Glossario
In breve
Sezione intitolata “In breve”Questo glossario definisce i termini NextPDF ricorrenti nella documentazione: profili di firma, modalità di cifratura, livelli della pipeline HTML, strutture di accessibilità, modello a eventi e operazioni di privacy nelle edizioni commerciali. Ogni termine dispone di un ancoraggio dedicato, così le altre pagine possono rimandare direttamente alla definizione pertinente. Le definizioni parafrasano il glossario firmato canonico e gli standard implementati da NextPDF; consultare lo standard citato quando è necessaria la formulazione normativa esatta.
AES-GCM
Sezione intitolata “AES-GCM”Modalità di cifratura autenticata che combina AES in modalità counter con un codice di autenticazione del messaggio basato su un campo di Galois, fornendo riservatezza e integrità in un unico passaggio. ISO 32000-2 la introduce tramite ISO/TS 32002 come schema preferito di cifratura autenticata, in sostituzione di AES-CBC.
decifratura autenticata
Sezione intitolata “decifratura autenticata”Decifratura che verifica un tag di integrità prima di restituire qualunque testo in chiaro. NextPDF distingue un errore strutturale di decifratura (un problema di configurazione o di trasporto) da una verifica di integrità non riuscita (contenuto non verificato). La distinzione avviene in base alla classe di eccezione, senza unificare le due condizioni in una sola.
La famiglia di profili di firma ETSI per contenuti binari arbitrari, definita da ETSI EN 319 122. Si basa sulla struttura CMS di RFC 5652 con attributi per la marcatura temporale e la convalida a lungo termine. PAdES riprende il modello di attributi CAdES e lo incorpora nel dizionario di firma PDF.
copertura CJK
Sezione intitolata “copertura CJK”La quota dei blocchi Unicode necessari a una scrittura cinese, giapponese o coreana che la mappa Unicode di un font copre effettivamente. NextPDF la stima campionando i code point e contrassegna come intervalli mancanti i blocchi al di sotto di una soglia del 50 percento. Il valore è una stima adeguata alla selezione dei font, non un controllo esatto a livello di byte.
Il contenitore di firma definito da RFC 5652 che racchiude la struttura signed-data usata da CAdES e PAdES. NextPDF genera blob CMS SignedData e li incorpora come Contents del dizionario di firma PDF.
eccezione context-aware
Sezione intitolata “eccezione context-aware”Un’eccezione NextPDF che implementa ContextAwareExceptionInterface ed espone un metodo getContext(). Il metodo restituisce una mappa in snake_case di campi diagnostici primitivi, serializzabile in un log o in un payload APM senza dover analizzare la stringa del messaggio.
Tabella di riferimenti incrociati
Sezione intitolata “Tabella di riferimenti incrociati”La tabella alla fine di un file PDF che associa il numero di ogni oggetto indiretto al suo offset in byte. NextPDF preferisce i flussi di riferimenti incrociati, la forma PDF 2.0, perché si comprimono meglio e si integrano in modo pulito con i flussi di oggetti.
modulo CSS
Sezione intitolata “modulo CSS”Un documento di specifica del W3C che definisce una porzione di CSS, come Selectors, Values, Fonts o Flexbox. La pipeline HTML di NextPDF implementa un sottoinsieme curato di moduli CSS fissati a versioni specifiche di Editor’s Draft, documentato nell’audit di copertura CSS.
De-identificazione
Sezione intitolata “De-identificazione”Il processo generale di rimozione o riduzione del collegamento tra i dati e la persona a cui si riferiscono. NextPDF Enterprise esegue una de-identificazione basata su pattern tramite redazione, soppressione di righe o pseudonimizzazione reversibile. Non è anonimizzazione e non elimina il rischio residuo di re-identificazione. Gli attributi residui possono comunque comportare un rischio.
criterio di degradazione
Sezione intitolata “criterio di degradazione”L’impostazione che stabilisce cosa fa NextPDF quando una funzionalità opera in modalità degradata. Un criterio strict solleva un’eccezione in caso di impatto di conformità, semantico o bloccante. Un criterio balanced solleva un’eccezione solo in caso di impatto bloccante. Un criterio permissive registra un avviso e non solleva mai un’eccezione.
