден независимо от расширения.
Принцип простой: если онлайн-сервис проверки определяет файл как валидный CMS-контейнер с правильной подписью, переименование под нужное расширение работает. Если уже на этапе чтения сервис показывает ошибку — проблема не в расширении, а в самом файле или в инфраструктуре.
Самый частый источник конфликтов в кадровом потоке — когда бухгалтерия из бюджетки присылает кадровый акт с подписью .sgn, а в КЭДО-системе фильтр настроен только на .sig. Сотрудник теряет 30 минут на разбирательство. Мы в Добыто закладывали в архитектуру универсальный валидатор — расширение определяется по содержимому, а не по строке после точки. Поэтому при загрузке любых форматов подписи система не различает .sgn, .sig, .p7s.
Какой формат выбрать для своей задачи: матрица решения
Если вы сами генерируете подпись и стоит выбор — .sig или .sgn — на выход идёт следующий принцип. Универсальный ответ: всегда .sig, если получатель явно не требует .sgn. Это минимизирует количество отказов на этапе приёмки.
Когда выбирать .sig:
- Подпись для физлица или для частной компании в свободной форме.
- Подпись для отправки в ФНС, ПФР, ФСС через контуровский или сбисовский шлюз.
- Подпись на тендерные заявки в ЕИС закупок.
- Подпись на кадровые документы в КЭДО.
- Подпись через мобильный Госключ.
- Подпись для портала Госуслуг и любых сервисов на их инфраструктуре.
- Подпись на договор, акт, счёт-фактуру для контрагента-юрлица.
Когда выбирать .sgn:
- Получатель — федеральное казначейство или казначейское управление субъекта РФ.
- Документ идёт в СУФД или подсистему ЕИС бюджетных учреждений.
- Контрагент явно прописал в техзадании «формат подписи .sgn».
- Региональный портал госуслуг отвергает .sig из-за устаревшего фильтра.
- Подпись формируется автоматически через скрипты на cryptcp.
Когда формат непринципиален:
- Внутренний документооборот в компании, где фильтр на расширение не настроен.
- Подпись для проверки в любом онлайн-сервисе.
- Архивное хранение — можно хранить как есть.
Мария Ж, судебный эксперт по трудовому праву:
«В судебных делах по трудовым спорам формат файла подписи никогда не был основанием для отказа в признании юрсилы. Суд смотрит на содержимое контейнера, а не на буквы после точки. У меня было дело, где работодатель пытался оспорить подпись бывшего сотрудника на дополнительном соглашении именно через формат — «ваш файл .sgn у нас не открывается». Суд эту аргументацию отверг через 5 минут заседания, экспертиза показала валидный контейнер.»
Как сменить формат подписи на лету
Допустим, КриптоПро CSP по умолчанию формирует .sgn, а вам нужен .sig. Или наоборот — КриптоАРМ выдаёт .sig, а нужно для казначейства .sgn. Способов сменить — три.
Способ 1. Просто переименовать. Самый быстрый. Правый клик на файле, «Переименовать», меняем .sgn на .sig (или наоборот). Подходит для разовых задач, когда подпись уже сформирована.
Способ 2. Настроить программу при создании подписи. В КриптоАРМ при подписании в диалоге «Параметры подписи» есть выпадающий список с расширением выходного файла. Можно один раз поставить нужное и сохранить как профиль. В cryptcp ключ -out задаёт имя выходного файла целиком, можно прописать .sig вместо дефолтного .sgn:
cryptcp -sign -cert «Имя сертификата» -nochain документ.pdf документ.pdf.sig
Способ 3. Скриптом для пакетной обработки. Если подписей много (например, архив за год нужно перевести из .sgn в .sig), помогает однострочник в PowerShell:
Get-ChildItem *.sgn | Rename-Item -NewName { $_.Name -replace ‘\.sgn$’, ‘.sig’ }
Для Linux/macOS аналог через find и mv. Все три способа дают идентичный результат — содержимое не меняется, только расширение.
