Glossar
Auf einen Blick
Abschnitt betitelt „Auf einen Blick“Dieses Glossar definiert die NextPDF-Begriffe, die Ihnen in der Dokumentation begegnen: Signaturprofile, Verschlüsselungsmodi, die Schichten der HTML-Pipeline, Barrierefreiheitsstrukturen, das Event-Modell und die Datenschutzoperationen in den kommerziellen Editionen. Jeder Begriff hat einen eigenen Anker, sodass andere Seiten direkt auf die benötigte Definition verlinken können. Die Definitionen paraphrasieren das kanonische, signierte Glossar und die Standards, die NextPDF umsetzt; wenn der genaue normative Wortlaut entscheidend ist, bleibt der zitierte Standard maßgeblich.
AES-GCM
Abschnitt betitelt „AES-GCM“Ein authentifizierter Verschlüsselungsmodus, der AES im Counter-Modus mit einem Message Authentication Code über einem Galois-Feld kombiniert und dadurch Vertraulichkeit und Integrität in einem Durchgang bereitstellt. ISO 32000-2 führt ihn über ISO/TS 32002 als bevorzugtes Schema für authentifizierte Verschlüsselung ein und ersetzt damit AES-CBC.
Authentifizierte Entschlüsselung
Abschnitt betitelt „Authentifizierte Entschlüsselung“Eine Entschlüsselung, die ein Integritäts-Tag prüft, bevor sie überhaupt Klartext zurückgibt. NextPDF trennt ein strukturelles Entschlüsselungsproblem (einen Konfigurations- oder Transportfehler) von einer fehlgeschlagenen Integritätsprüfung (Inhalt, der sich nicht verifizieren ließ). Die Verzweigung erfolgt anhand der Exception-Klasse, statt beide Zustände zu einem einzigen zusammenzufassen.
Die ETSI-Signaturprofilfamilie für beliebige Binärinhalte, definiert durch ETSI EN 319 122. Sie baut auf der RFC 5652-CMS-Struktur auf und ergänzt sie um Attribute für Zeitstempelung und Langzeitvalidierung. PAdES übernimmt das Attributmodell von CAdES und bettet es im PDF-Signaturdictionary ein.
CJK-Abdeckung
Abschnitt betitelt „CJK-Abdeckung“Der Anteil der für chinesische, japanische oder koreanische Schrift benötigten Unicode-Blöcke, den die Unicode-Tabelle einer Schriftart tatsächlich abdeckt. NextPDF schätzt diesen Anteil durch Stichproben von Codepoints und kennzeichnet Blöcke unterhalb einer Schwelle von 50 Prozent als fehlende Bereiche. Der Wert ist eine Schätzung, die für die Schriftauswahl ausreicht, kein bytegenaues Audit.
Der RFC 5652-Signaturcontainer, der die Signed-Data-Struktur umschließt, die CAdES und PAdES verwenden. NextPDF erzeugt CMS-SignedData-Blobs und bettet sie als Contents des PDF-Signaturdictionarys ein.
Kontextbewusste Exception
Abschnitt betitelt „Kontextbewusste Exception“Eine NextPDF-Exception, die ContextAwareExceptionInterface implementiert und eine getContext()-Methode bereitstellt. Diese Methode liefert eine snake_case-Map primitiver Diagnosefelder, die Sie in ein Log oder eine APM-Payload serialisieren können, ohne den Meldungstext zu parsen.
Querverweis-Tabelle
Abschnitt betitelt „Querverweis-Tabelle“Die Tabelle am Ende einer PDF-Datei, die jede Nummer eines indirekten Objekts ihrem Byte-Offset zuordnet. NextPDF bevorzugt Querverweis-Streams, die PDF 2.0-Form, weil sie sich besser komprimieren lassen und sauber mit Objekt-Streams zusammenspielen.
CSS-Modul
Abschnitt betitelt „CSS-Modul“Ein W3C-Arbeitsergebnis, das einen Ausschnitt von CSS definiert, etwa Selectors, Values, Fonts oder Flexbox. Die HTML-Pipeline von NextPDF implementiert eine kuratierte Teilmenge von CSS-Modulen, die an feste Editor’s-Draft-Versionen gebunden und im CSS-Coverage-Audit dokumentiert ist.
