Woordenlijst
In het kort
Sectie met titel “In het kort”Deze woordenlijst definieert de NextPDF-termen die je in de documentatie tegenkomt, waaronder handtekeningprofielen, versleutelingsmodi, lagen van de HyperText Markup Language (HTML)-pijplijn, toegankelijkheidsstructuren, het event-model en privacybewerkingen in de commerciële edities. Elke term heeft een eigen anker, zodat andere pagina’s rechtstreeks naar de definitie kunnen verwijzen. De definities geven in eigen woorden de canonieke ondertekende woordenlijst en de standaarden weer die NextPDF implementeert; raadpleeg de geciteerde standaard wanneer je exacte normatieve bewoordingen nodig hebt.
AES-GCM
Sectie met titel “AES-GCM”Advanced Encryption Standard in Galois/Counter Mode (AES-GCM) is een geauthenticeerde versleutelingsmodus die AES in countermodus combineert met een message authentication code op basis van een Galois-veld en zo in één doorgang vertrouwelijkheid en integriteit biedt. ISO 32000-2 introduceert dit via ISO/TS 32002 als het voorkeursschema voor geauthenticeerde versleuteling, ter vervanging van Advanced Encryption Standard Cipher Block Chaining (AES-CBC).
geauthenticeerde ontsleuteling
Sectie met titel “geauthenticeerde ontsleuteling”Geauthenticeerde ontsleuteling verifieert een integriteitstag voordat de leesbare tekst wordt teruggegeven. NextPDF houdt een structurele ontsleutelingsfout, zoals een configuratie- of transportprobleem, gescheiden van een mislukte integriteitscontrole, waarbij de inhoud niet kon worden geverifieerd. De vertakking gebeurt op basis van de exception-klasse, in plaats van de twee condities tot één samen te voegen.
CMS Advanced Electronic Signatures (CAdES) is de familie van handtekeningprofielen van het European Telecommunications Standards Institute (ETSI) voor willekeurige binaire inhoud, gedefinieerd door ETSI EN 319 122. Het bouwt voort op de Cryptographic Message Syntax (CMS)-structuur uit Request for Comments (RFC) 5652, met attributen voor tijdstempels en langdurige validatie. PDF Advanced Electronic Signatures (PAdES) gebruikt het attribuutmodel van CAdES en sluit dit in de Portable Document Format (PDF)-handtekeningdictionary in.
CJK-dekking
Sectie met titel “CJK-dekking”Chinese, Japanese, and Korean (CJK)-dekking is het aandeel van de Unicode-blokken die nodig zijn voor een CJK-schrift en door de Unicode-map van een lettertype worden afgedekt. NextPDF schat de dekking door codepoints te bemonsteren en markeert blokken onder een drempel van 50 procent als ontbrekende bereiken. Het cijfer ondersteunt de keuze van een lettertype; het is geen byte-exacte audit.
Cryptographic Message Syntax (CMS) is de RFC 5652-handtekeningcontainer die de signed-data-structuur omhult die door CAdES en PAdES wordt gebruikt. NextPDF produceert CMS SignedData-blobs en sluit ze in als de Contents van de PDF-handtekeningdictionary.
context-bewuste exception
Sectie met titel “context-bewuste exception”Een contextbewuste exception is een NextPDF-exception die ContextAwareExceptionInterface implementeert en een getContext()-methode beschikbaar stelt. De methode retourneert een snake_case-map met primitieve diagnostische velden die je in een log of een application performance monitoring (APM)-payload kunt serialiseren zonder de berichttekst te parsen.
Kruisverwijzingstabel
Sectie met titel “Kruisverwijzingstabel”Een kruisverwijzingstabel aan het einde van een PDF-bestand koppelt elk indirect objectnummer aan de bijbehorende byte-offset. NextPDF geeft de voorkeur aan cross-reference streams, de vorm uit PDF 2.0, omdat ze beter comprimeren en netjes integreren met object streams.
