Analiza kryminalistyczna podpisanego pliku PDF przez Connect

Analiza kryminalistyczna podpisanego pliku PDF przez Connect

W skrócie

Użyj narzędzia do analizy kryminalistycznej przez Connect, aby odtworzyć historię wersji podpisanego dokumentu i zgłosić zmiany treści wprowadzone poza podpisanymi zakresami bajtów. Narzędzie należy do poziomu Enterprise: sonda class_exists() wykrywa je i rejestruje tylko wtedy, gdy obok serwera zainstalowano pakiet nextpdf/premium.

Narzędzie raportuje zaobserwowany materiał dowodowy: wersje, zakresy bajtów, pokrycie podpisem oraz heurystyczne wskaźniki ataków typu shadow wraz ze współczynnikami pewności. Werdykt „czysty” oznacza, że w ramach przeprowadzonej analizy narzędzie nie wykryło żadnej modyfikacji. Nie gwarantuje to, że dokument nie został zmanipulowany. Traktuj ustalenia jako wsparcie dochodzenia; same nie poświadczają integralności.

Instalacja

composer require nextpdf/server

Potwierdź dostępność narzędzia kryminalistycznego Enterprise wywołaniem tools/list. Zobacz /connect/tool-catalog/.

Przegląd koncepcyjny

Podpis obejmuje zakres bajtów. Modyfikację po podpisaniu można wykryć, porównując dokument z tym zakresem (ISO 32000-2 §12.8). Aktualizacje przyrostowe dołączają kolejne wersje, a podpis nie obejmuje treści dodanej po jego złożeniu (ISO 32000-2 §12.8). Łańcuch wersji można odtworzyć z sekcji odsyłaczy (ISO 32000-2 §7.5). Narzędzie przechodzi przez te struktury, aby zbudować oś czasu i oznaczyć treść zmienioną poza zakresem pokrytym podpisem.

Powierzchnia API

Zweryfikuj nazwy narzędzi względem działającego rejestru za pomocą tools/list. Wiążącym źródłem jest katalog /connect/tool-catalog/. Ten przepis nie powtarza liczby narzędzi.

Przykład kodu — szybki start

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "forensic_analyze",
    "arguments": { "document_id": "<id>" }
  }
}

Przykład kodu — produkcja

curl -sS -X POST https://connect.example.com/v1/tools/forensic_analyze \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/evidence/disputed-contract.pdf"}' \
  -o /tmp/forensic.json -w '%{http_code}' > /tmp/forensic-status || {
    echo "transport failure invoking forensic_analyze" >&2; exit 1; }

Odpowiedź zawiera oś czasu wersji, pokrycie podpisem z podziałem na wersje, listę unsigned_modifications z przesunięciami bajtów i poziomem istotności, heurystyczne wskaźniki ataków typu shadow ze współczynnikami pewności oraz luki w pokryciu. Traktuj werdykt jako materiał dowodowy wymagający interpretacji, a nie jako gotowy wniosek.

Przypadki brzegowe i pułapki

• Brak podpisów w dokumencie. Narzędzie zwraca błąd informujący o braku podpisów. Użyj kontroli zgodności ze standardami, aby zweryfikować niepodpisany dokument.
• Zaszyfrowany dokument. Podaj poświadczenia do odszyfrowania; w przeciwnym razie wywołanie zakończy się niepowodzeniem zamiast wykonać częściową analizę.
• Zniekształcony odsyłacz. Odtwarzanie może się nie powieść przy poważnie uszkodzonym pliku. Napraw plik PDF przed ponownym przesłaniem.
• Brak narzędzia. Bez pakietu nextpdf/premium narzędzie kryminalistyczne Enterprise nie jest zarejestrowane, a wywołanie kończy się niepowodzeniem z błędem nieznanego narzędzia.

Wydajność

Budżet z front matter jest limitem dokumentacyjnym. Bardzo duże dokumenty mogą przekroczyć limit rozmiaru analizy narzędzia. W takim przypadku narzędzie zwraca błąd przekroczenia limitu rozmiaru, zamiast po cichu obcinać dane.

Uwagi dotyczące bezpieczeństwa

Wskaźniki ataków typu shadow mają charakter heurystyczny i obejmują współczynniki pewności. Wskazują wzorce; nie dowodzą zamiaru. Werdykt „czysty” oznacza, że w ramach przeprowadzonej analizy narzędzie nie wykryło żadnej modyfikacji. Nie gwarantuje to odporności na manipulacje. Nie loguj ścieżki dokumentu ani pełnego raportu na poziomie logowania wysyłanym na zewnątrz.

Zgodność

Deklaracja	Klauzula	reference_id
Modyfikację po podpisaniu można wykryć względem podpisanego zakresu bajtów	ISO 32000-2 §12.8
Podpis nie obejmuje treści dodanej przez późniejszą aktualizację przyrostową	ISO 32000-2 §12.8
Łańcuch wersji można odtworzyć z sekcji odsyłaczy	ISO 32000-2 §7.5

Obsługa analizy kryminalistycznej nie stanowi poświadczenia integralności dokumentu. Materiał dowodowy wymaga interpretacji przez niezależnego eksperta.

Kontekst komercyjny

Narzędzie do analizy kryminalistycznej należy do poziomu Enterprise i rejestruje się tylko wtedy, gdy obok serwera zainstalowano pakiet nextpdf/premium.

Specyfika Connect

Dostępność transportu (MCP / REST / gRPC)

Wywołuj narzędzie tak samo przez Model Context Protocol (MCP) tools/call, punkt końcowy narzędzia Representational State Transfer (REST) oraz usługę gRPC, korzystając ze wspólnego wykonawcy narzędzi.

Poziom ryzyka HITL

Analiza ma charakter tylko do odczytu i domyślnie nie ma ustawienia approval_required. Nadpisanie przez operatora może jedynie podnieść jej poziom ryzyka. Szczegóły znajdziesz w /connect/hitl-risk-tiers/.

Koperta JSON bramki potwierdzenia

Narzędzie nie uruchamia bramki, chyba że nadpisanie przez operatora ustawi dla niego approval_required. Kontrakt koperty i jednorazowego tokena opisano w /connect/hitl-risk-tiers/.

Zobacz także

• /cookbook/connect/compliance-check/ — weryfikacja pod kątem wskazanych standardów.
• /cookbook/connect/ltv-health-check/ — analiza materiału potrzebnego do walidacji długoterminowej.
• /connect/tool-catalog/ — obliczanie zestawu narzędzi dla każdego poziomu.
• /connect/hitl-risk-tiers/ — przegląd modelu ryzyka i bramki.