De-Identifikation
Abschnitt betitelt „De-Identifikation“Der allgemeine Prozess, der den Bezug zwischen Daten und der betroffenen Person entfernt oder abschwächt. NextPDF Enterprise führt eine musterbezogene De-Identifikation durch Schwärzung, Zeilenunterdrückung oder reversible Pseudonymisierung durch. Sie ist keine Anonymisierung und beseitigt das verbleibende Risiko einer Re-Identifikation nicht. Verbleibende Attribute können weiterhin ein Risiko bergen.
Degradationsrichtlinie
Abschnitt betitelt „Degradationsrichtlinie“Die Einstellung, die bestimmt, wie NextPDF reagiert, wenn eine Fähigkeit im degradierten Modus läuft. Eine strikte Richtlinie wirft bei Auswirkungen auf Compliance oder Semantik sowie bei blockierenden Auswirkungen eine Exception. Eine ausgewogene Richtlinie wirft nur bei blockierenden Auswirkungen eine Exception. Eine permissive Richtlinie protokolliert eine Warnung und wirft nie eine Exception.
Ein sammlungsbezogener Data Encryption Key, dessen Metadaten von der KMS-Provider-Factory zurückgegeben werden. Der lokale Enterprise-Provider leitet ihn mit HKDF-SHA256 ab und gibt ausschließlich Metadaten zurück, niemals rohe Schlüsselbytes.
Der Document Security Store: ein PDF 2.0-Katalogeintrag, der Zertifikate, CRLs, OCSP-Antworten und Zeitstempel-Token zusammenführt, die zum Validieren jeder Signatur im Dokument benötigt werden. PAdES B-LT und B-LTA füllen ihn; Validierer ziehen ihn zu Rate, bevor sie auf das Netzwerk zugreifen.
FIPS-Modus
Abschnitt betitelt „FIPS-Modus“Ein konfigurierter Zustand, in dem NextPDF Core gegen einen Host-OpenSSL-Build läuft, der einen FIPS-validierten Provider geladen hat. NextPDF selbst ist nicht FIPS-zertifiziert; der Modus beschränkt, welche Primitive Core aufruft, sodass die kryptografische Arbeit an den validierten Provider delegiert wird. Eine dreistufige Best-Effort-Prüfung meldet den Host-Zustand als aktiv, fehlend oder unbestimmt und behandelt unbestimmt als nicht nachgewiesen.
Font-Subsetting
Abschnitt betitelt „Font-Subsetting“Die Operation, die ein reduziertes Font-Programm erstellt, das nur die Glyphen enthält, auf die ein Dokument verweist. Sie baut die erforderlichen Font-Tabellen neu auf und bewahrt die ursprüngliche Glyphennummerierung, sodass eine Identity-CIDToGIDMap gültig bleibt. Subsetting bezeichnet den Vorgang; das Font-Subset bezeichnet das resultierende Programm.
Die HMAC-basierte Schlüsselableitungsfunktion, die der lokale Enterprise-KMS-Provider in der Variante HKDF-SHA256 nutzt, um aus einem konfigurierten Root-Key einen sammlungsspezifischen Data Encryption Key abzuleiten.
Ein Hardware-Sicherheitsmodul: ein manipulationssicheres Gerät, das private Schlüssel speichert und Signaturen erstellt, ohne den Schlüssel jemals im Host-Speicher offenzulegen. NextPDF Enterprise integriert Hardware-Sicherheitsmodule über die PKCS#11-Abstraktion und ein controller/worker-Treibermodell.
HTML-Pipeline
Abschnitt betitelt „HTML-Pipeline“Die vierschichtige Rendering-Pipeline unter src/Html/, die HTML und CSS in PDF-Content-Streams umwandelt. Ihre Schichten sind CSS-Parsing, Style-Status, Layout und Paint (ADR-010). Sie ist das größte und risikoreichste Subsystem der Engine.
