Как проверить подпись контрагента на документе — полный гид
Контрагент прислал подписанный PDF. Открываете — видите синюю плашку «Подпись действительна», штамп с номером сертификата, логотип удостоверяющего центра. Всё красиво. Но является ли это настоящей электронной подписью?
Практика показывает, что нет — не всегда. Украденные сертификаты, поддельные штампы, просроченные подписи и сотрудники без полномочий — всё это реальные ситуации. Только в сфере недвижимости зафиксированы десятки случаев, когда мошенники переоформляли квартиры с помощью незаконно полученной ЭЦП. ФНС ежегодно получает тысячи жалоб на несанкционированное использование электронных подписей.
В этой статье — пошаговый разбор: что именно нужно проверить, какие сервисы использовать и на какие подвохи обращать внимание. Особенно с учётом обязательного перехода на МЧД (машиночитаемую доверенность) с сентября 2024 года.
Синяя плашка в PDF — это не подпись
Самое распространённое заблуждение: если в PDF есть синий прямоугольник с надписью «Документ подписан электронной подписью», значит документ действительно подписан.
Это не так. Синяя плашка — просто картинка. Её можно вставить в любой PDF за 10 секунд в любом редакторе.
Что выглядит как подпись, но ей не является
| Элемент | Что это на самом деле | Можно ли подделать |
|---|---|---|
| Синий штамп «Подписано ЭЦП» | Картинка с текстом | Да, за 10 секунд |
| Текст с реквизитами сертификата | Набранный текст | Да, просто скопировать |
| Скриншот штампа из другого PDF | Растровое изображение | Да, вырезать и вставить |
| Водяной знак «ПОДПИСАНО» | Полупрозрачный текст | Да, добавить в любом редакторе |
| QR-код «для проверки» | Картинка (если не привязана к криптографии) | Да, сгенерировать любой QR |
Все эти элементы не содержат криптографической информации и не являются электронной подписью. Они не доказывают, что документ подписан конкретным лицом, и не гарантируют, что содержимое не менялось.
Настоящая электронная подпись невидима. Она хранится в специальной структуре файла (/Sig dictionary в PDF), и увидеть её можно только через программу, которая умеет проверять криптографию.
Как на самом деле устроена ЭЦП в PDF
Настоящая квалифицированная электронная подпись (КЭП) — это криптографическая операция по алгоритму ГОСТ Р 34.10-2012. Вот что происходит при подписании:
- Создаётся хеш документа — математический «отпечаток» всего содержимого PDF по алгоритму ГОСТ Р 34.11-2012
- Хеш шифруется закрытым ключом — ключ хранится на USB-токене (Рутокен, JaCarta) и известен только владельцу
- Формируется контейнер подписи — зашифрованный хеш + сертификат подписанта + метка времени упаковываются в формат CAdES (CMS Advanced Electronic Signatures)
- Контейнер встраивается в PDF — записывается в структуру файла, не меняя видимое содержимое
Форматы подписи: CAdES-BES и CAdES-X Long Type 1
Существует два основных формата:
- CAdES-BES — базовый формат. Содержит подпись и сертификат. Минус: если сертификат отзовут позже, невозможно доказать, что на момент подписания он был действителен.
- CAdES-X Long Type 1 — расширенный формат. Дополнительно включает метку доверенного времени (TSP) и данные о статусе сертификата (OCSP-ответ) на момент подписания. Рекомендуется для юридически значимых документов.
Что проверяется при валидации
Когда вы загружаете документ на проверку, система выполняет несколько шагов:
- Извлекает криптографический контейнер из PDF
- Пересчитывает хеш документа и сравнивает с подписанным
- Проверяет сертификат по цепочке доверия: подписант → удостоверяющий центр → Минцифры России (корневой)
- Проверяет, не отозван ли сертификат (CRL — список отзыва или OCSP — онлайн-проверка)
- Проверяет срок действия сертификата на дату подписания
Если хоть один байт документа изменился после подписания — хеш не совпадёт, и подпись будет признана недействительной.
Что именно проверять: 6 пунктов
1. Криптографическая валидность подписи
Первый и главный вопрос: является ли подпись настоящей криптографической операцией или просто картинкой?
Загрузите документ в сервис проверки — он ответит однозначно. Если в PDF нет криптографической подписи, сервис скажет об этом прямо.