Una chiave di cifratura dei dati con ambito di collezione, i cui metadati sono restituiti dalla factory del provider KMS. Il provider locale Enterprise la deriva con HKDF-SHA256 e restituisce solo i metadati, mai i byte grezzi della chiave.
Il Document Security Store: una voce del catalogo PDF 2.0 che aggrega i certificati, le CRL, le risposte OCSP e i token di marcatura temporale necessari a convalidare ogni firma del documento. PAdES B-LT e B-LTA lo popolano, e i validatori lo consultano prima di rivolgersi alla rete.
modalità FIPS
Sezione intitolata “modalità FIPS”Uno stato configurato in cui NextPDF Core opera su una build OpenSSL host che ha caricato un provider convalidato FIPS. NextPDF non è di per sé certificato FIPS; la modalità vincola le primitive richiamate da Core, così il lavoro crittografico viene delegato al provider convalidato. Una sonda best-effort a tre stati riporta la postura dell’host come attiva, assente o indeterminata, e tratta l’indeterminata come non comprovata.
subsetting dei font
Sezione intitolata “subsetting dei font”L’operazione che costruisce un programma di font ridotto contenente solo i glifi a cui un documento fa riferimento. Ricostruisce le tabelle del font richieste e preserva la numerazione originale dei glifi affinché una CIDToGIDMap Identity resti valida. Il termine subsetting indica l’operazione; il termine subset del font indica il programma risultante.
La funzione di derivazione di chiavi basata su HMAC che il provider KMS locale Enterprise utilizza, nella forma HKDF-SHA256, per derivare da una chiave radice configurata una chiave di cifratura dei dati specifica per collezione.
Un modulo di sicurezza hardware: un dispositivo resistente alle manomissioni che memorizza le chiavi private ed esegue la firma senza mai esporre la chiave alla memoria dell’host. NextPDF Enterprise si integra con i moduli di sicurezza hardware tramite l’astrazione PKCS#11 e un modello di driver controller/worker.
pipeline html
Sezione intitolata “pipeline html”La pipeline di rendering a quattro livelli sotto src/Html/ che converte HTML e CSS in flussi di contenuto PDF. I suoi livelli sono parsing CSS, stato dello stile, layout e paint (ADR-010). È il sottosistema più esteso e a più alto rischio del motore.
Aggiornamento incrementale
Sezione intitolata “Aggiornamento incrementale”Una revisione PDF aggiunta dopo i byte originali, lasciando invariato il contenuto precedente affinché le firme esistenti restino valide.
Un key vault ospitato nel cloud, come AWS KMS, Google Cloud KMS o Azure Key Vault, che firma per conto di un tenant usando chiavi che non rilascia mai. NextPDF Enterprise tratta un sistema di gestione delle chiavi come backend alternativo di firma differita accanto ai moduli di sicurezza hardware.
Il terzo livello della pipeline HTML a quattro livelli di ADR-010. Calcola le posizioni e le dimensioni dei box a partire dagli stili risolti, produce un piano di paint e non emette mai direttamente operatori PDF. Risiede negli helper di layout flex, float, context e table in src/Html/.
listener provider
Sezione intitolata “listener provider”Il componente, NextPDF\Event\ListenerProvider, che associa una classe di evento a un elenco di callable di listener ordinati per priorità. Scorre la gerarchia di classi e le interfacce dell’evento affinché un listener registrato su un tipo padre osservi ogni sottotipo. Il suo stato ha ambito di istanza e non prevede stato statico, così i worker restano isolati.
Convalida a lungo termine: la proprietà di un PDF firmato che consente alla firma di restare verificabile a tempo indeterminato, anche dopo la scadenza delle credenziali del firmatario o la scomparsa dei servizi di revoca. NextPDF la ottiene acquisendo il materiale di revoca nel Document Security Store e rinnovando le marche temporali di archiviazione prima che l’algoritmo di ciascuna marca precedente si indebolisca.