Inkrementelles Update
Abschnitt betitelt „Inkrementelles Update“Eine PDF-Revision, die an die ursprünglichen Bytes angehängt wird und den früheren Inhalt unverändert lässt, sodass vorhandene Signaturen gültig bleiben.
Ein in der Cloud gehosteter Schlüsseltresor wie AWS KMS, Google Cloud KMS oder Azure Key Vault, der im Auftrag eines Tenants mit Schlüsseln signiert, die er niemals herausgibt. NextPDF Enterprise behandelt ein Key-Management-System neben Hardware-Sicherheitsmodulen als alternatives Deferred-Signer-Backend.
Die dritte Schicht der vierschichtigen HTML-Pipeline aus ADR-010. Sie berechnet Box-Positionen und -Größen aus aufgelösten Styles, erzeugt einen Paint-Plan und gibt nie direkt PDF-Operatoren aus. Sie liegt unter den Flex-, Float-, Context- und Table-Layout-Helfern in src/Html/.
Listener-Provider
Abschnitt betitelt „Listener-Provider“Die Komponente NextPDF\Event\ListenerProvider, die eine Event-Klasse einer prioritätsgeordneten Liste von Listener-Callables zuordnet. Sie durchläuft die Klassenhierarchie und die Interfaces des Events, sodass ein für einen Elterntyp registrierter Listener jeden Subtyp beobachtet. Ihr Zustand ist instanzbezogen und kommt ohne statischen Zustand aus, sodass Worker isoliert bleiben.
Long-Term Validation: die Eigenschaft eines signierten PDFs, die Signatur unbegrenzt überprüfbar zu halten, selbst nachdem die Berechtigungsnachweise des Unterzeichners abgelaufen oder Sperrdienste verschwunden sind. NextPDF erreicht sie, indem es Sperrmaterial im Document Security Store erfasst und Archiv-Zeitstempel erneuert, bevor der Algorithmus eines vorherigen Zeitstempels schwächer wird.
Optical Character Recognition: die Umwandlung von Seitenbildern in maschinenlesbaren Text. Das ist eine eigene Problemkategorie, getrennt von der PDF-Generierung. NextPDF generiert Dokumente und untersucht sie strukturell, statt Pixel in Bedeutung umzudeuten; OCR-Arbeit gehört daher in eine eigene Pipeline.
Output Intent
Abschnitt betitelt „Output Intent“Ein PDF-Katalogeintrag, der die beabsichtigte Ausgabebedingung für das Dokument deklariert, typischerweise ein ICC-Profil, das das Zieldruckgerät oder den Anzeigefarbraum charakterisiert. PDF/A-4 verlangt ihn für Dokumente, die geräteabhängige Farbe verwenden, und PDF/X-Profile verlangen ihn, um die Druckbedingung zu deklarieren.
Die ETSI-Signaturprofilfamilie für PDF-Dokumente, definiert durch ETSI EN 319 142. Sie baut auf CMS und CAdES mit PDF-spezifischen Encoding-Regeln auf. Sie umfasst vier Baseline-Stufen (B-B, B-T, B-LT, B-LTA), die der eingebetteten Signatur schrittweise Zeitstempel und Material zur Langzeitvalidierung hinzufügen.
PAdES B-T
Abschnitt betitelt „PAdES B-T“Die PAdES-Baseline, die ein RFC 3161-Zeitstempel-Token über den Signaturwert hinzufügt und damit nachweist, dass die Signatur zum Zeitpunkt des Zeitstempels existierte. Sie baut direkt auf PAdES B-B auf.
PAdES-Stufe
Abschnitt betitelt „PAdES-Stufe“Eine Signaturkonformitätsstufe, zum Beispiel B-B, B-T, B-LT oder B-LTA, die bestimmt, welches Material eine Signatur trägt. NextPDF verhält sich fail-closed, wenn eine angeforderte Stufe nicht erreichbar ist, und löst SignatureLevelUnreachableException aus, statt stillschweigend eine niedrigere Stufe zu erzeugen und dabei die höhere auszuweisen.
