Файл .sig: инструкция по проверке подписи и работе с форматом

Иван Корнев·26.05.2026·5 мин

Файл с расширением .sig (или .asc) — это контейнер цифровой подписи, который подтверждает подлинность и целостность основного файла. Сам по себе он не содержит полезной информации для чтения (текста или изображений). Его нельзя просто «открыть» как документ или напрямую конвертировать в PDF. Чтобы получить доступ к данным, необходимо использовать исходный файл вместе с .sig и специальным ПО для криптографической проверки (например, GnuPG, OpenSSL или встроенные средства ОС).

Что такое файл SIG и как он работает

Расширение .sig чаще всего ассоциируется с открытым стандартом OpenPGP/GPG, но может встречаться и в других криптографических системах (например, CMS/PKCS#7).

Основное назначение

  1. Аутентификация: Подтверждает, что файл создан именно заявленным автором.
  2. Целостность: Гарантирует, что данные не были изменены после подписания (ни случайно, ни злоумышленником).

Как это устроено технически

Файл .sig содержит зашифрованный хеш (цифровой отпечаток) основного документа. При проверке программа:

  1. Вычисляет хеш текущего файла на вашем компьютере.
  2. Расшифровывает хеш из файла .sig с помощью открытого ключа автора.
  3. Сравнивает два значения. Если они совпадают — подпись верна.

Важно: Файл .sig бесполезен без исходного документа. Если вы скачали document.pdf.sig, но потеряли document.pdf, восстановить содержимое документа из подписи невозможно.

Как открыть и проверить подпись SIG

Поскольку .sig — это бинарные или текстовые криптографические данные, «открыть» его можно только в смысле верификации. Способ зависит от того, чем был подписан файл.

Способ 1: Проверка PGP/GPG подписи (наиболее частый случай)

Используется для проверки дистрибутивов Linux, исходного кода и документов от независимых разработчиков.

Инструменты: GnuPG (GPG), Kleopatra (Windows), GPG Suite (macOS).

Проверка через командную строку (GPG):

  1. Установите GnuPG.
  2. Импортируйте открытый ключ автора (обычно доступен на его сайте или ключевых серверах):
    gpg --import author_public_key.asc
    ```
3.  Запустите проверку:
    
```bash
    gpg --verify file.zip.sig file.zip
    ```
    *Если вывод содержит `Good signature`, файл подлинный.*

### Способ 2: Проверка подписи в Windows (Authenticode/SIG)
Иногда файлы `.sig` сопровождают драйверы или системные обновления Microsoft.

1.  Поместите файл `.sig` и основной файл (например, `.exe` или `.cab`) в одну папку.
2.  Нажмите правой кнопкой мыши на основной файл → **Свойства** → вкладка **Цифровые подписи**.
3.  Если система автоматически не подхватила подпись, используйте утилиту `signtool` (входит в Windows SDK):
    
```cmd
    signtool verify /pa /v file.exe
    ```

### Способ 3: Проверка подписи PDF (если SIG внутри)
Часто пользователи ищут `.sig`, имея в виду визуальную подпись внутри PDF. В этом случае отдельного файла нет — подпись встроена.

1.  Откройте файл в **Adobe Acrobat Reader**.
2.  Нажмите на панель подписи сверху.
3.  Выберите **Свойства подписи** → **Показать состояние подписи**.
4.  Статус «Подпись действительна» означает, что документ не менялся с момента подписания.

Лайфхак для обычных пользователей: Если вы скачали программу с официального сайта и рядом лежит файл .sig, но вы не умеете пользоваться GPG, часто достаточно сравнить контрольную сумму (SHA-256) файла с той, что указана на сайте. Это проще, чем настройка криптоключей.

Можно ли преобразовать SIG в PDF?

Краткий ответ: Нет, прямая конвертация невозможна и бессмысленна.

Почему нельзя сделать «SIG в PDF»?

  • Разная природа данных: PDF — это формат представления документа (текст, вектор, растр). SIG — это математическая хеш-сумма и сертификат. В файле .sig нет текста, картинок или страниц, которые можно было бы отобразить.
  • Отсутствие контента: Попытка «конвертировать» .sig в PDF приведет либо к ошибке, либо к созданию PDF-файла, внутри которого будет лежать непонятный набор символов (бинарный код подписи). Это не сделает документ читаемым.

Что делать, если нужен PDF с подписью?

Если ваша цель — получить юридически значимый документ:

  1. Найдите исходный файл. Без него .sig бесполезен.
  2. Проверьте подпись. Убедитесь, что исходный файл не поврежден.
  3. Работайте с исходником. Если исходник уже в PDF, просто откройте его. Если исходник в другом формате (например, Word), откройте его и сохраните как PDF. Цифровая подпись при этом слетит (так как изменится хеш файла), но сам документ станет доступен для чтения.

Осторожно с мошенниками: Если вам прислали только файл .sig и утверждают, что там «скрытый документ», который можно открыть за деньги или через специальную программу — это обман. Восстановить документ из подписи криптографически невозможно.

Частые ошибки при работе с SIG

ОшибкаПричинаРешение
Bad signatureФайл поврежден при скачивании или подмененСкачайте файл заново из надежного источника
No public key foundУ вас нет открытого ключа автораНайдите и импортируйте публичный ключ (.asc или .pub)
File not foundНе указан путь к исходному файлу при проверкеУбедитесь, что оба файла (.sig и исходный) лежат рядом и имена указаны верно
Попытка открыть в БлокнотеSIG — бинарный или специфический текстовый форматИспользуйте специализированное ПО (GPG, OpenSSL), а не текстовые редакторы

FAQ

Можно ли удалить файл .sig? Да, если вы уже проверили подпись и доверяете источнику, или если проверка не требуется (например, для личных файлов). На работу самой программы или документа удаление .sig не влияет, но вы потеряете возможность доказать подлинность файла в будущем.

Безопасно ли открывать файл .sig? Да, сам по себе файл подписи не исполняется и не содержит вирусов. Опасность представляет только основной файл, к которому он относится. Однако всегда проверяйте цифровую подпись перед запуском исполняемых файлов.

Чем отличается .sig от .asc? Часто это одно и то же (PGP-подпись). .asc обычно обозначает ASCII-armored (текстовое) представление подписи, которое удобно копировать в email. .sig чаще бывает в бинарном формате. Оба типа проверяются одинаково через GPG.

Как создать свой файл .sig? Для этого нужна пара ключей (приватный и публичный). Используйте команду: gpg --detach-sign --output document.sig document.pdf Никогда не передавайте никому свой приватный ключ.