LTV-Funktionsprüfung über Connect (Enterprise B-LT / B-LTA)

LTV-Funktionsprüfung über Connect (Enterprise B-LT / B-LTA)

Auf einen Blick

Mit diesem Rezept prüfen Sie das Langzeitvalidierungsmaterial (LTV), das in ein signiertes PDF eingebettet ist — Zertifikatsketten, Sperrdaten (CRL / OCSP) und Zeitstempel-Token —, indem Sie das LTV-Funktionsprüfungs-Tool über die Connect-Transporte aufrufen. Langzeitvalidierung ist eine reine Enterprise-Funktion. Das Tool gehört zur Enterprise-Stufe: Eine class_exists()-Prüfung erkennt es; registriert wird es jedoch nur, wenn nextpdf/premium neben dem Server installiert ist. In einer Pro- oder reinen Open-Source-Installation ist es nicht vorhanden.

Stufengrenze (nicht verhandelbar). PAdES B-T, B-LT und B-LTA sind eigenständige Stufen und werden nie zusammengelegt:

• B-T ist B-B mit zusätzlichem Signatur-Zeitstempel. Es fügt keinen Dokumentsicherungsspeicher, keine validierungsbezogenen Informationen und keinen Archiv-Zeitstempel hinzu. B-T ist die höchste außerhalb von Enterprise verfügbare Stufe.
• B-LT / B-LTA fügen Validierungsmaterial (DSS / VRI) hinzu und, im Fall von B-LTA, einen Archiv-Zeitstempel. Diese Stufen sind ausschließlich in Enterprise verfügbar und Gegenstand dieses Rezepts.

LTV-Daten in einem Dokument sind eine vom Dokument mitgeführte Fähigkeit — sie sind keine Garantie dafür, dass die Signatur unbegrenzt gültig bleibt. Ob eine Signatur zu einem zukünftigen Zeitpunkt noch validiert werden kann, hängt davon ab, wie vollständig und aktuell dieses Material ist, sowie von der Richtlinie des Prüfers zu diesem Zeitpunkt — beides liegt außerhalb der Bibliothek.

Installation

composer require nextpdf/server

Prüfen Sie mit einem tools/list-Aufruf, dass das Enterprise-LTV-Tool vorhanden ist; siehe /connect/tool-catalog/. Falls es fehlt, handelt es sich bei diesem Deployment nicht um Enterprise, und die LTV-Funktion ist nicht verfügbar. Das ist die beabsichtigte Stufengrenze, kein Defekt.

Konzeptioneller Überblick

Das Langzeitvalidierungsprofil fügt über die Baseline-Signaturstufen hinaus Validierungsmaterial hinzu — einen Dokumentsicherungsspeicher und validierungsbezogene Informationen — (ETSI EN 319 142-2 §6.3.1). Die PAdES-Baseline-Stufen sind eigenständig: B-T fügt einen Signatur-Zeitstempel hinzu, während B-LT/B-LTA Validierungsmaterial und einen Archiv-Zeitstempel hinzufügen (ETSI EN 319 142-2 §5.5). Ein Dokumentsicherungsspeicher enthält Material, das durch spätere Revisionen hinzugefügt wurde. Sein Vorhandensein ist eine strukturelle Tatsache, für sich genommen jedoch kein Nachweis der Gültigkeit (ISO 32000-2 §12.8).

Ein „gesundes“ Urteil bedeutet daher, dass das vom Tool untersuchte LTV-Material zum Prüfzeitpunkt vorhanden und intern konsistent ist — nicht, dass die Signatur zu einem beliebigen zukünftigen Zeitpunkt validiert werden kann.

API-Oberfläche

Gleichen Sie Tool-Namen über tools/list mit der laufenden Registry ab; maßgeblich ist der Katalog unter /connect/tool-catalog/. Dieses Rezept nennt keine Anzahl von Tools.

Codebeispiel — Schnellstart

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "ltv_health_check",
    "arguments": { "document_id": "<id>" }
  }
}

Codebeispiel — Produktion

curl -sS -X POST https://connect.example.com/v1/tools/ltv_health_check \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/archive/signed-report.pdf"}' \
  -o /tmp/ltv.json -w '%{http_code}' > /tmp/ltv-status || {
    echo "transport failure invoking ltv_health_check" >&2; exit 1; }

Für jede Signatur meldet die Antwort die Zertifikatskette samt Einbettungsstatus, Sperrinformationen (Vorhandensein und Gültigkeitsfenster von CRL/OCSP), das Zeitstempel-Token sowie eine Warnungsliste, die jedes fehlende oder abgelaufene Material benennt. Verwenden Sie die Warnungen, um zu entscheiden, welches Material aufgefrischt werden soll. Behandeln Sie ein „gesundes“ Ergebnis als „zum Prüfzeitpunkt konsistent“, nicht als „für immer gültig“.