CSS-module
Sectie met titel “CSS-module”Een Cascading Style Sheets (CSS)-module is een werkproduct van het World Wide Web Consortium (W3C) dat één onderdeel van CSS definieert, zoals Selectors, Values, Fonts of Flexbox. De HTML-pijplijn van NextPDF implementeert een zorgvuldig samengestelde subset van CSS-modules die is vastgepind op specifieke Editor’s Draft-versies, zoals gedocumenteerd in de CSS-dekkingsaudit.
De-identificatie
Sectie met titel “De-identificatie”De-identificatie is het algemene proces waarbij de koppeling tussen gegevens en de persoon op wie ze betrekking hebben wordt verwijderd of verminderd. NextPDF Enterprise voert patroongebonden de-identificatie uit via redactie, regelonderdrukking of omkeerbare pseudonimisering. Het is geen anonimisering en neemt het resterende risico op heridentificatie niet weg. Achterblijvende attributen kunnen nog steeds een risico met zich meebrengen.
degradatiebeleid
Sectie met titel “degradatiebeleid”Een degradatiebeleid bepaalt wat NextPDF doet wanneer een functie in gedegradeerde modus draait. Een strikt beleid gooit een exception bij compliance-impact, semantische impact of blokkerende impact. Een gebalanceerd beleid gooit alleen een exception bij blokkerende impact. Een tolerant beleid registreert een waarschuwing en gooit nooit een exception.
Een data encryption key (DEK) is een collectiegebonden sleutel waarvan de metadata door de provider-factory van het key management system (KMS) worden geretourneerd. De lokale Enterprise-provider leidt deze af met HKDF-SHA256 en retourneert uitsluitend metadata, nooit de ruwe sleutelbytes.
De Document Security Store (DSS) is een PDF 2.0-catalogusvermelding die de certificaten, certificate revocation lists (CRLs), Online Certificate Status Protocol (OCSP)-responses en tijdstempeltokens bundelt die nodig zijn om elke handtekening in het document te valideren. PAdES B-LT en B-LTA vullen deze store, en validators raadplegen deze voordat ze het netwerk benaderen.
FIPS-modus
Sectie met titel “FIPS-modus”De Federal Information Processing Standards (FIPS)-modus is een geconfigureerde toestand waarin NextPDF Core werkt met een host-OpenSSL-build die een FIPS-gevalideerde provider heeft geladen. NextPDF zelf is niet FIPS-gecertificeerd; de modus beperkt welke primitieven Core aanroept, zodat de gevalideerde provider het cryptografische werk afhandelt. Een best-effort-controle met drie toestanden rapporteert de hoststatus als actief, afwezig of onbepaald, en behandelt onbepaald als niet aangetoond.
lettertype-subsetting
Sectie met titel “lettertype-subsetting”Lettertype-subsetting bouwt een verkleind lettertypeprogramma dat alleen de glyphs bevat waarnaar een document verwijst. Het herbouwt de vereiste lettertypetabellen en behoudt de oorspronkelijke glyph-nummering, zodat een Identity CIDToGIDMap geldig blijft. Subsetting is de naam van de bewerking; font subset is de naam van het resulterende programma.
Hash-based Message Authentication Code (HMAC)-based Key Derivation Function (HKDF) is de sleutelafleidingsfunctie die de lokale Enterprise-KMS-provider in de vorm HKDF-SHA256 gebruikt om een collectiespecifieke data encryption key af te leiden uit een geconfigureerde rootsleutel.
Een hardware security module (HSM) is een sabotagebestendig apparaat dat privésleutels opslaat en ondertekening uitvoert zonder de sleutel ooit aan het hostgeheugen bloot te stellen. NextPDF Enterprise integreert met hardware security modules via de Public-Key Cryptography Standards #11 (PKCS#11)-abstractie en een controller/worker-drivermodel.
html-pijplijn
Sectie met titel “html-pijplijn”De html-pijplijn is de weergavepijplijn met vier lagen onder src/Html/ die HTML en CSS omzet in PDF-contentstreams. De lagen zijn CSS-parsing, style state, lay-out en paint (ADR-010). Het is het grootste subsysteem van de engine en ook het subsysteem met het hoogste risico.