Riconoscimento ottico dei caratteri: trasformazione delle immagini di pagina in testo leggibile da una macchina. Questa è una categoria di problemi distinta dalla generazione di PDF. NextPDF genera e ispeziona strutturalmente i documenti anziché interpretare i pixel attribuendovi un significato; perciò il lavoro di OCR appartiene a una pipeline dedicata.
output intent
Sezione intitolata “output intent”Una voce del catalogo PDF che dichiara la condizione di output prevista per il documento, in genere un profilo ICC che caratterizza il dispositivo di stampa di destinazione o lo spazio colore di visualizzazione. PDF/A-4 la richiede per i documenti che usano colore dipendente dal dispositivo, e i profili PDF/X la richiedono per dichiarare la condizione di stampa.
La famiglia di profili di firma ETSI per documenti PDF, definita da ETSI EN 319 142. Si basa su CMS e CAdES con regole di codifica specifiche per il PDF. Comprende quattro livelli baseline (B-B, B-T, B-LT, B-LTA) che aggiungono progressivamente marche temporali e materiale di convalida a lungo termine alla firma incorporata.
PAdES B-T
Sezione intitolata “PAdES B-T”La baseline PAdES che aggiunge un token di marcatura temporale RFC 3161 sul valore della firma, dimostrando che la firma esisteva nell’istante marcato temporalmente. Si basa direttamente su PAdES B-B.
livello PAdES
Sezione intitolata “livello PAdES”Un livello di conformità della firma, ad esempio B-B, B-T, B-LT o B-LTA, che determina quale materiale una firma trasporta. NextPDF applica il fail-closed quando un livello richiesto è irraggiungibile, sollevando SignatureLevelUnreachableException anziché produrre in silenzio un livello inferiore pur dichiarando quello superiore.
Il quarto livello della pipeline HTML a quattro livelli di ADR-010. Consuma il piano di paint prodotto dal layout ed emette operatori PDF tramite il writer. È l’unico livello autorizzato a invocare le primitive di disegno.
flag di autorizzazione
Sezione intitolata “flag di autorizzazione”Un campo di bit nel dizionario di cifratura PDF che controlla quali operazioni un lettore autenticato può eseguire: stampa a bassa o alta risoluzione, copia del contenuto, modifica delle annotazioni, compilazione di moduli e assemblaggio. L’autore del documento lo imposta quando esegue la cifratura con una password utente o un certificato. NextPDF espone un value object PermissionFlags tipizzato.
Informazioni di identificazione personale: qualsiasi dato in grado di identificare una persona fisica da solo o combinato con altre informazioni, tra cui nome, indirizzo, codice fiscale, dati biometrici e indirizzo email. La funzionalità di redazione di NextPDF Pro rimuove in modo irreversibile le regioni di PII da un PDF affinché nessuno strumento a valle possa recuperare i dati.
L’interfaccia di token crittografico OASIS, attualmente alla versione 3.1, che fornisce alle applicazioni un’API stabile per comunicare con moduli di sicurezza hardware e smart card. Il sottosistema dei driver di firma di NextPDF Enterprise usa PKCS#11 come percorso a minimo comune denominatore verso le chiavi hardware.
Pseudonimizzazione
Sezione intitolata “Pseudonimizzazione”La sostituzione di un valore identificativo con un alias. È reversibile per definizione, mediante una mappatura conservata separatamente. NextPDF Enterprise deriva pseudonimi deterministici e consapevoli del formato da un HMAC calcolato sul valore originale e su un seme per sessione. Sigilla a riposo la mappa da originale a pseudonimo con AES-256-GCM sotto una chiave versionata. Non è anonimizzazione e non deve essere presentata come irreversibile.
Lo standard PHP-FIG che definisce un event dispatcher, un listener provider e gli eventi arrestabili. Il modulo Event di NextPDF segue questo modello e dichiara interfacce compatibili con duck typing, perciò il motore non introduce alcuna dipendenza runtime da psr/event-dispatcher.
