Forensische Analyse eines signierten PDFs über Connect

Forensische Analyse eines signierten PDFs über Connect

Auf einen Blick

In diesem Rezept verwenden Sie das Forensik-Analyse-Tool über die Connect-Transporte, um die Revisionshistorie eines signierten Dokuments zu rekonstruieren und Inhaltsänderungen zu melden, die außerhalb der signierten Byte-Bereiche aufgetreten sind. Das Tool gehört zur Enterprise-Stufe: Es wird über eine class_exists()-Prüfung erkannt und registriert sich nur, wenn nextpdf/premium neben dem Server installiert ist.

Das Tool meldet ermittelte Befunde — Revisionen, Byte-Bereiche, Signaturabdeckung und heuristische Shadow-Attack-Indikatoren mit Konfidenzwerten. Ein „sauberes“ Urteil bedeutet, dass innerhalb der vom Tool durchgeführten Analyse keine Änderung festgestellt wurde; es ist keine Garantie dafür, dass das Dokument unmanipuliert ist. Die Befunde unterstützen eine Untersuchung; sie bescheinigen keine Integrität.

Installation

composer require nextpdf/server

Vergewissern Sie sich mit einem tools/list-Aufruf, dass das Enterprise-Forensik-Tool vorhanden ist. Siehe /connect/tool-catalog/.

Konzeptioneller Überblick

Eine Signatur deckt einen Byte-Bereich ab; Änderungen nach dem Signieren lassen sich durch den Abgleich des Dokuments mit diesem Bereich erkennen (ISO 32000-2 §12.8). Inkrementelle Updates hängen Revisionen an, und eine Signatur deckt keine danach hinzugefügten Inhalte ab (ISO 32000-2 §12.8). Die Revisionskette lässt sich aus den Cross-Reference-Abschnitten rekonstruieren (ISO 32000-2 §7.5). Das Tool arbeitet diese Strukturen ab, um eine Zeitleiste aufzubauen und Inhalte zu kennzeichnen, die außerhalb der Signaturabdeckung geändert wurden.

API-Oberfläche

Prüfen Sie Tool-Namen mit tools/list anhand der laufenden Registry. Der maßgebliche Katalog ist /connect/tool-catalog/. Dieses Rezept führt die Tool-Anzahl nicht erneut auf.

Codebeispiel — Schnellstart

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "forensic_analyze",
    "arguments": { "document_id": "<id>" }
  }
}

Codebeispiel — Produktion

curl -sS -X POST https://connect.example.com/v1/tools/forensic_analyze \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/evidence/disputed-contract.pdf"}' \
  -o /tmp/forensic.json -w '%{http_code}' > /tmp/forensic-status || {
    echo "transport failure invoking forensic_analyze" >&2; exit 1; }

Die Antwort enthält eine Revisionszeitleiste, die Signaturabdeckung je Revision, eine unsigned_modifications-Liste mit Byte-Offsets und Schweregrad, heuristische Shadow-Attack-Indikatoren mit Konfidenzwerten sowie Abdeckungslücken. Werten Sie das Urteil als Beweismaterial, das interpretiert werden muss, nicht als Schlussfolgerung.

Randfälle & Fallstricke

• Keine Signaturen im Dokument. Das Tool gibt einen No-Signatures-Fehler zurück. Verwenden Sie die Standardprüfung für die Validierung unsignierter Dokumente.
• Verschlüsseltes Dokument. Geben Sie Anmeldedaten zur Entschlüsselung an, sonst schlägt der Aufruf fehl, statt das Dokument teilweise zu analysieren.
• Fehlerhafte Cross-Reference. Die Rekonstruktion kann bei einer schwer beschädigten Datei fehlschlagen. Reparieren Sie das PDF vor dem erneuten Einreichen.
• Tool nicht vorhanden. Ohne nextpdf/premium wird das Enterprise-Forensik-Tool nicht registriert, und der Aufruf schlägt mit einem Unknown-Tool-Fehler fehl.

Performance

Das Front-Matter-Budget ist eine Dokumentationsobergrenze. Sehr große Dokumente können das Analysegrößenlimit des Tools überschreiten. In diesem Fall gibt das Tool einen Größenlimit-Fehler zurück, statt stillschweigend abzuschneiden.

Sicherheitshinweise

Die Shadow-Attack-Indikatoren sind heuristisch und tragen Konfidenzwerte. Sie kennzeichnen Muster; sie beweisen keine Absicht. Ein „sauberes“ Urteil bedeutet, dass innerhalb der durchgeführten Analyse keine Änderung festgestellt wurde — es ist keine manipulationssichere Garantie. Protokollieren Sie den Dokumentpfad oder den vollständigen Bericht nicht auf einer Log-Stufe, die extern ausgeliefert wird.

Konformität

Aussage	Klausel	reference_id
Eine Änderung nach dem Signieren ist anhand des signierten Byte-Bereichs erkennbar	ISO 32000-2 §12.8
Eine Signatur deckt keine Inhalte ab, die durch ein späteres inkrementelles Update hinzugefügt wurden	ISO 32000-2 §12.8
Die Revisionskette lässt sich anhand von Cross-Reference-Abschnitten rekonstruieren	ISO 32000-2 §7.5

Die Unterstützung der forensischen Analyse ist keine Zertifizierung der Dokumentintegrität. Ein unabhängiger Gutachter interpretiert das Beweismaterial.

Kommerzieller Kontext

Das Forensik-Analyse-Tool gehört zur Enterprise-Stufe und registriert sich nur, wenn nextpdf/premium zusammen mit dem Server installiert ist.

Connect-Besonderheiten

Transport-Verfügbarkeit (MCP / REST / gRPC)

Der Aufruf erfolgt einheitlich über MCP tools/call, den REST-Tool-Endpunkt und den gRPC-Dienst, jeweils über den gemeinsamen Tool-Executor.

HITL-Risikostufe

Die Analyse ist schreibgeschützt und standardmäßig nicht approval_required. Ein Operator-Override kann ihre Risikostufe nur erhöhen. Siehe /connect/hitl-risk-tiers/ für Details.

JSON-Envelope des Bestätigungs-Gates

Das Tool löst das Gate nicht aus, sofern ein Operator-Override es nicht auf approval_required anhebt. Der Vertrag für Envelope und Einmaltoken ist in /connect/hitl-risk-tiers/ beschrieben.

Siehe auch

• /cookbook/connect/compliance-check/ — gegen benannte Standards validieren.
• /cookbook/connect/ltv-health-check/ — Inspektion des Long-Term-Validation-Materials.
• /connect/tool-catalog/ — Berechnung des Tool-Sets je Stufe.
• /connect/hitl-risk-tiers/ — Risikomodell und Gate.