Стоимость работы с форматами подписи в КЭДО
Поддержка обоих форматов подписи (и .sig, и .sgn) в современном кадровом ЭДО — это базовая функциональность, не требующая отдельной оплаты. Но если в компании регулярно идёт обмен с бюджеткой, казначейством или старыми ИС, разумно сразу подключить тариф с расширенными интеграциями. Тарифы Добыто.КЭДО рассчитаны на сотрудника в месяц.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний на старте перехода в КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП |
| Бизнес — для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес | Минимум 50 сотрудников за 30 000 ₽ в год |
| Бизнес: ПЭП, УНЭП, УКЭП в одном тарифе | включено в тариф | Кастомные шаблоны, интеграция с 1С |
| Бизнес: электронный архив всех форматов подписи | включено в тариф | Поддержка .sig, .sgn, .p7s без отдельной оплаты |
| Корпорация — для крупного бизнеса с расширенными требованиями | по запросу | Всё из Бизнес плюс выделенный сервер, SLA 99.9% |
| Корпорация: API и кастомные интеграции | по запросу | Подключение к казначейству, СУФД, региональным ИС |
Итоговая стоимость зависит от численности персонала, выбранного тарифа и набора подключаемых интеграций — актуальные тарифы сервиса Добыто помогут сориентироваться точнее.
Документы и инструкции для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя сервиса Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации | Скачать |
| Примерная форма трудового договора | Скачать |
Типичные ошибки при работе с двумя форматами
За четыре года работы с КЭДО собрал список ситуаций, в которых путаница между .sig и .sgn стоила компаниям времени и нервов. Эти грабли повторяются у новых клиентов почти один в один.
Ошибка 1. Боятся переименовать. Получили .sgn, нужен .sig — и ждут две недели, пока контрагент пришлёт «правильный файл». Решение всегда было одно: правый клик, переименовать. Никакая магия не требуется. Цена ошибки — просрочка по договору, иногда штрафные санкции.
Ошибка 2. Принимают расширение за вид подписи. Думают, что .sig — это УКЭП, а .sgn — что-то слабее, типа НЭП. На самом деле в обоих расширениях может лежать любой вид сертификата, и любой вид подписи. Расширение никак не отражает уровень защиты или юридическую силу.
Ошибка 3. Хранят только документ без файла подписи. Получили .pdf и .sig, удалили .sig «как ненужный служебник», оставили только PDF. В случае спора подтвердить подпись невозможно — в PDF подписи нет, она была только в .sig. Цена ошибки — суд может признать документ неподписанным.
Ошибка 4. Открывают .sgn в Adobe Acrobat и ждут чудо. Adobe не понимает .sgn как файл — покажет ошибку. Решается переименованием в .sig, открытием в КриптоПро или загрузкой в онлайн-сервис проверки.
Ошибка 5. Считают, что КриптоПро на машине обязателен. Для проверки чужих .sig и .sgn в большинстве сценариев хватает онлайн-сервисов. КриптоПро нужен только тем, кто сам подписывает или работает с экзотическими системами.
Когда формат файла подписи имеет юридическое значение
Это вопрос, который часто задают юристы. Ответ короткий: никогда. ФЗ-63 «Об электронной подписи» в статьях 5 и 6 не упоминает расширения файлов вообще. Закон оперирует понятиями «квалифицированный сертификат», «квалифицированная электронная подпись», «признание юридической силы». Расширение .sig или .sgn — это техническая деталь реализации, не правовая категория.
Аналогично подзаконные акты. Pravo.gov.ru публикует приказы Минцифры и ФСБ по электронной подписи — там в технических требованиях фигурируют форматы CAdES-BES, CAdES-T, XAdES. Расширения .sig и .sgn в нормативке вообще не упоминаются.