Lo standard PHP-FIG che definisce un’interfaccia di clock la cui unica operazione di lettura restituisce l’ora corrente come valore date-time immutabile. Il NextPDF SystemClock lo implementa; iniettare un clock fisso elimina il non determinismo dell’orologio di sistema dall’output riproducibile.
retained vs streaming
Sezione intitolata “retained vs streaming”L’asse architetturale che descrive se un renderer costruisce una rappresentazione in memoria dell’intero documento prima di emettere l’output (retained) oppure elabora i token man mano che arrivano (streaming). NextPDF è streaming end-to-end, mentre i motori concorrenti come dompdf sono retained.
asserzione di revoca
Sezione intitolata “asserzione di revoca”La dichiarazione sullo stato del certificato fornita da un responder OCSP o da una CRL, incorporata per i livelli di firma con convalida a lungo termine. NextPDF rifiuta di trattare una risposta OCSP non riuscita come un’asserzione di fiducia positiva; uno stato unknown o error non viene mai promosso a good.
marca temporale RFC 3161
Sezione intitolata “marca temporale RFC 3161”Un TimeStampToken che una Time-Stamping Authority emette su un hash dei dati da marcare temporalmente. PAdES B-T lo usa per vincolare una firma a un istante verificabile. NextPDF lo incorpora come blob CMS SignedData all’interno di un attributo non firmato sul signer info.
PDF ricercabile
Sezione intitolata “PDF ricercabile”Un PDF che contiene uno strato di testo invisibile sopra le immagini di pagina di un documento scansionato, così la pagina diventa selezionabile come testo e ricercabile. NextPDF Enterprise orchestra questo processo pilotando un backend OCR iniettato, con la rasterizzazione e l’iniezione del testo delegate a un sidecar separato. Il risultato è un documento derivato: le firme esistenti vengono invalidate e la conformità deve essere riconvalidata. La funzionalità non garantisce alcuna accuratezza dell’OCR né alcun recall di estrazione.
streaming a passaggio singolo
Sezione intitolata “streaming a passaggio singolo”Il modello di rendering della pipeline HTML (ADR-001) in cui il tokenizer produce un elenco di token in un solo passaggio e il parser lo consuma da sinistra a destra, emettendo operatori di flusso di contenuto senza costruire un albero DOM retained. L’uso di memoria sul lato input è limitato dalla profondità di annidamento anziché dal numero di elementi, con un limite rigido sul totale degli elementi. Il lookahead usa array di indici di pre-scansione limitati, non un DOM retained.
evento arrestabile
Sezione intitolata “evento arrestabile”Un evento del ciclo di vita che un listener può arrestare: la chiamata a stopPropagation() fa sì che il dispatcher salti i listener rimanenti per quel ciclo di dispatch. Ogni evento del ciclo di vita di NextPDF è arrestabile perché AbstractEvent implementa StoppableEventInterface, rispecchiando la semantica degli eventi arrestabili di PSR-14.
albero di struttura
Sezione intitolata “albero di struttura”L’albero di elementi semantici che conferisce a un PDF taggato il suo ordine di lettura logico e la sua struttura accessibile. Ha la radice nel catalogo del documento sotto /StructTreeRoot. NextPDF costruisce l’albero di struttura al volo mentre i token attraversano la pipeline HTML.
PDF taggato
Sezione intitolata “PDF taggato”Un PDF che contiene un albero di struttura logica parallelo accanto al flusso di contenuto visivo, così le tecnologie assistive leggono la struttura anziché l’impaginazione visiva, secondo ISO 32000-2 sezione 14.7.
wither tipizzato
Sezione intitolata “wither tipizzato”Un metodo di copia dedicato e type-safe su un oggetto immutabile, ad esempio Config::withPageSize(), che ricostruisce l’oggetto con argomenti denominati e restituisce una nuova istanza. NextPDF usa wither tipizzati anziché un setter generico with(string, mixed) affinché l’analisi statica e gli IDE restino accurati.
value object
Sezione intitolata “value object”Una primitiva di dominio immutabile, con uguaglianza per valore, priva di identità e di I/O. NextPDF modella la geometria come PageSize, Dimension, Position e Margin come value object readonly final, così le istanze sono sicure da condividere. Ogni trasformazione restituisce una nuova istanza.
Il dizionario Validation-Related Information sotto il Document Security Store che associa l’hash di una firma specifica ai certificati, alle CRL e alle risposte OCSP usati per convalidarla al momento dell’integrazione a lungo termine. È facoltativo ma raccomandato per i verificatori di archiviazione.