Die vierte Schicht der vierschichtigen HTML-Pipeline aus ADR-010. Sie verarbeitet den Paint-Plan aus dem Layout und gibt über den Writer PDF-Operatoren aus. Sie ist die einzige Schicht, die Zeichenprimitive aufrufen darf.
Berechtigungsflags
Abschnitt betitelt „Berechtigungsflags“Ein Bitfeld im PDF-Verschlüsselungsdictionary, das steuert, welche Operationen ein authentifizierter Leser ausführen darf: Drucken in niedriger oder hoher Auflösung, Kopieren von Inhalt, Ändern von Annotationen, Ausfüllen von Formularen und Zusammenstellung. Der Dokumentautor setzt es beim Verschlüsseln mit einem Benutzerpasswort oder Zertifikat. NextPDF stellt ein typisiertes PermissionFlags-Value-Object bereit.
Personally Identifiable Information: alle Daten, die eine natürliche Person für sich allein oder in Kombination mit anderen Informationen identifizieren können, einschließlich Name, Adresse, Steueridentifikationsnummer, biometrische Daten und E-Mail-Adresse. Die Schwärzungsfunktion von NextPDF Pro entfernt PII-Bereiche unwiederbringlich aus einem PDF, sodass kein nachgelagertes Tool die Daten wiederherstellen kann.
Die kryptografische Token-Schnittstelle von OASIS, derzeit in Version 3.1, die Anwendungen eine stabile API für die Kommunikation mit Hardware-Sicherheitsmodulen und Smartcards bietet. Das Signer-Treiber-Subsystem von NextPDF Enterprise nutzt PKCS#11 als kleinsten gemeinsamen Nenner für den Zugriff auf Hardware-Schlüssel.
Pseudonymisierung
Abschnitt betitelt „Pseudonymisierung“Das Ersetzen eines identifizierenden Werts durch einen Alias. Sie ist per Definition reversibel und nutzt dafür eine separat gehaltene Zuordnung. NextPDF Enterprise leitet deterministische, formatbewusste Pseudonyme aus einem HMAC über dem ursprünglichen Wert und einem Seed pro Sitzung ab. Es versiegelt die Zuordnung vom Original zum Pseudonym im Ruhezustand mit AES-256-GCM unter einem versionierten Schlüssel. Sie ist keine Anonymisierung und darf nicht als unumkehrbar dargestellt werden.
Der PHP-FIG-Standard, der einen Event-Dispatcher, einen Listener-Provider und stoppbare Events definiert. Das Event-Modul von NextPDF folgt diesem Modell und deklariert duck-type-kompatible Interfaces, sodass die Engine keine Laufzeitabhängigkeit von psr/event-dispatcher trägt.
Der PHP-FIG-Standard, der ein Clock-Interface definiert, dessen einzige Leseoperation die aktuelle Zeit als unveränderlichen Datums-Zeit-Wert zurückgibt. Der NextPDF SystemClock implementiert es; das Injizieren einer fixen Clock entfernt Wall-Clock-Nichtdeterminismen aus reproduzierbarer Ausgabe.
retained vs. streaming
Abschnitt betitelt „retained vs. streaming“Die Architekturdimension, die beschreibt, ob ein Renderer eine In-Memory-Darstellung des gesamten Dokuments aufbaut, bevor er Ausgabe erzeugt (retained), oder Tokens verarbeitet, sobald sie eintreffen (streaming). NextPDF arbeitet durchgängig streaming, während konkurrierende Engines wie dompdf retained arbeiten.
Sperr-Assertion
Abschnitt betitelt „Sperr-Assertion“Die Aussage zum Zertifikatsstatus, die ein OCSP-Responder oder eine CRL liefert und die für Signaturstufen mit Langzeitvalidierung eingebettet wird. NextPDF weigert sich, eine nicht erfolgreiche OCSP-Antwort als vertrauensbegründende Aussage zu behandeln; ein Unknown- oder Error-Status wird niemals zu Good hochgestuft.
