Forensische analyse van een ondertekende PDF met Connect

Forensische analyse van een ondertekende PDF via Connect

In een oogopslag

Gebruik de forensische analysetool via Connect om de revisiegeschiedenis van een ondertekend document te reconstrueren en inhoudswijzigingen te rapporteren die buiten de ondertekende bytebereiken hebben plaatsgevonden. De tool valt onder de Enterprise-tier: hij wordt ontdekt via een class_exists()-controle en wordt alleen geregistreerd wanneer nextpdf/premium naast de server is geïnstalleerd.

De tool rapporteert waargenomen bewijs: revisies, bytebereiken, handtekeningdekking en heuristische indicatoren van shadow-aanvallen met betrouwbaarheidsscores. Een „schoon” oordeel betekent dat de tool binnen de uitgevoerde analyse geen wijziging heeft gedetecteerd. Het is geen garantie dat het document niet is gemanipuleerd. Gebruik de bevindingen ter ondersteuning van onderzoek; ze certificeren de integriteit niet.

Installatie

composer require nextpdf/server

Controleer met een tools/list-aanroep dat de forensische Enterprise-tool aanwezig is. Zie /connect/tool-catalog/.

Conceptueel overzicht

Een handtekening dekt een bytebereik. Wijzigingen na ondertekening zijn detecteerbaar door het document met dat bereik te vergelijken (ISO 32000-2 §12.8). Incrementele updates voegen revisies toe, en een handtekening dekt geen inhoud die daarna wordt toegevoegd (ISO 32000-2 §12.8). De revisieketen is reconstrueerbaar uit de kruisverwijzingssecties (ISO 32000-2 §7.5). De tool doorloopt deze structuren om een tijdlijn op te bouwen en inhoud te markeren die buiten de handtekeningdekking is gewijzigd.

API-oppervlak

Verifieer toolnamen aan de hand van het actieve register met tools/list. De gezaghebbende catalogus staat op /connect/tool-catalog/. Dit recipe herhaalt geen exact aantal tools.

Codevoorbeeld — Snelstart

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "forensic_analyze",
    "arguments": { "document_id": "<id>" }
  }
}

Codevoorbeeld — Productie

curl -sS -X POST https://connect.example.com/v1/tools/forensic_analyze \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/evidence/disputed-contract.pdf"}' \
  -o /tmp/forensic.json -w '%{http_code}' > /tmp/forensic-status || {
    echo "transport failure invoking forensic_analyze" >&2; exit 1; }

Het antwoord bevat een revisietijdlijn, handtekeningdekking per revisie, een unsigned_modifications-lijst met byteposities en ernst, heuristische indicatoren van shadow-aanvallen met betrouwbaarheidsscores, en hiaten in de dekking. Behandel het oordeel als bewijs dat interpretatie vereist, niet als conclusie.

Randgevallen en valkuilen

• Geen handtekeningen in het document. De tool retourneert een foutmelding dat er geen handtekeningen zijn. Gebruik de standaardencontrole om een niet-ondertekend document te valideren.
• Versleuteld document. Verstrek ontsleutelingsgegevens, anders mislukt de aanroep in plaats van een gedeeltelijke analyse uit te voeren.
• Misvormde kruisverwijzing. Reconstructie kan mislukken bij een ernstig beschadigd bestand. Repareer de PDF voordat je deze opnieuw indient.
• Tool afwezig. Zonder nextpdf/premium wordt de forensische Enterprise-tool niet geregistreerd, en mislukt de aanroep met een onbekende-tool-fout.

Prestaties

Het budget in de frontmatter is een documentatielimiet. Zeer grote documenten kunnen de limiet voor analysegrootte van de tool overschrijden. In dat geval retourneert de tool een fout over de groottelimiet in plaats van stilzwijgend af te kappen.

Beveiligingsnotities

De indicatoren van shadow-aanvallen zijn heuristisch en bevatten betrouwbaarheidsscores. Ze markeren patronen; ze bewijzen geen opzet. Een „schoon” oordeel betekent dat de tool binnen de uitgevoerde analyse geen wijziging heeft gedetecteerd. Het is geen manipulatiebestendige garantie. Log het documentpad of het volledige rapport niet op een logniveau dat extern wordt verzonden.

Conformiteit

Bewering	Clausule	reference_id
Wijziging na ondertekening is detecteerbaar aan de hand van het ondertekende bytebereik	ISO 32000-2 §12.8
Een handtekening dekt geen inhoud die door een latere incrementele update is toegevoegd	ISO 32000-2 §12.8
De revisieketen is reconstrueerbaar uit de kruisverwijzingssecties	ISO 32000-2 §7.5

Ondersteuning voor forensische analyse is geen certificering van documentintegriteit. Het bewijs moet door een onafhankelijke onderzoeker worden geïnterpreteerd.

Commerciële context

De forensische analysetool valt onder de Enterprise-tier en wordt alleen geregistreerd wanneer nextpdf/premium naast de server is geïnstalleerd.

Connect-specifieke informatie

Transportbeschikbaarheid (MCP / REST / gRPC)

Roep de tool op dezelfde manier aan via Model Context Protocol (MCP) tools/call, het Representational State Transfer (REST)-toolendpoint en de gRPC-service via de gedeelde tool-executor.

HITL-risiconiveau

De analyse is alleen-lezen en standaard niet approval_required. Een operatoroverride kan het risiconiveau ervan alleen verhogen. Zie /connect/hitl-risk-niveaus/ voor meer informatie.

JSON-envelop van de bevestigingspoort

De tool activeert de poort niet, tenzij een operatoroverride deze verhoogt naar approval_required. Het contract voor de envelop en het eenmalige token staan in /connect/hitl-risk-niveaus/.

Zie ook

• /cookbook/connect/compliance-check/ — valideren aan de hand van genoemde standaarden.
• /cookbook/connect/ltv-health-check/ — langetermijnvalidatiemateriaal inspecteren.
• /connect/tool-catalog/ — de toolset voor elke tier bepalen.
• /connect/hitl-risk-niveaus/ — het risicomodel en de poort bekijken.