«Подпись недействительна»: как без паники решить эту проблему и проверить подлинность ЭП

Решили проверить достоверность электронного документа с ЭП, а сервис выдал ошибку? Не стоит паниковать раньше времени. Сообщение о недействительной подписи далеко не всегда означает подделку документа или мошенничество.

Хорошая новость в том, что существуют сервисы, которые помогают проверить электронную подпись быстро и объективно. Разбираемся, что именно отображает протокол проверки, где её можно провести и в каких случаях документ действительно нужно переподписывать.

Для проверки электронной подписи существуют специальные сервисы – платные и бесплатные. Они позволяют проверить документы, подписанные усиленными видами подписи: УНЭП и УКЭП.

После загрузки документа и файла подписи сервис формирует протокол проверки. Он помогает быстро понять, всё ли в порядке с подписью и можно ли использовать документ в работе. Проверка отображает ключевую информацию:

Если документ подписан сотрудником по доверенности, отдельно проверьте его МЧД. Сервисы проверки ЭП не оценивают актуальный статус доверенности. Поэтому для полной достоверности валидности документа важно убедиться, что МЧД была действующей на момент подписания и не вызывала сомнений по полномочиям.

Дело в том, что простая и усиленные подписи имеют разные технические особенности «под капотом».

Простая электронная подпись, или ПЭП, выглядит как логин и пароль, код из СМС, подтверждение через личный кабинет и множество других вариантов. Универсального сервиса для проверки ПЭП нет, и подтвердить её корректность можно только через систему, в которой она была сформирована.

УНЭП и УКЭП устроены иначе. Они создаются с помощью средств криптографической защиты информации, поэтому их можно проверять стандартизированными методами.

Перед подписанием с помощью специальных алгоритмов из документа рассчитывается хеш – цифровой отпечаток файла. И уже к нему ставится электронная подпись.

Когда документ проходит проверку, сервис заново рассчитывает хеш и сравнивает его со значением, связанным с подписью. Если значения совпадают, значит, документ после подписания не менялся, а подпись относится именно к нему. На этом механизме и основана проверка усиленных электронных подписей в сторонних сервисах.

Чаще всего при проверке электронной подписи встречаются две типовые ошибки. В разных сервисах они могут называться по-разному, но их суть не меняется.

Причина: у сертификата электронной подписи есть срок действия – обычно 12 или 15 месяцев. К моменту проверки давно подписанного документа он действительно мог истечь или быть отозван – например, если владелец потерял доступ к ключу, сменил данные или сотрудник уволился. Но это не значит, что все документы, подписанные раньше, автоматически становятся недействительными.

В данном случае значение имеет не дата проведения проверки, а дата подписания документа. Если документ подписали в тот период, когда сертификат ещё действовал, подпись остаётся валидной даже после окончания срока сертификата. Система должна определить это по метке доверенного времени – она фиксирует момент создания подписи.

Метка доверенного времени – это криптографическое подтверждение того, в какой именно момент была создана подпись. Удобно, когда сервис подписания добавляет такую метку автоматически – например, как в Sign.Me.

Решение: проверьте дату подписания в результатах проверки. Если документ был подписан в период действия сертификата, а сам сертификат на этот момент не был отозван и не находился в списке отзыва CRL – с подписью всё в порядке.

Просить контрагента переподписать документ стоит только в том случае, если проверка показывает, что подпись была создана уже после окончания срока действия сертификата или после его отзыва. Отдельно стоит насторожиться, если у подписи отсутствует метка доверенного времени – в такой ситуации подтвердить точный момент подписания будет невозможно.

Причина: после подписания с документом произошли изменения. Это не всегда намеренная правка. Достаточно пересохранить документ в другом формате, изменить шрифт, добавить лишний пробел или отправить документ так, что он повредился при пересылке.

Для человека такая правка может выглядеть незначительной. Но для электронной подписи это уже другой хеш документа.

Решение: запросите у контрагента исходную подписанную версию документа и соответствующий файл подписи. Возможно, проблема просто в том, что вы загрузили не ту версию файла или не тот файл подписи.

Если документ действительно изменили или он повредился после подписания, его нужно подписать заново. Самостоятельно пытаться исправить файл нет смысла: даже если визуально вернуть всё «как было», для системы это всё равно будет уже другой документ.

Сегодня проверить усиленную электронную подпись можно с помощью разных сервисов. Ниже варианты, которые мы советуем использовать.

Бесплатный сервис Sign.Me поможет проверить любые УНЭП и УКЭП независимо от того, где они были выпущены. Нужно загрузить подписанный документ, добавить файл подписи, если она хранится отдельно, и получить отчёт: действительна ли подпись, кто подписал документ, не нарушена ли целостность и какие данные указаны в сертификате.

Проверить подпись можно и через портал «Госуслуги». Для этого достаточно загрузить документ и файл подписи – сервис автоматически покажет результат проверки и статус подписи.

Свои инструменты есть и у многих УЦ. Например, такие сервисы предлагают Контур и КриптоАРМ. Базовая проверка доступна онлайн, но отдельные функции могут предоставляться за дополнительную плату в зависимости от платформы.

Проверка нужна не потому, что электронную подпись возможно подделать или взломать. Наоборот – усиленная ЭП работает на основе криптографии, и создать подпись за другого человека без доступа к его закрытому ключу невозможно.

Проблема в другом: сама подпись обычно хранится в файле в нечитаемом для человека формате .sig. Если открыть такой файл на компьютере, вы увидите набор технических данных, по которым невозможно сразу определить, кто подписал документ, когда это произошло и относится ли подпись именно к этому файлу. Сервис проверки как раз переводит эту информацию в понятный для человека вид. Это способ убедиться, что подпись корректно связана с документом и её можно использовать в работе.

При этом риски всё равно существуют, но они связаны не с техническим взломом, а с человеческим фактором: владелец потерял носитель с подписью, передал ключ коллеге «для удобства» или компания не отозвала сертификат после увольнения сотрудника. Поэтому важно не передавать ключи и пароли третьим лицам, своевременно отзывать сертификаты, контролировать полномочия сотрудников и использовать сервисы, которые фиксируют действия пользователей и историю подписания.

Электронная подпись не только ускоряет документооборот, но и делает работу прозрачнее. А проверка ЭП – это нормальная часть безопасного ЭДО, которая помогает понять, кто подписал документ, функционировал ли сертификат, не изменялся ли документ после подписания и действительно ли подпись принадлежит именно этому файлу.

Сообщение «подпись недействительна» далеко не всегда говорит о подделке документа. Иногда это просроченный сертификат, которому не хватает метки времени, повреждённый файл, неправильная пара «документ + подпись». Поэтому сначала смотрим на причину, а уже потом думаем над решением проблемы: ищем оригинальный файл, проверяем через другой сервис или просим контрагента переподписать документ.

Главное – не воспринимать проверку электронной подписи как что-то сложное или исключительно техническое. В большинстве случаев она занимает несколько секунд, но при этом помогает избежать серьёзных рисков: работы с недействительными документами, споров с контрагентами и проблем при проверках или в суде.

Чем прозрачнее и понятнее выстроен процесс подписания и проверки документов в компании, тем надёжнее и безопаснее становится весь электронный документооборот.