Incrementele update
Sectie met titel “Incrementele update”Een incrementele update is een PDF-revisie die na de oorspronkelijke bytes wordt toegevoegd en de eerdere inhoud ongewijzigd laat, zodat bestaande handtekeningen geldig blijven.
Een key management system (KMS) is een in de cloud gehoste sleutelkluis, zoals AWS KMS, Google Cloud KMS of Azure Key Vault, die namens een tenant ondertekent met sleutels die nooit worden vrijgegeven. NextPDF Enterprise behandelt een key management system als een alternatieve deferred-signer-backend naast hardware security modules.
lay-out
Sectie met titel “lay-out”Lay-out is de derde laag van de HTML-pijplijn met vier lagen uit ADR-010. Het berekent boxposities en -afmetingen op basis van opgeloste stijlen, produceert een paint plan en geeft nooit rechtstreeks PDF-operatoren uit. Het bevindt zich onder de flex-, float-, context- en tabel-lay-outhelpers in src/Html/.
listener provider
Sectie met titel “listener provider”De component NextPDF\Event\ListenerProvider koppelt een event-klasse aan een op prioriteit geordende lijst van listener-callables. Het doorloopt de klassenhiërarchie en interfaces van het event, zodat een listener die op een oudertype is geregistreerd elk subtype waarneemt. De status is instantiegebonden en niet statisch, zodat workers geïsoleerd blijven.
Long-term validation (LTV) is de eigenschap van een ondertekend PDF waardoor de handtekening voor onbepaalde tijd verifieerbaar blijft, zelfs nadat de gegevens van de ondertekenaar verlopen of intrekkingsdiensten verdwijnen. NextPDF bereikt dit door intrekkingsmateriaal vast te leggen in de Document Security Store en archieftijdstempels te vernieuwen voordat het algoritme van elke voorgaande tijdstempel verzwakt.
Optical character recognition (OCR) zet pagina-afbeeldingen om in machineleesbare tekst. Dit is een andere probleemcategorie dan PDF-generatie. NextPDF genereert en inspecteert documenten structureel in plaats van pixels naar betekenis te interpreteren, dus OCR-werk hoort thuis in een speciale pijplijn.
output intent
Sectie met titel “output intent”Een output intent is een PDF-catalogusvermelding die de beoogde uitvoervoorwaarde voor het document declareert, doorgaans een International Color Consortium (ICC)-profiel dat het doelafdrukapparaat of de weergavekleurruimte karakteriseert. PDF/A-4 vereist dit voor documenten die apparaatafhankelijke kleur gebruiken, en PDF/X-profielen vereisen dit om de afdrukvoorwaarde te declareren.
PDF Advanced Electronic Signatures (PAdES) is de ETSI-familie van handtekeningprofielen voor PDF-documenten, gedefinieerd door ETSI EN 319 142. Het bouwt voort op CMS en CAdES met PDF-specifieke coderingsregels. Het omvat vier baselineniveaus (B-B, B-T, B-LT, B-LTA) die geleidelijk tijdstempels en materiaal voor langdurige validatie aan de ingesloten handtekening toevoegen.
PAdES B-T
Sectie met titel “PAdES B-T”PAdES B-T is de PAdES-baseline die een RFC 3161-tijdstempeltoken over de handtekeningwaarde toevoegt, waarmee wordt aangetoond dat de handtekening op het getijdstempelde moment bestond. Het bouwt rechtstreeks voort op PAdES B-B.
pades-niveau
Sectie met titel “pades-niveau”Een PAdES-niveau is een conformiteitsklasse voor handtekeningen, bijvoorbeeld B-B, B-T, B-LT of B-LTA, die bepaalt welk materiaal een handtekening bevat. NextPDF werkt fail-closed wanneer een gevraagd niveau onbereikbaar is en gooit SignatureLevelUnreachableException in plaats van stilzwijgend een lager niveau te produceren terwijl het hogere wordt geadverteerd.