2. Кто подписал — ФИО, организация, ИНН
Документ может быть подписан действительной ЭЦП, но не тем человеком. Всегда проверяйте:
- ФИО подписанта — совпадает ли с тем, кто должен был подписать
- Организация (O) — та ли компания указана в сертификате
- ИНН / ОГРНИП — соответствуют ли реквизитам вашего контрагента
- Должность — директор, главбух или рядовой сотрудник
3. Срок действия сертификата
У каждого сертификата есть период действия (обычно 12–15 месяцев). Здесь важна дата подписания, а не дата проверки:
| Ситуация | Подпись действительна? |
|---|---|
| Сертификат действителен на дату подписания и сейчас | Да |
| Сертификат просрочен сейчас, но был действителен на дату подписания | Да (если формат CAdES-X Long Type 1 с меткой времени) |
| Документ подписан после истечения сертификата | Нет — юридической силы нет |
| Сертификат отозван до даты подписания | Нет |
4. Издатель сертификата — аккредитованный УЦ
Для КЭП (квалифицированной электронной подписи) сертификат должен быть выдан:
- ФНС — для руководителей юрлиц и ИП (с 2022 года это основной путь)
- Аккредитованным удостоверяющим центром — для физлиц и сотрудников по доверенности
- Казначейство — для госорганов
В цепочке доверия обязательно должен быть Минцифры России как корневой центр сертификации. Если его нет — это не КЭП.
Количество аккредитованных УЦ в России сократилось с 400+ до примерно 50 — Минцифры ужесточило требования. Это снижает риски, но проверять аккредитацию по-прежнему важно.
5. МЧД — полномочия сотрудника (обязательно с 2024 года)
Это новый и критически важный пункт проверки, о котором многие забывают.
С 1 сентября 2024 года сотрудники организаций подписывают документы личной КЭП физического лица + машиночитаемой доверенностью (МЧД).
Раньше в сертификате сотрудника была указана организация — видно было, что подписывает «Иванов из ООО Ромашка». Теперь сертификат содержит только данные физлица, а полномочия подтверждаются отдельным документом — МЧД.
Что проверять в МЧД:
- Доверитель — та ли организация выдала доверенность
- Поверенный — совпадает ли с подписантом документа
- Полномочия — имеет ли право подписывать именно такой тип документов
- Срок действия — не истекла ли доверенность на дату подписания
- Не отозвана ли — доверенность может быть отозвана досрочно
МЧД регистрируется в реестре ФНС. Если контрагент подписал документ сертификатом физлица без МЧД — по сути, документ подписан от имени человека, а не организации.
Исключение: если документ подписал руководитель (директор, ИП) — МЧД не нужна. Руководители подписывают сертификатом, полученным в ФНС, где организация указана прямо в сертификате.
6. Целостность документа
Если кто-то изменил хоть одну запятую в PDF после подписания — хеш не совпадёт, и проверка это покажет. Подпись будет отмечена как недействительная.
Это одно из ключевых преимуществ КЭП перед простой электронной подписью — гарантия целостности «из коробки».
Где проверить подпись — сравнение сервисов
| Сервис | Тип | Прикреплённая подпись (PDF) | Откреплённая (.sig/.p7s) | ГОСТ | Бесплатно | Без регистрации |
|---|---|---|---|---|---|---|
| SignDog | Онлайн | Да | Да | Да | Да | Да |
| Госуслуги | Онлайн | Да | Да | Да | Да | Нужна учётка |
| Контур.Крипто | Онлайн | Нет | Да | Да | Да | Да |
| СБИС | Онлайн | Да | Да | Да | Да | Нужна учётка |
| КриптоПро CSP | Локальный | Да | Да | Да | Пробный период | — |
| Adobe Acrobat | Локальный | Только западные | Нет | Нет* | Нет | — |
*Adobe Acrobat не поддерживает российские ГОСТ-алгоритмы из коробки. Нужен плагин КриптоПро PDF. Без него Acrobat покажет «Подпись недействительна» даже для корректной ГОСТ-подписи.
SignDog — самый быстрый способ
- Откройте signdog.ru/verify
- Выберите тип: «Прикреплённая подпись» для PDF или «Откреплённая» для .sig файлов
- Загрузите файл
- Получите результат: кто подписал, организация, ИНН, даты, статус сертификата
SignDog проверяет криптографию по ГОСТ Р 34.10-2012 через CryptoPro и показывает полную информацию о подписанте — без регистрации.
Попробуйте: Загрузите подписанный PDF — за секунду узнаете, кто подписал и действительна ли подпись. Проверить подпись →
Госуслуги
Официальный государственный сервис:
- Перейдите на crypto.gosuslugi.ru
- Загрузите документ и файл подписи
- Дождитесь результата
Плюс: государственный реестр сертификатов. Минус: требует авторизацию через Госуслуги, может работать медленно.
