Memeriksa keberadaan tanda tangan dan memahami batas kepercayaan

Sekilas pandang

Gunakan inspector Core untuk mendeteksi apakah PDF memiliki tanda tangan, dan pastikan batas kepercayaannya tetap jelas. Deteksi bukanlah verifikasi. Verifikasi kriptografis, validasi jalur kepercayaan, dan pemeriksaan pencabutan ditangani oleh edisi Premium atau verifier eksternal.

Prasyarat

• Core sudah terpasang: composer require nextpdf/core:^3.
• Berkas PDF yang akan diperiksa.

Resep

1. Baca byte dari PDF.
2. Buat Inspector dan panggil inspect().
3. Baca InspectResult::$hasSigned. Nilai true berarti berkas tersebut berisi kamus tanda tangan.
4. Baca InspectResult::$isEncrypted dan flag risiko sebagai konteks pendukung.
5. Arahkan berkas ke verifier untuk keputusan kriptografis. Inspector melaporkan keberadaan, bukan keabsahan.

Diagram di bawah ini menunjukkan batasnya: keberadaan bukanlah keabsahan. Diagram ini juga menampilkan pemeriksaan yang tetap harus dilakukan oleh verifier yang sebenarnya.

Diagram

Contoh lengkap

<?php

declare(strict_types=1);

require_once __DIR__ . '/vendor/autoload.php';

use NextPDF\Inspect\Inspector;
use NextPDF\Inspect\InspectConfig;

$pdfData = file_get_contents(__DIR__ . '/incoming.pdf');
if ($pdfData === false || $pdfData === '') {
    fwrite(STDERR, "Cannot read incoming.pdf\n");
    exit(1);
}

$inspector = new Inspector();

// InspectConfig::quick() selects InspectDepth::Quick. This is the only
// depth that runs offline: a default Inspector has no Spectrum sidecar,
// and without a sidecar Quick is the sole path that returns a result.
// Standard and Full require the sidecar (see the SIDECAR-001 edge case).
$result = $inspector->inspect(
    $pdfData,
    InspectConfig::quick(),
);

// hasSigned reports the PRESENCE of a signature dictionary.
// It does NOT mean the signature verifies.
if ($result->hasSigned) {
    echo "A signature is present in incoming.pdf\n";
    echo "Encrypted: " . ($result->isEncrypted ? 'yes' : 'no') . "\n";
    echo "Next step: run a cryptographic verifier before trusting it.\n";
} else {
    echo "No signature found in incoming.pdf\n";
}

Keluaran yang diharapkan

Untuk masukan yang ditandatangani:

A signature is present in incoming.pdf
Encrypted: no
Next step: run a cryptographic verifier before trusting it.

Untuk masukan yang tidak ditandatangani:

No signature found in incoming.pdf

Kasus tepi

• Keberadaan bukanlah keabsahan — batas. InspectResult::$hasSigned melaporkan bahwa kamus tanda tangan ada di dalam berkas. Pemeriksaan ini tidak memeriksa struktur Cryptographic Message Syntax (CMS), digest byte-range, sertifikat penanda tangan, rantai sertifikat, ataupun status pencabutan. Berkas yang telah dirusak tetap dapat melaporkan hasSigned = true. Jangan pernah menganggap keberadaannya sebagai bukti integritas atau kepengarangan.
• Apa yang dibutuhkan oleh verifikasi penuh. Keputusan lengkap menghitung ulang digest byte-range dan membandingkannya (ISO 32000-2 §12.8.1), memvalidasi CMS SignedData, membangun dan memeriksa jalur X.509 menuju anchor tepercaya, serta memeriksa pencabutan melalui Online Certificate Status Protocol (OCSP) atau daftar pencabutan sertifikat (CRL). Untuk masukan jangka panjang, data validasi tersimpan di dalam Document Security Store (DSS) (ETSI EN 319 142-2 §6.3.1). Operasi-operasi ini berjalan di balik kontrak SignerInterface dan LtvManagerInterface; implementasi produksinya disertakan dalam edisi Pro dan Enterprise. Validator eksternal merupakan jalur lain yang didukung.
• Kedalaman inspeksi dan sidecar (SIDECAR-001). new Inspector() standar tidak memiliki sidecar Spectrum yang dikonfigurasi. Tanpa sidecar, hanya InspectDepth::Quick yang mengembalikan hasil. InspectDepth::Quick menggunakan fallback PHP di dalam proses. InspectDepth::Standard dan InspectDepth::Full keduanya memerlukan sidecar. Jika tidak ada sidecar yang tersedia, keduanya melemparkan InspectException dengan kode INSPECT-SIDECAR-001 (“Spectrum sidecar is required for Standard/Full depth inspection”, retryable = true). Kedalaman standar bawaan konstruktor InspectConfig adalah Standard. Oleh karena itu, new InspectConfig() tanpa argumen (atau new InspectConfig(depth: InspectDepth::Standard)) tidak dapat digunakan secara offline. Konfigurasi tersebut melemparkan SIDECAR-001 sebelum hasSigned sempat dibaca. Gunakan InspectConfig::quick() untuk deteksi keberadaan secara offline, seperti dalam resep ini. Tidak ada kedalaman yang melakukan verifikasi tanda tangan kriptografis di dalam Core.
• Masukan kosong. String kosong melemparkan InspectException dengan kode INSPECT-INPUT-001. Tambahkan pengaman saat membaca berkas.
• Beberapa tanda tangan. Flag keberadaan ini tidak menghitung jumlah tanda tangan ataupun membedakan tanda tangan persetujuan dari stempel waktu dokumen. Gunakan verifier khusus jika jumlah atau keputusan per tanda tangan penting.

Kesesuaian

Pernyataan	Spesifikasi	Klausa	reference_id
Nilai tanda tangan disimpan di entri Contents pada kamus tanda tangan.	ISO 32000-2	§12.8.1
Verifikasi menghitung ulang digest atas ByteRange, tanpa menyertakan nilai tanda tangan.	ISO 32000-2	§12.8.1
Data validasi jangka panjang tersimpan di dalam DSS.	ETSI EN 319 142-2	§6.3.1

Resep ini mendeteksi apakah tanda tangan ada. Resep ini tidak menyatakan bahwa tanda tangan mana pun sah, tepercaya, atau belum dicabut. Keputusan itu berada pada verifier kriptografis.

Lihat juga

• Modul Inspect
• Kontrak / Penandatanganan
• Tandatangani PDF dengan PAdES B-B, lalu perluas ke PAdES B-T