Paint is de vierde laag van de HTML-pijplijn met vier lagen uit ADR-010. Het gebruikt het paint plan van de lay-out en geeft PDF-operatoren uit via de writer. Het is de enige laag die de tekenprimitieven mag aanroepen.
permission flags
Sectie met titel “permission flags”Permission flags zijn een bitveld in de PDF-versleutelingsdictionary dat bepaalt welke bewerkingen een geauthenticeerde lezer mag uitvoeren: afdrukken in lage of hoge resolutie, inhoud kopiëren, annotaties wijzigen, formulieren invullen en assembleren. De documentauteur stelt dit in bij het versleutelen met een gebruikerswachtwoord of certificaat. NextPDF stelt een getypeerd PermissionFlags-value object beschikbaar.
Personally identifiable information (PII) is alle gegevens waarmee een natuurlijke persoon, afzonderlijk of in combinatie met andere informatie, kan worden geïdentificeerd, waaronder naam, adres, fiscaal nummer, biometrische gegevens en e-mailadres. De redactiefunctie van NextPDF Pro verwijdert PII-regio’s onherstelbaar uit een PDF, zodat geen enkele downstream-tool de gegevens kan herstellen.
Public-Key Cryptography Standards #11 (PKCS#11) is de cryptographic token-interface van OASIS, momenteel op versie 3.1, die toepassingen een stabiele application programming interface (API) biedt om met hardware security modules en smartcards te communiceren. Het signer-driver-subsysteem van NextPDF Enterprise gebruikt PKCS#11 als de grootste gemene deler om hardwaresleutels te benaderen.
Pseudonimisering
Sectie met titel “Pseudonimisering”Pseudonimisering vervangt een identificerende waarde door een alias. Het is per definitie omkeerbaar en gebruikt een afzonderlijk bewaarde mapping. NextPDF Enterprise leidt deterministische, formaatbewuste pseudoniemen af uit een HMAC over de oorspronkelijke waarde en een seed per sessie. Het verzegelt de map van origineel naar pseudoniem in rust met AES-256-GCM onder een geversioneerde sleutel. Het is geen anonimisering en mag niet als onomkeerbaar worden voorgesteld.
PHP Standard Recommendation 14 (PSR-14) is de standaard van de PHP Framework Interop Group (PHP-FIG) die een event dispatcher, een listener provider en stopbare events definieert. De Event-module van NextPDF volgt dit model en declareert duck-type-compatibele interfaces, zodat de engine geen runtime-afhankelijkheid van psr/event-dispatcher heeft.
PHP Standard Recommendation 20 (PSR-20) is de PHP-FIG-standaard die een clock-interface definieert waarvan de enige leesbewerking de huidige tijd retourneert als een onveranderlijke datum-tijdwaarde. De SystemClock van NextPDF implementeert deze; het injecteren van een vaste klok verwijdert het niet-determinisme van de wandklok uit reproduceerbare uitvoer.
retained versus streaming
Sectie met titel “retained versus streaming”Retained versus streaming beschrijft of een renderer een in-memoryrepresentatie van het hele document opbouwt voordat hij uitvoer produceert (retained) of tokens verwerkt zodra ze binnenkomen (streaming). NextPDF is end-to-end streaming, terwijl concurrerende engines zoals dompdf retained werken.
intrekkingsverklaring
Sectie met titel “intrekkingsverklaring”Een intrekkingsverklaring is de verklaring over de certificaatstatus die een OCSP-responder of CRL levert en die wordt ingesloten voor handtekeningniveaus met langdurige validatie. NextPDF weigert een niet-succesvolle OCSP-response als een positieve vertrouwensverklaring te behandelen; een unknown- of error-status wordt nooit tot good gepromoveerd.
