Криминалистический анализ подписанного PDF через Connect

Криминалистический анализ подписанного PDF через Connect

Кратко

Используйте через Connect инструмент криминалистического анализа, чтобы восстановить историю редакций подписанного документа и сообщить об изменениях содержимого за пределами подписанных диапазонов байтов. Этот инструмент относится к уровню Enterprise: он обнаруживается проверкой class_exists() и регистрируется только тогда, когда nextpdf/premium установлен вместе с сервером.

Инструмент сообщает о наблюдаемых признаках: редакциях, диапазонах байтов, покрытии подписи и эвристических индикаторах теневых атак с оценками достоверности. Вердикт “чисто” означает, что инструмент не обнаружил изменений в рамках выполненного анализа. Это не гарантия того, что документ не был подделан. Используйте полученные данные в расследовании; сами по себе они не удостоверяют целостность документа.

Установка

composer require nextpdf/server

Убедитесь с помощью вызова tools/list, что криминалистический инструмент Enterprise доступен. См. /connect/tool-catalog/.

Концептуальный обзор

Подпись покрывает диапазон байтов. Изменение, внесённое после подписания, можно обнаружить, сопоставив документ с этим диапазоном (ISO 32000-2 §12.8). Инкрементные обновления добавляют редакции, и подпись не покрывает содержимое, добавленное после неё (ISO 32000-2 §12.8). Цепочку редакций можно восстановить из секций перекрёстных ссылок (ISO 32000-2 §7.5). Инструмент анализирует эти структуры, чтобы построить хронологию и отметить содержимое, изменённое за пределами покрытия подписи.

Поверхность API

Сверяйте имена инструментов с актуальным реестром с помощью tools/list. Эталонный каталог — /connect/tool-catalog/. В этом рецепте количество инструментов не дублируется.

Пример кода — быстрый старт

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "forensic_analyze",
    "arguments": { "document_id": "<id>" }
  }
}

Пример кода — продакшен

curl -sS -X POST https://connect.example.com/v1/tools/forensic_analyze \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/evidence/disputed-contract.pdf"}' \
  -o /tmp/forensic.json -w '%{http_code}' > /tmp/forensic-status || {
    echo "transport failure invoking forensic_analyze" >&2; exit 1; }

Ответ включает хронологию редакций, покрытие подписи для каждой редакции, список unsigned_modifications со смещениями в байтах и серьёзностью, эвристические индикаторы теневых атак с оценками достоверности, а также пробелы в покрытии. Рассматривайте вердикт как доказательство, требующее интерпретации, а не как окончательное заключение.

Граничные случаи и подводные камни

• В документе нет подписей. Инструмент возвращает ошибку о том, что подписей нет. Для неподписанного документа используйте проверку на соответствие стандартам.
• Зашифрованный документ. Предоставьте учётные данные для расшифровки, иначе вызов завершится ошибкой, а частичный анализ не будет выполнен.
• Некорректная перекрёстная ссылка. Для сильно повреждённого файла восстановление может не удаться. Восстановите PDF, прежде чем отправлять его повторно.
• Инструмент отсутствует. Без nextpdf/premium криминалистический инструмент Enterprise не регистрируется, и вызов завершается ошибкой о неизвестном инструменте.

Производительность

Бюджет во front matter — документационное ограничение. Очень большие документы могут превысить ограничение инструмента на размер анализа. В этом случае инструмент возвращает ошибку о превышении размера, а не усекает анализ без уведомления.

Замечания по безопасности

Индикаторы теневых атак эвристические и включают оценки достоверности. Они отмечают закономерности, но не доказывают намерение. Вердикт “чисто” означает, что инструмент не обнаружил изменений в рамках выполненного анализа. Это не гарантия защиты от подделки. Не записывайте путь к документу или полный отчёт в журналы того уровня, который передаётся вовне.

Соответствие

Утверждение	Пункт	reference_id (идентификатор ссылки)
Изменение после подписания можно обнаружить относительно подписанного диапазона байтов	ISO 32000-2 §12.8
Подпись не покрывает содержимое, добавленное более поздним инкрементным обновлением	ISO 32000-2 §12.8
Цепочку редакций можно восстановить из секций перекрёстных ссылок	ISO 32000-2 §7.5

Поддержка криминалистического анализа не удостоверяет целостность документа. Интерпретация доказательств остаётся задачей независимого эксперта.

Коммерческий контекст

Инструмент криминалистического анализа относится к уровню Enterprise и регистрируется, только когда nextpdf/premium установлен вместе с сервером.

Особенности Connect

Доступность транспортов (MCP / REST / gRPC)

Вызывайте инструмент одинаковым образом через Model Context Protocol (MCP) tools/call, конечную точку инструмента Representational State Transfer (REST) и сервис gRPC: все они используют общий исполнитель инструментов.

Уровень риска HITL

Анализ выполняется только для чтения и по умолчанию не требует approval_required. Переопределение оператором может только повысить уровень риска. Подробнее см. /connect/hitl-risk-tiers/.

JSON-конверт шлюза подтверждения

Инструмент не активирует шлюз, если только переопределение оператором не повысит уровень до approval_required. Контракт конверта и одноразового токена описан в /connect/hitl-risk-tiers/.

См. также

• /cookbook/connect/compliance-check/ — проверка на соответствие именованным стандартам.
• /cookbook/connect/ltv-health-check/ — проверка материалов долгосрочной валидации.
• /connect/tool-catalog/ — вычисление набора инструментов для каждого уровня.
• /connect/hitl-risk-tiers/ — обзор модели риска и шлюза.