コンテンツにスキップ
NextPDF

Connect 経由の LTV ヘルスチェック(Enterprise B-LT / B-LTA)

Connect 経由の LTV ヘルスチェック(Enterprise B-LT / B-LTA)

「Connect 経由の LTV ヘルスチェック(Enterprise B-LT / B-LTA)」という見出しのセクション

概要

「概要」という見出しのセクション

このレシピでは、署名済み PDF に埋め込まれた長期検証(LTV)マテリアル、すなわち証明書チェーン、失効データ(CRL / OCSP)、およびタイムスタンプトークンを、LTV ヘルスチェックツールを使って Connect トランスポート経由で検査します。長期検証は Enterprise 専用の機能です。 このツールは Enterprise ティア に属します。class_exists() プローブによって検出され、サーバーとあわせて nextpdf/premium がインストールされている場合にのみ登録されます。Pro またはオープンソースのみのインストールでは利用できません。

レベルの境界(交渉の余地なし)。 PAdES B-T、B-LT、B-LTA はそれぞれ別個のレベルであり、決して同一視されません。

  • B-T は B-B に署名タイムスタンプを加えたものです。ドキュメントセキュリティストア、検証関連情報、アーカイブタイムスタンプは追加されません。B-T は Enterprise 以外で利用できる最上位のレベルです。
  • B-LT / B-LTA では検証マテリアル(DSS / VRI)を追加し、B-LTA ではさらにアーカイブタイムスタンプを追加します。これらは Enterprise 専用 であり、本レシピの対象です。

ドキュメント内の LTV データは、そのドキュメントが備える 機能 であり、署名が無期限に有効であり続けることの保証では ありません。署名が将来の時点でも検証に通るかどうかは、そのマテリアルの完全性と最新性、およびその時点の検証者ポリシーに依存しますが、いずれもライブラリの管轄外です。

インストール

「インストール」という見出しのセクション
Terminal window
composer require nextpdf/server

tools/list 呼び出しで Enterprise LTV ツールが存在することを確認してください。詳しくは /connect/tool-catalog/. を参照してください。存在しない場合、このデプロイ環境は Enterprise ではなく、LTV 機能は利用できません。これは意図されたティア境界であり、欠陥ではありません。

概念的な概要

「概念的な概要」という見出しのセクション

長期検証プロファイルは、ベースライン署名レベルを超えて、検証マテリアル、すなわちドキュメントセキュリティストアと検証関連情報を追加します(ETSI EN 319 142-2 §6.3.1)。PAdES ベースラインレベルは互いに別個です。B-T は署名タイムスタンプを追加し、B-LT/B-LTA は検証マテリアルとアーカイブタイムスタンプを追加します(ETSI EN 319 142-2 §5.5)。ドキュメントセキュリティストアは、後続のリビジョンで追加されたマテリアルを保持します。その存在は構造上の事実であり、それ自体が有効性を証明するものではありません(ISO 32000-2 §12.8)。

したがって「健全(healthy)」という判定は、ツールが検査した LTV マテリアルがチェック時点で存在し、内部的に整合していることを意味します。署名が任意の将来時点で検証に通ることを意味するものではありません。

API サーフェス

「API サーフェス」という見出しのセクション

ツール名は、tools/list を介して稼働中のレジストリと照合し、検証してください。正式なカタログは /connect/tool-catalog/. です。本レシピではツール数を改めて記載しません。

コードサンプル — クイックスタート

「コードサンプル — クイックスタート」という見出しのセクション
{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "ltv_health_check",
    "arguments": { "document_id": "<id>" }
  }
}

コードサンプル — 本番環境

「コードサンプル — 本番環境」という見出しのセクション
Terminal window
curl -sS -X POST https://connect.example.com/v1/tools/ltv_health_check \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/archive/signed-report.pdf"}' \
  -o /tmp/ltv.json -w '%{http_code}' > /tmp/ltv-status || {
    echo "transport failure invoking ltv_health_check" >&2; exit 1; }

各署名について、レスポンスは証明書チェーンとその埋め込み状態、失効情報(CRL/OCSP の有無と有効期間)、タイムスタンプトークン、および不足または期限切れのマテリアルを列挙した警告リストを返します。警告を手掛かりに、更新すべきマテリアルを判断してください。「健全(healthy)」という結果は、「永久に有効」ではなく「チェック時点で整合している」と解釈してください。

