Comprobación de estado de LTV mediante Connect (Enterprise B-LT / B-LTA)

Comprobación de estado de LTV mediante Connect (Enterprise B-LT / B-LTA)

De un vistazo

Esta receta muestra cómo inspeccionar el material de validación a largo plazo (LTV) incrustado en un PDF firmado —cadenas de certificados, datos de revocación (CRL / OCSP) y tokens de marca de tiempo— con la herramienta de comprobación de estado de LTV mediante los transportes de Connect. La validación a largo plazo es una capacidad exclusiva de Enterprise. La herramienta pertenece al nivel Enterprise: una sonda class_exists() la detecta y solo se registra cuando nextpdf/premium está instalado junto al servidor. No existe en una instalación Pro ni en una instalación solo de código abierto.

Límite de nivel (no negociable). PAdES B-T, B-LT y B-LTA son niveles distintos y nunca se fusionan:

• B-T equivale a B-B más una marca de tiempo de firma. No añade un almacén de seguridad del documento, información relacionada con la validación ni una marca de tiempo de archivo. B-T es el nivel más alto disponible fuera de Enterprise.
• B-LT / B-LTA añaden material de validación (DSS / VRI) y, para B-LTA, una marca de tiempo de archivo. Son exclusivos de Enterprise y constituyen el foco de esta receta.

Los datos de LTV de un documento son una capacidad incorporada en el propio documento; no garantizan que la firma siga siendo válida indefinidamente. Que una firma siga validándose en una fecha futura depende de lo completo y actualizado que esté ese material y de la política del verificador en ese momento, dos aspectos que quedan fuera del alcance de la biblioteca.

Instalación

composer require nextpdf/server

La presencia de la herramienta LTV de Enterprise se confirma con una llamada tools/list; consulte /connect/tool-catalog/. Si no aparece, este despliegue no es Enterprise y la capacidad LTV no está disponible. Ese es el límite de nivel previsto, no un defecto.

Descripción conceptual

El perfil de validación a largo plazo añade material de validación —un almacén de seguridad del documento e información relacionada con la validación— más allá de los niveles de firma de referencia (ETSI EN 319 142-2 §6.3.1). Los niveles de referencia de PAdES son distintos: B-T añade una marca de tiempo de firma, mientras que B-LT/B-LTA añaden material de validación y una marca de tiempo de archivo (ETSI EN 319 142-2 §5.5). Un almacén de seguridad del documento contiene material añadido por revisiones posteriores. Su presencia es un hecho estructural; por sí sola no prueba la validez (ISO 32000-2 §12.8).

Por lo tanto, un veredicto «correcto» indica que el material LTV que la herramienta inspeccionó está presente y es internamente coherente en el momento de la comprobación, no que la firma vaya a validarse en una fecha futura arbitraria.

Superficie de la API

Los nombres de las herramientas deben verificarse contra el registro en ejecución mediante tools/list; el catálogo de referencia está en /connect/tool-catalog/. Esta receta no duplica ese listado de herramientas.

Ejemplo de código — Inicio rápido

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "ltv_health_check",
    "arguments": { "document_id": "<id>" }
  }
}

Ejemplo de código — Producción

curl -sS -X POST https://connect.example.com/v1/tools/ltv_health_check \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/archive/signed-report.pdf"}' \
  -o /tmp/ltv.json -w '%{http_code}' > /tmp/ltv-status || {
    echo "transport failure invoking ltv_health_check" >&2; exit 1; }

Para cada firma, la respuesta incluye la cadena de certificados con su estado de incrustación, la información de revocación (presencia y ventanas de validez de CRL/OCSP), el token de marca de tiempo y una lista de advertencias que identifica cualquier material ausente o caducado. Las advertencias sirven para decidir qué material actualizar. Un resultado «correcto» debe tratarse como «coherente en el momento de la comprobación», no como «válido para siempre».

Casos límite y trampas

• Sin firmas. La herramienta devuelve un error por ausencia de firmas. Primero debe firmarse el documento.
• Sin almacén de seguridad del documento. Un resultado «sin DSS» significa que el documento se firmó sin material LTV: es, como mucho, un documento B-T o inferior, no B-LT/B-LTA. Al volver a firmar con la ruta LTV de Enterprise, se añade el material.
• Datos de revocación caducados. Un veredicto «degradado» con advertencias significa que la CRL/OCSP incrustada ha caducado. Debe incrustarse de nuevo material reciente.
• Herramienta ausente. Sin nextpdf/premium la herramienta LTV de Enterprise no se registra. Un despliegue Pro puede producir B-T pero no puede producir ni inspeccionar material B-LT/B-LTA: ese es el límite de nivel.

Rendimiento

El presupuesto del front-matter es un límite documentado, no una garantía de nivel de servicio.

Notas de seguridad

Residencia de datos y mitigaciones de PII

La herramienta lee el material de certificados y revocación incrustado. No recupera material reciente por la red como parte de la comprobación. Actualizar el material LTV es una operación independiente y deliberada.

Modelo de amenazas

El error que debe evitarse es tratar «datos LTV presentes» como «firma válida indefinidamente». Los datos presentes son una capacidad. Su suficiencia depende de la política del verificador y de si el material cubre la cadena completa y no ha caducado, nada de lo cual la biblioteca puede prometer para una fecha futura.

Comportamiento en modo FIPS

La comprobación analiza el material incrustado y no realiza ninguna operación de firma. Una política de modo FIPS en el host no cambia su comportamiento.

Conformidad

Afirmación	Cláusula	reference_id
LTV añade material de validación (DSS/VRI) más allá de los niveles de referencia	ETSI EN 319 142-2 §6.3.1
B-T ≠ B-LT ≠ B-LTA; los niveles son distintos	ETSI EN 319 142-2 §5.5
La presencia de un almacén de seguridad del documento es estructural, no una prueba de validez	ISO 32000-2 §12.8

La compatibilidad con una comprobación de estado de LTV no certifica que una firma sea legalmente válida ahora o en el futuro. Un validador independiente toma esa determinación según su propia política.

Contexto comercial

La validación a largo plazo (PAdES B-LT / B-LTA) es una capacidad exclusiva de Enterprise. La herramienta de comprobación de estado de LTV solo se registra cuando nextpdf/premium está instalado junto al servidor. PAdES B-T es el nivel más alto disponible fuera de Enterprise y no incluye DSS / VRI ni una marca de tiempo de archivo.

Particularidades de Connect

Disponibilidad de transporte (MCP / REST / gRPC)

La invocación es idéntica mediante tools/call de MCP, el endpoint de herramienta REST y el servicio gRPC, todos a través del ejecutor de herramientas compartido.

Nivel de riesgo HITL

La comprobación es de solo lectura y no es approval_required de forma predeterminada. Una anulación del operador solo puede elevar su nivel de riesgo. Consulte /connect/hitl-risk-tiers/.

Sobre JSON de la puerta de confirmación

La herramienta no activa la puerta a menos que una anulación del operador la eleve a approval_required. El contrato del sobre y del token de un solo uso se documenta en /connect/hitl-risk-tiers/.

Véase también

• /cookbook/connect/forensic-analysis/ — análisis del historial de revisiones de documentos firmados.
• /cookbook/connect/compliance-check/ — validación frente a un estándar con nombre.
• /connect/tool-catalog/ — cálculo del conjunto de herramientas según el nivel.
• /connect/hitl-risk-tiers/ — modelo de riesgo y puerta de confirmación.