P7S и SIG: чем отличаются форматы электронной подписи и какой выбрать

.

При работе с электронными документами кадровики и бухгалтеры постоянно сталкиваются с файлами откреплённой подписи в двух расширениях — .p7s и .sig. Понимание того, как устроены форматы электронной подписи, экономит часы на разборе ошибок загрузки и отказов при проверке. Проблема актуальна для всех, кто отправляет документы в ФНС, Росреестр или обменивается кадровыми файлами через систему КЭДО. В этой статье разберём техническую основу обоих расширений, требования госсервисов и практические приёмы для решения проблем совместимости. Отдельно покажем, как автоматизировать работу с подписями, чтобы не тратить время на ручные манипуляции с файлами. Материал пригодится всем, кто работает с ЭДО — от кадровика до системного администратора.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права.

Один контейнер — два расширения: почему возникла путаница

И .p7s, и .sig — обёртки для криптоконтейнера PKCS#7 (CMS по RFC 5652). Внутри лежат хеш документа, сертификат подписанта и метка времени. Формат .p7s вырос из стандарта S/MIME для электронной почты, а .sig закрепился в российской госинфраструктуре: его генерирует Госключ, сервисы Минцифры и отечественные криптопровайдеры. Байтовая структура файлов идентична — разница только в имени после точки. Но именно это имя становится камнем преткновения при загрузке на госпорталы, где валидатор проверяет расширение до анализа содержимого.

Мария Ж, специалист по цифровой подписи:«80% ошибок при загрузке ЭП на госпорталы связаны не с криптографией, а с расширением файла. В КЭДО-системах этот момент автоматизирован — грабли уже обойдены за вас.»

Какие госорганы принимают P7S, а какие — только SIG

63-ФЗ регулирует виды ЭП, но не диктует расширение файла. ФНС принимает оба варианта, Росреестр ожидает .sig — такое расширение по умолчанию генерируют КриптоПро и КриптоАРМ. Госключ возвращает подпись в .sig с профилем CAdES-T для каждого подписанного файла (до 50 файлов в пакете). Портал Госуслуг при проверке корректно обрабатывает оба расширения. В КЭДО расширение роли не играет: система работает с контейнером напрямую. Сервис Добыто автоматически распознаёт и .p7s, и .sig при загрузке архива, проверяет целостность и выводит результат — кадровику не нужно разбираться в нюансах.

Как проверить файл электронной подписи: пошаговая инструкция

Показать пошаговую инструкцию

1. Шаг 1. Подготовьте исходный документ и файл подписи (.p7s или .sig).
2. Шаг 2. Откройте сервис проверки: Госуслуги, КриптоАРМ или модуль КЭДО-системы.
3. Шаг 3. Загрузите оба файла и нажмите «Проверить».
4. Шаг 4. Сохраните отчёт проверки в PDF для предоставления в ГИТ или суд.

Переименование .p7s в .sig: когда это работает

Раз содержимое идентично, можно ли просто переименовать файл? В большинстве случаев — да: хеш не меняется, юрсила сохраняется. Исключение — файлы .p7s с MIME-заголовками формата S/MIME: валидатор, ожидающий DER-кодированный PKCS#7, такой файл отвергнет. Также важно учитывать профиль CAdES: переименование не влияет на штамп времени, но если принимающая сторона ожидает конкретный профиль — проблема глубже, чем имя файла. Проверить кодировку можно в любом hex-редакторе: DER-файл начинается с байтов 30 82, а MIME-обёртка — с текстовых заголовков Content-Type. Для тех, кто ежедневно работает с десятками подписей, оптимальное решение — автоматизация через КЭДО-платформу, которая приводит формат к нужному виду без участия пользователя.

Мария Ж, судебный эксперт в сфере корпоративного и трудового права:«В судебной практике я не встречала отказ в приёме доказательства из-за расширения файла. Суды оценивают криптографическую корректность. Но для ГИТ лучше сразу подавать в нужном формате — экономит время на пилоте.»

Как КЭДО-система снимает вопрос форматов

При переходе на КЭДО система должна поддерживать профили CMS, CAdES-BES, CAdES-T и работать с УКЭП/УНЭП. Сервис Добыто берёт техническую часть на себя: кадровик загружает документ, сотрудник подписывает через Госключ или ПЭП, а платформа формирует корректный архив с подписью нужного профиля. Это особенно ценно для компаний без штатного криптографа — не нужно разбираться в тонкостях DER-кодировки или CAdES-профилей.

КритерийДобыто1С:КССБИС Поддержка .p7s и .sigАвтоматическиЧерез КриптоПроЧерез КриптоПро Интеграция с ГосключомВстроеннаяДоступнаДоступна Встроенная проверка ЭПДаВнешнее ПОДа АвтоформатированиеДаНетЧастично

Часто задаваемые вопросы

Влияет ли расширение файла на юридическую силу подписи?

Нет. Юрсилу определяет содержимое контейнера: хеш, сертификат и соответствие 63-ФЗ. Расширение — технический атрибут файловой системы.

Какой формат возвращает Госключ?

Госключ формирует отсоединённые файлы .sig с профилем CAdES-T. В пакете — до 50 файлов PDF, XML и других форматов.

Можно ли улучшить подпись CAdES-BES до CAdES-X Long Type 1?

Да, через КриптоАРМ Server или КриптоПро. Подпись дополняется штампом времени и данными о статусе сертификата.

Сколько хранятся документы в Госключе?

С 2024 года ограничений нет. К 2027 году планируется платформа архивного хранения на ЕПГУ. Работодатель обязан хранить документы по ст. 22.1 ТК РФ.

Что делать, если портал не принимает файл подписи?

Переименуйте .p7s в .sig или наоборот. Проверьте срок сертификата и список отозванных. В Добыто техподдержка диагностирует проблему за 10–15 минут.

Разобраться в форматах подписи — задача на один раз. Но если компания ежедневно оформляет десятки кадровых документов, ручная работа с файлами отнимает время. Автоматизировать процесс можно уже сегодня: достаточно подключить dobyto.ru и перевести кадровый документооборот в цифру за считанные дни.