Verificação de integridade de LTV via Connect (Enterprise B-LT / B-LTA)

Verificação de integridade de LTV via Connect (Enterprise B-LT / B-LTA)

Visão geral

Esta receita inspeciona o material de validação de longo prazo (LTV) incorporado em um PDF assinado: cadeias de certificados, dados de revogação (listas de revogação de certificados (CRL) / Online Certificate Status Protocol (OCSP)) e tokens de carimbo de tempo. Você executa a ferramenta de verificação de integridade de LTV por meio dos transportes do Connect. A validação de longo prazo é um recurso exclusivo do Enterprise. A ferramenta é de nível Enterprise: uma sondagem class_exists() a localiza, e ela se registra apenas quando o nextpdf/premium está instalado junto com o servidor. Ela não existe em uma instalação Pro nem em uma instalação somente de código aberto.

Limite de nível (inegociável). PAdES B-T, B-LT e B-LTA são níveis distintos e nunca são unificados:

• B-T é B-B mais um carimbo de tempo de assinatura. Ele não adiciona um document security store, informações relacionadas à validação nem um carimbo de tempo de arquivamento. O B-T é o nível mais alto disponível fora do Enterprise.
• B-LT / B-LTA adicionam material de validação (DSS / VRI) e, no caso do B-LTA, um carimbo de tempo de arquivamento. Esses níveis são exclusivos do Enterprise e são o tema desta receita.

Os dados de LTV em um documento são um recurso que o documento carrega. Eles não são uma garantia de que a assinatura permanecerá válida indefinidamente. A validação de uma assinatura em uma data futura depende de esse material estar completo e atualizado e da política do verificador naquele momento. Esses fatores estão fora do escopo da biblioteca.

Instalação

composer require nextpdf/server

Confirme que a ferramenta de LTV do Enterprise está presente por meio de uma chamada tools/list; consulte /connect/tool-catalog/. Se ela estiver ausente, esta implantação não é Enterprise, e o recurso de LTV não está disponível. Esse é o limite de nível previsto, não um defeito.

Visão conceitual

O perfil de validação de longo prazo adiciona material de validação além dos níveis básicos de assinatura: um document security store e informações relacionadas à validação (ETSI EN 319 142-2 §6.3.1). Os níveis básicos do PAdES são distintos. O B-T adiciona um carimbo de tempo de assinatura. B-LT/B-LTA adicionam material de validação e um carimbo de tempo de arquivamento (ETSI EN 319 142-2 §5.5). Um document security store contém material adicionado por revisões posteriores. Sua presença é um fato estrutural, não uma prova de validade por si só (ISO 32000-2 §12.8).

Portanto, um veredito “íntegro” significa que o material de LTV inspecionado está presente e é internamente consistente no momento da verificação. Isso não significa que a assinatura será validada em uma data futura arbitrária.

Superfície da API

Verifique os nomes das ferramentas no registro em execução com tools/list; o catálogo oficial é /connect/tool-catalog/. Esta receita não replica a contagem de ferramentas.

Exemplo de código — Início rápido

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "ltv_health_check",
    "arguments": { "document_id": "<id>" }
  }
}

Exemplo de código — Produção

curl -sS -X POST https://connect.example.com/v1/tools/ltv_health_check \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/archive/signed-report.pdf"}' \
  -o /tmp/ltv.json -w '%{http_code}' > /tmp/ltv-status || {
    echo "transport failure invoking ltv_health_check" >&2; exit 1; }

Para cada assinatura, a resposta informa a cadeia de certificados e seu status de incorporação, as informações de revogação (presença e janelas de validade de CRL/OCSP), o token de carimbo de tempo e uma lista de avisos que identifica o material ausente ou expirado. Use os avisos para decidir que material renovar. Trate um resultado “íntegro” como “consistente no momento da verificação”, não como “válido para sempre”.

Casos extremos e armadilhas

• Nenhuma assinatura. A ferramenta retorna um erro de ausência de assinaturas. Assine o documento primeiro.
• Nenhum document security store. Um resultado “no DSS” significa que o documento foi assinado sem material de LTV. É, no máximo, um documento de nível B-T ou inferior, não B-LT/B-LTA. Assinar novamente pelo fluxo de LTV do Enterprise adiciona o material.
• Dados de revogação expirados. Um veredito “degradado” com avisos significa que a CRL/OCSP incorporada expirou. Você deve reincorporar material atualizado.
• Ferramenta ausente. Sem o nextpdf/premium, a ferramenta de LTV do Enterprise não é registrada. Uma implantação Pro pode produzir B-T, mas não pode produzir nem inspecionar material B-LT/B-LTA. Esse é o limite de nível.

Desempenho

O orçamento do frontmatter é um limite de documentação, não uma garantia de nível de serviço.

Notas de segurança

Residência de dados e mitigações de PII

A ferramenta lê o material de certificados e de revogação incorporado. Ela não busca material atualizado pela rede como parte da verificação. Renovar o material de LTV é uma operação separada e deliberada.

Modelo de ameaças

Evite tratar “dados de LTV presentes” como “assinatura válida indefinidamente”. Dados presentes são um recurso. Sua suficiência depende da política do verificador, de o material cobrir toda a cadeia e de ele permanecer não expirado. A biblioteca não pode garantir nenhum desses pontos para uma data futura.

Comportamento no modo FIPS

A verificação analisa o material incorporado e não realiza nenhuma operação de assinatura. Uma política em modo Federal Information Processing Standards (FIPS) no host não altera o comportamento da verificação.

Conformidade

Declaração	Cláusula	reference_id
O LTV adiciona material de validação (DSS/VRI) além dos níveis básicos	ETSI EN 319 142-2 §6.3.1
B-T ≠ B-LT ≠ B-LTA; os níveis são distintos	ETSI EN 319 142-2 §5.5
A presença de um document security store é estrutural, não uma prova de validade	ISO 32000-2 §12.8

O suporte a uma verificação de integridade de LTV não certifica que uma assinatura é legalmente válida agora ou no futuro. Um validador independente faz essa determinação segundo sua própria política.

Contexto comercial

A validação de longo prazo (PAdES B-LT / B-LTA) é um recurso exclusivo do Enterprise. A ferramenta de verificação de integridade de LTV é registrada apenas quando o nextpdf/premium está instalado junto com o servidor. O PAdES B-T é o nível mais alto disponível fora do Enterprise e não inclui DSS / VRI nem um carimbo de tempo de arquivamento.

Especificidades do Connect

Disponibilidade de transporte (MCP / REST / gRPC)

Invoque a ferramenta da mesma maneira por meio do MCP tools/call, do endpoint de ferramentas REST e do serviço gRPC, usando o executor de ferramentas compartilhado.

Nível de risco HITL

A verificação é somente leitura e não é approval_required por padrão. Uma substituição do operador só pode elevar seu nível de risco. Consulte /connect/hitl-risk-tiers/.

Envelope JSON do gate de confirmação

A ferramenta não aciona o gate, a menos que uma substituição do operador o eleve para approval_required. O contrato do envelope e do token de uso único está descrito em /connect/hitl-risk-tiers/.

Veja também

• /cookbook/connect/forensic-analysis/ — análise do histórico de revisões de documentos assinados.
• /cookbook/connect/compliance-check/ — validação de um padrão nomeado.
• /connect/tool-catalog/ — cálculo do conjunto de ferramentas por nível.
• /connect/hitl-risk-tiers/ — o modelo de risco e o gate.