エッジケースと注意点

「エッジケースと注意点」という見出しのセクション
  • 署名なし。 ツールは署名なしエラーを返します。先にドキュメントに署名してください。
  • ドキュメントセキュリティストアなし。 「DSS なし」という結果は、そのドキュメントが LTV マテリアルなしで署名されたことを意味します。つまり、それはせいぜい B-T 以下のドキュメントであり、B-LT/B-LTA ではありません。Enterprise LTV パスで再署名すると、そのマテリアルが追加されます。
  • 失効データの期限切れ。 警告を伴う「劣化(degraded)」という判定は、埋め込まれた CRL/OCSP の期限が切れていることを意味します。最新のマテリアルを再度埋め込む必要があります。
  • ツールなし。 nextpdf/premium がなければ、Enterprise LTV ツールは登録されません。Pro デプロイは B-T を生成できますが、B-LT/B-LTA マテリアルを生成または検査することはできません。これがティアの境界です。

パフォーマンス

「パフォーマンス」という見出しのセクション

フロントマターの予算はドキュメント上の上限であり、サービスレベルを保証するものではありません。

セキュリティ上の注意

「セキュリティ上の注意」という見出しのセクション

データレジデンシーと PII の緩和策

「データレジデンシーと PII の緩和策」という見出しのセクション

このツールは、埋め込まれた証明書および失効マテリアルを読み取ります。チェックの一環として、ネットワーク経由で最新のマテリアルを取得することはありません。LTV マテリアルの更新は、別個に意図して行う操作です。

脅威モデル

「脅威モデル」という見出しのセクション

避けるべき境界の取り違えは、「LTV データが存在する」ことを「署名が無期限に有効である」と扱ってしまうことです。存在するデータは、あくまで一つの機能です。それが十分かどうかは、検証者のポリシー、およびそのマテリアルがチェーン全体を網羅し、期限切れになっていないかどうかに依存しますが、いずれもライブラリが将来時点について保証できるものではありません。

FIPS モードの動作

「FIPS モードの動作」という見出しのセクション

このチェックは埋め込まれたマテリアルを解析するだけで、署名操作は一切実行しません。ホスト上の FIPS モードポリシーは、その動作を変更しません。

適合性

「適合性」という見出しのセクション
主張条項reference_id
LTV はベースラインレベルを超えて検証マテリアル(DSS/VRI)を追加ETSI EN 319 142-2 §6.3.1
B-T ≠ B-LT ≠ B-LTA。レベルは別個ETSI EN 319 142-2 §5.5
ドキュメントセキュリティストアの存在は構造上のものであり、有効性の証明ではないISO 32000-2 §12.8

LTV ヘルスチェックのサポートは、署名が現在または将来において法的に有効であることの証明ではありません。その判断は、独立した検証者が自身のポリシーに基づいて下します。

商用コンテキスト

「商用コンテキスト」という見出しのセクション

長期検証(PAdES B-LT / B-LTA)は Enterprise 専用の機能です。LTV ヘルスチェックツールは、サーバーとあわせて nextpdf/premium がインストールされている場合にのみ登録されます。PAdES B-T は Enterprise 以外で利用できる最上位のレベルであり、DSS / VRI やアーカイブタイムスタンプは含みません。

Connect 固有の事項

「Connect 固有の事項」という見出しのセクション

トランスポートの可用性(MCP / REST / gRPC)

「トランスポートの可用性(MCP / REST / gRPC)」という見出しのセクション

MCP の tools/call、REST ツールエンドポイント、gRPC サービスのいずれからも、共有ツールエグゼキューターを介して同じように呼び出されます。

HITL リスクティア

「HITL リスクティア」という見出しのセクション

このチェックは読み取り専用で、デフォルトでは approval_required ではありません。オペレーターによるオーバーライドでできるのは、リスクレベルを引き上げることだけです。/connect/hitl-risk-tiers/. を参照してください。

確認ゲートの JSON エンベロープ

「確認ゲートの JSON エンベロープ」という見出しのセクション

オペレーターによるオーバーライドで approval_required に引き上げられない限り、このツールはゲートをトリガーしません。エンベロープおよび単回使用トークンのコントラクトは /connect/hitl-risk-tiers/. にあります。

関連項目

「関連項目」という見出しのセクション
  • /cookbook/connect/forensic-analysis/ — 署名済みドキュメントのリビジョン履歴解析。
  • /cookbook/connect/compliance-check/ — 名前付き標準による検証。
  • /connect/tool-catalog/ — ティアごとのツールセット算出。
  • /connect/hitl-risk-tiers/ — リスクモデルとゲート。