Controllo di integrità LTV su Connect (Enterprise B-LT / B-LTA)

Controllo di integrità LTV su Connect (Enterprise B-LT / B-LTA)

In breve

Questa ricetta mostra come ispezionare il materiale di convalida a lungo termine (LTV) incorporato in un PDF firmato — catene di certificati, dati di revoca (CRL / OCSP) e token di marca temporale — tramite lo strumento di controllo di integrità LTV sui trasporti Connect. La convalida a lungo termine è una funzionalità esclusiva di Enterprise. Lo strumento è di livello Enterprise: una verifica class_exists() lo individua e lo registra solo quando nextpdf/premium è installato insieme al server. Non è disponibile in un’installazione Pro o solo open source.

Confine tra livelli (non negoziabile). PAdES B-T, B-LT e B-LTA sono livelli distinti e non vengono mai fusi:

• B-T è B-B più una marca temporale della firma. Non aggiunge un archivio di sicurezza del documento, informazioni relative alla convalida o una marca temporale di archivio. B-T è il livello più alto disponibile al di fuori di Enterprise.
• B-LT / B-LTA aggiungono materiale di convalida (DSS / VRI) e, per B-LTA, una marca temporale di archivio. Sono esclusivi di Enterprise e costituiscono l’oggetto di questa ricetta.

I dati LTV in un documento sono una funzionalità presente nel documento — non garantiscono che la firma rimanga valida a tempo indefinito. La validità futura di una firma dipende dalla completezza e dall’aggiornamento di quel materiale, oltre che dalla policy del verificatore in quel momento: tutti aspetti al di fuori della libreria.

Installazione

composer require nextpdf/server

Verificare la presenza dello strumento LTV Enterprise con una chiamata tools/list; vedere /connect/tool-catalog/. Se è assente, il deployment non è Enterprise e la funzionalità LTV non è disponibile. Questo è il confine tra livelli previsto, non un difetto.

Panoramica concettuale

Il profilo di convalida a lungo termine aggiunge materiale di convalida — un archivio di sicurezza del documento e informazioni relative alla convalida — oltre ai livelli di firma di base (ETSI EN 319 142-2 §6.3.1). I livelli PAdES di base sono distinti: B-T aggiunge una marca temporale della firma, mentre B-LT/B-LTA aggiungono materiale di convalida e una marca temporale di archivio (ETSI EN 319 142-2 §5.5). Un archivio di sicurezza del documento contiene materiale aggiunto da revisioni successive. La sua presenza è un fatto strutturale, non di per sé una prova di validità (ISO 32000-2 §12.8).

Un verdetto «integro» significa quindi che il materiale LTV ispezionato dallo strumento è presente e internamente coerente al momento del controllo — non che la firma sarà valida a una data futura arbitraria.

Superficie API

Verificare i nomi degli strumenti confrontandoli con il registro in esecuzione tramite tools/list; il catalogo di riferimento è /connect/tool-catalog/. Questa ricetta non ripete il conteggio degli strumenti.

Esempio di codice — Avvio rapido

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "ltv_health_check",
    "arguments": { "document_id": "<id>" }
  }
}

Esempio di codice — Produzione

curl -sS -X POST https://connect.example.com/v1/tools/ltv_health_check \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/archive/signed-report.pdf"}' \
  -o /tmp/ltv.json -w '%{http_code}' > /tmp/ltv-status || {
    echo "transport failure invoking ltv_health_check" >&2; exit 1; }

Per ogni firma, la risposta riporta la catena di certificati con il relativo stato di incorporamento, le informazioni di revoca (presenza e finestre di validità di CRL/OCSP), il token di marca temporale e un elenco di avvisi per qualsiasi materiale mancante o scaduto. Utilizzare gli avvisi per decidere quale materiale aggiornare. Considerare un risultato «integro» come «coerente al momento del controllo», non «valido per sempre».

Casi limite e insidie

• Nessuna firma. Lo strumento restituisce un errore per assenza di firme. Firmare prima il documento.
• Nessun archivio di sicurezza del documento. Un risultato «nessun DSS» significa che il documento è stato firmato senza materiale LTV — è, al massimo, un documento di livello B-T o inferiore, non B-LT/B-LTA. Rifirmare con il percorso LTV Enterprise aggiunge il materiale.
• Dati di revoca scaduti. Un verdetto «degradato» con avvisi significa che il CRL/OCSP incorporato è scaduto. È necessario reincorporare materiale aggiornato.
• Strumento assente. Senza nextpdf/premium lo strumento LTV Enterprise non è registrato. Un deployment Pro può produrre B-T ma non può produrre o ispezionare materiale B-LT/B-LTA — questo è il confine tra livelli.

Prestazioni

Il budget del front-matter è un limite documentale, non una garanzia del livello di servizio.

Note sulla sicurezza

Residenza dei dati e mitigazioni delle PII

Lo strumento legge il materiale dei certificati e di revoca incorporato. Non recupera materiale aggiornato dalla rete come parte del controllo. L’aggiornamento del materiale LTV è un’operazione separata ed esplicita.

Modello delle minacce

L’errore da evitare al confine è considerare «dati LTV presenti» come «firma valida a tempo indefinito». I dati presenti indicano una funzionalità. La loro sufficienza dipende dalla policy del verificatore e dal fatto che il materiale copra l’intera catena e rimanga non scaduto — aspetti per cui la libreria non può fornire garanzie per una data futura.

Comportamento in modalità FIPS

Il controllo analizza il materiale incorporato e non esegue alcuna operazione di firma. Una policy in modalità FIPS sull’host non ne modifica il comportamento.

Conformità

Dichiarazione	Clausola	reference_id
LTV aggiunge materiale di convalida (DSS/VRI) oltre i livelli di base	ETSI EN 319 142-2 §6.3.1
B-T ≠ B-LT ≠ B-LTA; i livelli sono distinti	ETSI EN 319 142-2 §5.5
La presenza di un archivio di sicurezza del documento è strutturale, non una prova di validità	ISO 32000-2 §12.8

Il supporto a un controllo di integrità LTV non è una certificazione che una firma sia legalmente valida ora o in futuro. Un validatore indipendente effettua tale determinazione secondo la propria policy.

Contesto commerciale

La convalida a lungo termine (PAdES B-LT / B-LTA) è una funzionalità esclusiva di Enterprise. Lo strumento di controllo di integrità LTV si registra solo quando nextpdf/premium è installato insieme al server. PAdES B-T è il livello più alto disponibile al di fuori di Enterprise e non include DSS / VRI o una marca temporale di archivio.

Specifiche di Connect

Disponibilità del trasporto (MCP / REST / gRPC)

Viene invocato nello stesso modo su MCP tools/call, sull’endpoint dello strumento REST e sul servizio gRPC attraverso l’esecutore di strumenti condiviso.

Livello di rischio HITL

Il controllo è di sola lettura e per impostazione predefinita non è approval_required. Un override dell’operatore può solo aumentarne il livello di rischio. Vedere /connect/hitl-risk-tiers/.

Envelope JSON del gate di conferma

Lo strumento non attiva il gate a meno che un override dell’operatore non lo porti a approval_required. Il contratto dell’envelope e del token monouso è in /connect/hitl-risk-tiers/.

Vedere anche

• /cookbook/connect/forensic-analysis/ — analisi della cronologia delle revisioni dei documenti firmati.
• /cookbook/connect/compliance-check/ — convalida rispetto a standard nominali.
• /connect/tool-catalog/ — calcolo del set di strumenti per livello.
• /connect/hitl-risk-tiers/ — il modello di rischio e il gate.