RFC 3161-tijdstempel
Sectie met titel “RFC 3161-tijdstempel”Een RFC 3161-tijdstempel is een TimeStampToken die een Time-Stamping Authority uitgeeft over een hash van de gegevens waarvoor de tijdstempel wordt gemaakt. PAdES B-T gebruikt deze om een handtekening aan een verifieerbaar tijdstip te binden. NextPDF sluit deze in als een CMS SignedData-blob binnen een unsigned attribute op de signer info.
Doorzoekbare PDF
Sectie met titel “Doorzoekbare PDF”Een doorzoekbare PDF bevat een onzichtbare tekstlaag over de pagina-afbeeldingen van een gescand document, zodat de tekst op de pagina selecteerbaar en doorzoekbaar wordt. NextPDF Enterprise orkestreert dit door een geïnjecteerde OCR-backend aan te sturen, waarbij rasterisatie en tekstinjectie aan een aparte sidecar worden gedelegeerd. Het resultaat is een afgeleid document: bestaande handtekeningen worden ongeldig en compliance moet opnieuw worden gevalideerd. De functie garandeert geen OCR-nauwkeurigheid of extractie-recall.
single-pass streaming
Sectie met titel “single-pass streaming”Single-pass streaming is het weergavemodel van de HTML-pijplijn (ADR-001) waarin de tokenizer in één doorgang een tokenlijst produceert en de parser deze van links naar rechts verbruikt, waarbij content-stream-operatoren worden uitgegeven zonder een retained Document Object Model (DOM)-boom op te bouwen. Het geheugen aan de invoerzijde wordt begrensd door de nestingdiepte in plaats van het aantal elementen, met een harde bovengrens op het totale aantal elementen. Lookahead gebruikt begrensde pre-scan-indexarrays, geen retained DOM.
stopbaar event
Sectie met titel “stopbaar event”Een stopbaar event is een levenscyclus-event dat een listener kan stoppen: het aanroepen van stopPropagation() laat de dispatcher de overige listeners voor die dispatch-cyclus overslaan. Elk levenscyclus-event van NextPDF is stopbaar omdat AbstractEvent StoppableEventInterface implementeert, conform de stopbare-event-semantiek van PSR-14.
structuurboom
Sectie met titel “structuurboom”Een structuurboom is de boom van semantische elementen die een tagged PDF de logische leesvolgorde en toegankelijke structuur geeft. De wortel ligt in de documentcatalogus onder /StructTreeRoot. NextPDF bouwt de structuurboom direct op terwijl tokens door de HTML-pijplijn stromen.
Tagged PDF
Sectie met titel “Tagged PDF”Een tagged PDF bevat een parallelle logische structuurboom naast de visuele contentstream, zodat hulptechnologie de structuur leest in plaats van de visuele lay-out, conform ISO 32000-2 sectie 14.7.
getypeerde wither
Sectie met titel “getypeerde wither”Een getypeerde wither is een specifieke, typeveilige kopieermethode op een onveranderlijk object, bijvoorbeeld Config::withPageSize(), die het object met benoemde argumenten reconstrueert en een nieuwe instantie retourneert. NextPDF gebruikt getypeerde withers in plaats van een generieke with(string, mixed)-setter, zodat statische analyse en integrated development environments (IDEs) accuraat blijven.
value object
Sectie met titel “value object”Een value object is een onveranderlijk domeinprimitief met gelijkheid op waarde, zonder identiteit en zonder input/output (I/O). NextPDF modelleert geometrie zoals PageSize, Dimension, Position en Margin als final readonly value objects, zodat instanties veilig gedeeld kunnen worden. Elke transformatie retourneert een nieuwe instantie.
De Validation-Related Information (VRI)-dictionary onder de Document Security Store koppelt de hash van een specifieke handtekening aan de certificaten, CRLs en OCSP-responses die zijn gebruikt om deze te valideren op het moment van langdurige aanvulling. Deze is optioneel maar aanbevolen voor archiveringsverifiers.