Grenzfälle & Fallstricke

• Keine Signaturen. Das Tool gibt einen Fehler wegen fehlender Signaturen zurück. Signieren Sie zuerst das Dokument.
• Kein Dokumentsicherungsspeicher. Ein „kein DSS“-Ergebnis bedeutet, dass das Dokument ohne LTV-Material signiert wurde — es ist höchstens ein Dokument der Stufe B-T oder niedriger, nicht B-LT/B-LTA. Ein erneutes Signieren über den Enterprise-LTV-Pfad fügt das Material hinzu.
• Abgelaufene Sperrdaten. Ein „beeinträchtigtes“ Urteil mit Warnungen bedeutet, dass die eingebettete CRL/OCSP abgelaufen ist. Sie müssen frisches Material erneut einbetten.
• Tool fehlt. Ohne nextpdf/premium ist das Enterprise-LTV-Tool nicht registriert. Ein Pro-Deployment kann B-T erzeugen, aber kein B-LT/B-LTA-Material erzeugen oder untersuchen — das ist die Stufengrenze.

Performance

Das Frontmatter-Budget ist eine in der Dokumentation festgehaltene Obergrenze, keine Service-Level-Garantie.

Sicherheitshinweise

Datenresidenz & PII-Maßnahmen

Das Tool liest eingebettetes Zertifikats- und Sperrmaterial. Es ruft im Rahmen der Prüfung kein frisches Material über das Netzwerk ab. Das Auffrischen von LTV-Material ist ein separater, bewusster Vorgang.

Bedrohungsmodell

Der zentrale Grenzfehler, den Sie vermeiden müssen, besteht darin, „LTV-Daten vorhanden“ als „Signatur unbegrenzt gültig“ zu behandeln. Vorhandene Daten sind eine Fähigkeit. Ob sie ausreichen, hängt von der Richtlinie des Prüfers ab und davon, ob das Material die vollständige Kette abdeckt und nicht abgelaufen ist — nichts davon kann die Bibliothek für ein zukünftiges Datum zusichern.

FIPS-Modus-Verhalten

Die Prüfung parst eingebettetes Material und führt keinen Signiervorgang aus. Eine FIPS-Modus-Richtlinie auf dem Host ändert dieses Verhalten nicht.

Konformität

Aussage	Klausel	reference_id
LTV fügt Validierungsmaterial (DSS/VRI) über die Baseline-Stufen hinaus hinzu	ETSI EN 319 142-2 §6.3.1
B-T ≠ B-LT ≠ B-LTA; die Stufen sind eigenständig	ETSI EN 319 142-2 §5.5
Das Vorhandensein eines Dokumentsicherungsspeichers ist strukturell, kein Gültigkeitsnachweis	ISO 32000-2 §12.8

Die Unterstützung einer LTV-Funktionsprüfung zertifiziert nicht, dass eine Signatur jetzt oder in Zukunft rechtsgültig ist. Ein unabhängiger Validator trifft diese Feststellung gemäß seiner eigenen Richtlinie.

Kommerzieller Kontext

Langzeitvalidierung (PAdES B-LT / B-LTA) ist eine reine Enterprise-Funktion. Das LTV-Funktionsprüfungs-Tool registriert sich nur, wenn nextpdf/premium neben dem Server installiert ist. PAdES B-T ist die höchste außerhalb von Enterprise verfügbare Stufe und umfasst weder DSS / VRI noch einen Archiv-Zeitstempel.

Connect-Besonderheiten

Transport-Verfügbarkeit (MCP / REST / gRPC)

Der Aufruf ist identisch über MCP-tools/call, den REST-Tool-Endpunkt und den gRPC-Dienst über den gemeinsamen Tool-Executor.

HITL-Risikostufe

Die Prüfung ist schreibgeschützt und standardmäßig nicht approval_required. Eine Operator-Übersteuerung darf ihre Risikostufe nur anheben. Siehe /connect/hitl-risk-tiers/.

Bestätigungs-Gate-JSON-Hülle

Das Tool löst das Gate nicht aus, es sei denn, eine Operator-Übersteuerung hebt es auf approval_required an. Der Vertrag für die Hülle und das Einmal-Token steht unter /connect/hitl-risk-tiers/.

Siehe auch

• /cookbook/connect/forensic-analysis/ — Analyse der Revisionshistorie signierter Dokumente.
• /cookbook/connect/compliance-check/ — Validierung nach benannten Standards.
• /connect/tool-catalog/ — Berechnung des Tool-Umfangs pro Stufe.
• /connect/hitl-risk-tiers/ — das Risikomodell und das Gate.