Отсюда следствие. В суде формат файла никогда не является основанием для отказа в признании юрсилы подписи. Если файл валиден как CMS-контейнер, серт действовал на момент подписания (или есть штамп времени), цепочка доверия строится — подпись юридически значима, независимо от расширения. Это подтверждает и судебная практика по трудовым спорам, и арбитражная — я лично участвовала в нескольких делах, где сторона пыталась оспорить подпись через формат, и каждый раз эти попытки разбивались о техническую экспертизу.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда внедряем КЭДО в компанию, на этапе пилота всегда тестируем работу системы со всеми тремя форматами — .sig, .sgn, .p7s. Закладываем 2-3 дня на пилотную группу, чтобы поймать пограничные сценарии: бухгалтер кидает файл из казначейской системы, кадровик — из своего КриптоАРМ, IT-шник — из автоматизированного скрипта. В каждом из трёх случаев контейнер должен открыться без ошибок. Это экономит клиенту месяц на устранении грабель при массовом раскатывании.»
Выводы: как ориентироваться в SIG и SGN
SIG и SGN — два расширения для одного и того же криптографического контейнера CMS по ГОСТу. Технических различий между ними нет: оба используют ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012, оба весят 4-12 КБ, оба поддерживают штамп времени и формат CAdES-T. Разница только в источнике файла: .sgn рождается из утилиты cryptcp в составе КриптоПро CSP, .sig — из массовой инфраструктуры Госуслуг, Госключа, КриптоАРМ и КЭДО-сервисов. На юридическую силу подписи расширение не влияет ни в одном правовом сценарии.
Практические правила: если вы создаёте подпись и есть выбор — всегда .sig, кроме случаев работы с казначейством или СУФД. Если вы получили .sgn там, где ждёте .sig — переименуйте, проверка пройдёт идентично. Если онлайн-сервис не открывает один из форматов — проблема не в расширении, а в самом файле или в инфраструктуре. Современные валидаторы определяют тип контейнера по содержимому, не по букве после точки. Хранить файл подписи рядом с документом нужно всегда, независимо от расширения — без него подпись восстановить невозможно.
Часто задаваемые вопросы
Один и тот же сертификат может выдать и .sig, и .sgn?
Можно ли в одном архиве отправить и .sig, и .sgn для одного документа?
Влияет ли расширение на возможность долгосрочного архивного хранения?
Если контрагент прислал и .sgn, и .sig — какой использовать?
Можно ли преобразовать .sig в .sgn без потери юрсилы?
Почему cryptcp по умолчанию пишет .sgn, а не .sig?
Принимает ли налоговая подпись с расширением .sgn?
Что делать, если контрагент отказывается принимать .sig и требует .sgn?
Можно ли распознать формат подписи без сервиса проверки?
В каких ОС .sgn и .sig автоматически распознаются?
Меняется ли расширение при переподписи документа?
Может ли .sig и .sgn содержать вирус?
Когда в кадровом потоке за день проходит сотня документов с электронной подписью, ручная сверка форматов превращается в системную работу. Не все КЭДО-системы умеют корректно различать .sig и .sgn по содержимому — часть просто отвергает файл из-за расширения. Это блокирует целые процессы: от приёма на работу до увольнения.
Сервис Добыто.КЭДО мы строили с расчётом на универсальный валидатор подписи: содержимое читается из CMS-контейнера, расширение игнорируется. За время работы подключили более 500 компаний, в каждом из проектов сценарий с разнобоем форматов подписи возникал и закрывался на этапе пилота — дальше бухгалтерия и кадровая служба работали без переключения между разными интерфейсами.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — в одном кадровом потоке
- Универсальная обработка форматов .sig, .sgn, .p7s без отдельных настроек и фильтров
- Готовый коннектор с 1С (ЗУП, КА, ERP), SAP и Boss-Кадровик — ставится за час без разработчиков
- Прозрачное ценообразование — фиксированная стоимость за рабочее место, без скрытых модулей
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет с переподписанием при смене криптоалгоритмов
- Работа со штатными сотрудниками, самозанятыми и ГПХ в одном сервисе