RFC 3161-Zeitstempel
Abschnitt betitelt „RFC 3161-Zeitstempel“Ein TimeStampToken, das eine Time-Stamping Authority über einem Hash der zu zeitstempelnden Daten ausstellt. PAdES B-T nutzt es, um eine Signatur an einen überprüfbaren Zeitpunkt zu binden. NextPDF bettet es als CMS-SignedData-Blob in einem unsignierten Attribut der Signer-Info ein.
Durchsuchbares PDF
Abschnitt betitelt „Durchsuchbares PDF“Ein PDF, das über den Seitenbildern eines gescannten Dokuments eine unsichtbare Textschicht trägt, sodass Text auf der Seite auswählbar und durchsuchbar wird. NextPDF Enterprise orchestriert dies, indem es ein injiziertes OCR-Backend ansteuert; Rasterisierung und Textinjektion werden dabei an einen separaten Sidecar delegiert. Das Ergebnis ist ein abgeleitetes Dokument: vorhandene Signaturen werden ungültig, und die Compliance muss erneut validiert werden. Die Funktion sichert weder OCR-Genauigkeit noch Extraktions-Recall zu.
Single-Pass-Streaming
Abschnitt betitelt „Single-Pass-Streaming“Das Rendering-Modell der HTML-Pipeline (ADR-001), in dem der Tokenizer in einem Durchgang eine Token-Liste erzeugt und der Parser sie von links nach rechts verarbeitet und dabei Content-Stream-Operatoren ausgibt, ohne einen retained DOM-Baum aufzubauen. Der eingabeseitige Speicherbedarf ist durch die Verschachtelungstiefe statt durch die Elementanzahl begrenzt, mit einer harten Obergrenze für die Gesamtzahl der Elemente. Der Lookahead nutzt begrenzte Pre-Scan-Index-Arrays, keinen retained DOM.
Stoppbares Event
Abschnitt betitelt „Stoppbares Event“Ein Lifecycle-Event, das ein Listener anhalten kann: Der Aufruf von stopPropagation() lässt den Dispatcher die übrigen Listener für diesen Dispatch-Zyklus überspringen. Jedes Lifecycle-Event von NextPDF ist stoppbar, weil AbstractEvent StoppableEventInterface implementiert und damit die Stoppable-Event-Semantik von PSR-14 nachbildet.
Strukturbaum
Abschnitt betitelt „Strukturbaum“Der Baum semantischer Elemente, der einem Tagged PDF seine logische Lesereihenfolge und barrierefreie Struktur gibt. Er ist im Dokumentkatalog unter /StructTreeRoot verwurzelt. NextPDF baut den Strukturbaum on the fly auf, während Tokens durch die HTML-Pipeline fließen.
Tagged PDF
Abschnitt betitelt „Tagged PDF“Ein PDF, das neben dem visuellen Content-Stream einen parallelen logischen Strukturbaum trägt, sodass assistive Technologie gemäß ISO 32000-2 Abschnitt 14.7 die Struktur statt des visuellen Layouts liest.
Typisierter Wither
Abschnitt betitelt „Typisierter Wither“Eine dedizierte, typsichere Kopiermethode auf einem unveränderlichen Objekt, zum Beispiel Config::withPageSize(), die das Objekt mit benannten Argumenten neu aufbaut und eine neue Instanz zurückgibt. NextPDF verwendet typisierte Wither statt eines generischen with(string, mixed)-Setters, damit statische Analyse und IDEs korrekt bleiben.
Value-Object
Abschnitt betitelt „Value-Object“Ein unveränderliches, anhand seiner Werte vergleichbares Domänenprimitiv ohne Identität und ohne I/O. NextPDF modelliert Geometrie wie PageSize, Dimension, Position und Margin als finale, readonly Value-Objects, sodass Instanzen gefahrlos geteilt werden können. Jede Transformation gibt eine neue Instanz zurück.
Das Validation-Related-Information-Dictionary unter dem Document Security Store, das den Hash einer bestimmten Signatur den Zertifikaten, CRLs und OCSP-Antworten zuordnet, die zum Zeitpunkt der Langzeit-Augmentierung zur Validierung verwendet wurden. Es ist optional, wird für Archiv-Validierer aber empfohlen.