Контур.Крипто
Бесплатный сервис от СКБ Контур:
- Проверяет только откреплённые подписи (.sig/.p7s)
- Не поддерживает проверку подписи внутри PDF
- Удобен, если контрагент прислал отдельный файл .sig
КриптоПро CSP
Десктопное решение для тех, кто работает с подписями постоянно:
- Устанавливается на компьютер
- Проверяет любые форматы (CAdES, XAdES, PAdES)
- Платная лицензия (бесплатный пробный период)
- Подходит для автоматизации проверки большого количества документов
Откреплённая vs прикреплённая подпись
Контрагенты могут присылать подписанные документы в двух форматах. Важно понимать разницу:
Прикреплённая (встроенная) подпись
Подпись встроена внутрь PDF-файла. Вам присылают один файл — договор.pdf. Криптографический контейнер находится внутри.
Как проверить: загрузите PDF в SignDog в режиме «Прикреплённая подпись (PDF)».
Откреплённая подпись
Рядом с документом лежит отдельный файл подписи: договор.pdf + договор.pdf.sig (или .p7s). Документ и подпись — два разных файла.
Как проверить: загрузите оба файла в SignDog в режиме «Откреплённая подпись (.sig)».
Какой формат надёжнее? Криптографически — одинаково. Откреплённая подпись удобнее, когда нужно отправить документ тому, кто не умеет работать с ЭЦП — он откроет обычный PDF. А файл .sig нужен только для проверки.
Типичные ситуации и что делать
«Контрагент прислал PDF с синей плашкой, но без ЭЦП»
Это самая частая ситуация. Попросите прислать:
- PDF с настоящей встроенной электронной подписью, или
- Документ + файл
.sig/.p7sс откреплённой подписью
Шаблон письма: «Направленный документ содержит визуальный штамп, но не содержит криптографической электронной подписи. Просим направить документ, подписанный КЭП в формате CAdES, либо приложить файл открепленной подписи (.sig/.p7s).»
«Подпись есть, но сертификат просрочен»
Проверьте дату подписания (не текущую дату):
- Если документ подписан до истечения сертификата — подпись действительна на момент подписания. Это нормально.
- Если подписан после истечения — попросите переподписать актуальным сертификатом.
«Подписал не директор, а неизвестный сотрудник»
С 2024 года это штатная ситуация. Запросите МЧД (машиночитаемую доверенность). Проверьте:
- Указан ли подписант как поверенный в МЧД
- Есть ли у него полномочия подписывать такой тип документов
- Не истекла ли и не отозвана ли доверенность
Если МЧД нет — документ подписан физлицом без полномочий от организации.
«Подпись действительна, но организация другая»
Возможные причины:
- Контрагент сменил юрлицо
- Сотрудник получил сертификат от другой организации
- С 2024 года сертификат сотрудника — это сертификат физлица, организация подтверждается только через МЧД
Уточните у контрагента и запросите МЧД, если подписал сотрудник.
«Adobe Acrobat показывает "Подпись недействительна"»
Скорее всего, проблема не в подписи, а в Adobe. Acrobat не поддерживает ГОСТ-алгоритмы без плагина КриптоПро PDF. Проверьте документ в SignDog или на Госуслугах — если там подпись валидна, с документом всё в порядке.
«Контрагент прислал .sig файл, а документ не прислал»
Файл .sig в формате CAdES-BES может содержать документ внутри себя (attached signature). Но чаще это откреплённая подпись, и документ нужен отдельно. Уточните у контрагента.
Чек-лист: получили подписанный документ от контрагента
- Загрузите документ в SignDog или на Госуслуги
- Криптография — убедитесь, что подпись настоящая (не просто картинка)
- Подписант — проверьте ФИО и организацию — совпадают с ожидаемым
- ИНН — соответствует реквизитам контрагента
- Сертификат — не просрочен на дату подписания
- Издатель — ФНС или аккредитованный УЦ (корневой — Минцифры)
- МЧД — если подписал сотрудник (не директор/ИП), запросите и проверьте доверенность
- Целостность — сервис проверки подтверждает, что документ не менялся после подписания
Попробуйте: Проверьте документ от контрагента прямо сейчас — загрузите PDF и получите полный отчёт. Проверить подпись →
Если вы хотите сами подписать документ электронной подписью — читайте Как подписать PDF без распечатки. О разнице между видами подписей — в статье ПЭП, НЭП, КЭП — виды электронной подписи.
