Электронная подпись PDF через файл SIG: полное руководство

Иван Корнев·26.05.2026·5 мин

Файл с расширением .sig (или .sgn) — это контейнер с отделенной электронной подписью. В российской практике (ГОСТ Р 34.10-2012) он часто используется вместо встроенной в PDF подписи, так как не изменяет сам документ, а хранит криптографическую хеш-сумму и сертификат подписанта в отдельном файле. Чтобы «подписать» PDF таким способом, нужно сгенерировать файл .sig через криптопровайдер (например, КриптоПро CSP) и приложить его к исходному документу. Для проверки получатель должен иметь оба файла в одной папке.

Что такое файл .sig и чем он отличается от встроенной подписи

В мире электронного документооборота (ЭДО) существуют два основных подхода к подписанию PDF:

  1. Встроенная подпись (CAdES/PAdES): Данные подписи «зашиваются» внутрь самого PDF-файла. Визуально это часто выглядит как штамп с печатью. Файл остается один, но его размер увеличивается, а структура меняется.
  2. Отделенная подпись (.sig/.sgn): Создается отдельный маленький файл, который криптографически связан с исходным PDF. Сам документ остается нетронутым (бит в бит).

Почему выбирают .sig? Формат .sig является стандартом де-факто для государственных порталов (Госуслуги, ФНС, Росреестр) и многих корпоративных систем в РФ. Он гарантирует, что исходный файл не был модифицирован процессом подписания, что важно для юридической чистоты некоторых типов документов.

Ключевые особенности формата SIG

  • Неизменность оригинала: Исходный PDF не редактируется.
  • Привязка к ГОСТ: Чаще всего использует алгоритмы ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
  • Требует пары файлов: Для валидности всегда нужны два файла: document.pdf и document.pdf.sig.

Как создать файл подписи SIG для PDF

Процесс создания зависит от того, какое ПО вы используете. Ниже приведены инструкции для самых популярных инструментов в РФ.

Способ 1: Через КриптоАРМ (Графический интерфейс)

Это самый простой способ для пользователей Windows.

  1. Запустите КриптоАРМ.
  2. Перейдите на вкладку Подписать -> Подписать.
  3. Нажмите Добавить и выберите ваш PDF-файл.
  4. На этапе «Выходная директория» укажите, куда сохранить результат.
  5. В настройках формата подписи выберите Отсоединенная (Detached).
    • Важно: Если выбрать «Присоединенная», подпись попадет внутрь файла, и расширение может измениться или остаться pdf, но структура будет другой.
  6. Выберите сертификат подписи из списка.
  7. Нажмите Готово. В указанной папке появится файл имя_файла.pdf.sig.

Способ 2: Через командную строку (КриптоПро CSP)

Для автоматизации или работы на серверах без GUI.

Используйте утилиту cryptcp (входит в состав КриптоПро):

cryptcp -sign -detached -dn "CN=Ваше Имя" input.pdf output.pdf.sig

Где:

  • -sign — команда подписания.
  • -detached — ключ, указывающий на создание отделенной подписи.
  • -dn — часть имени сертификата для поиска нужного ключа.
  • input.pdf — исходный документ.
  • output.pdf.sig — имя будущего файла подписи.

Способ 3: Онлайн-сервисы (Удаленная подпись)

Если у вас нет установленного КриптоПро, можно использовать облачные сервисы (например, Контур.Крипто или сервисы ЭДО), но они чаще предлагают встроенную подпись. Для получения именно .sig файла убедитесь, что сервис поддерживает экспорт отсоединенной подписи в формате CMS (PKCS#7).

Как проверить и использовать файл SIG

Наличие файла .sig бессмысленно без механизма проверки. Вот как убедиться, что подпись валидна.

Проверка через КриптоАРМ

  1. Откройте КриптоАРМ.
  2. Перейдите на вкладку Проверить.
  3. Добавьте файл подписи (.sig).
  4. Программа автоматически предложит выбрать исходный файл (pdf). Укажите путь к нему.
  5. Нажмите Проверить.
  6. Если все хорошо, вы увидите сообщение: «Подпись проверена. Подпись верна».

Проверка на портале Госуслуг

Многие пользователи получают документы с подписью .sig от государственных органов.

  1. Зайдите в раздел Проверка электронной подписи (или аналогичный сервис Минцифры).
  2. Загрузите файл .sig.
  3. Загрузите исходный .pdf.
  4. Сервис покажет статус: кто подписал, когда и действителен ли сертификат на момент подписания.

Частая ошибка: Пользователи переименовывают файлы. Никогда не меняйте имя исходного PDF после создания подписи. Если файл назывался dogovor.pdf, а подпись создана для dogovor.pdf, то переименование документа в dogovor_final.pdf приведет к ошибке проверки. Связь идет по содержимому файла, но многие программы требуют совпадения имен или явного указания исходника.

Сравнение методов подписания PDF

ХарактеристикаОтделенная подпись (.sig)Встроенная подпись (PAdES)
Целостность файлаОригинал не меняетсяФайл модифицируется
Количество файлов2 (doc.pdf + doc.pdf.sig)1 (doc.pdf)
ВизуализацияНет штампа в самом PDFМожно добавить видимый штамп
СовместимостьТребует спец. ПО (КриптоПро)Открывается в Adobe Reader (частично)
Где используетсяГосуслуги, ФНС, суды, тендерыКоммерческий ЭДО, внутренняя переписка

Частые ошибки и проблемы

  1. Ошибка «Хеш-сумма не совпадает»

    • Причина: Исходный PDF был изменен после подписания (даже один пробел или пересохранение в другом редакторе).
    • Решение: Используйте только тот файл PDF, для которого была создана подпись.

  2. Сертификат истек или отозван

    • Причина: Срок действия квалифицированного сертификата истек, или он был отозван УЦ.
    • Решение: Проверьте статус сертификата в личном кабинете УЦ. Для документов, подписанных в прошлом, важна дата подписания: если на тот момент сертификат был действующим, подпись юридически значима (требуется проверка по состоянию на дату подписи).

  3. Неверный формат подписи

    • Причина: Попытка открыть .sig файл как текстовый документ или картинку.
    • Решение: Файл .sig имеет бинарную структуру (обычно Base64 или DER). Открывать его нужно только через специализированные крипто-утилиты.

FAQ

Можно ли отправить только файл .sig без PDF? Нет. Файл подписи не содержит самого документа. Без исходного PDF проверить подпись невозможно, так как не с чем сравнивать хеш-сумму.

Как объединить PDF и SIG в один файл для отправки? Стандартный способ — заархивировать их в ZIP-архив. Некоторые системы ЭДО позволяют «упаковать» подпись в формат PKCS#7 внутри контейнера, но для госорганов лучше отправлять два отдельных файла или ZIP-архив.

Работает ли подпись .sig на macOS или Linux? Да, если установлено совместимое ПО. Для Linux существует КриптоПро CSP для Linux. На macOS поддержка ограничена и часто требует использования веб-плагинов или виртуальных машин с Windows для генерации подписи по ГОСТ.

Юридически ли значима подпись в файле .sig? Да, если она выполнена с использованием квалифицированного сертификата ключа проверки электронной подписи (КЭП) и соответствует требованиям 63-ФЗ «Об электронной подписи». Формат хранения (отсоединенный) не влияет на юридическую силу.