İmza: PAdES B-LT / B-LTA, DSS ve belge zaman damgaları

Bir bakışta

NextPDF Enterprise, Core Cryptographic Message Syntax (CMS) imzasının üzerine uzun vadeli bir üretici ekler: Document Security Store (DSS), imza başına doğrulamayla ilgili bilgiler (VRI) ve belge zaman damgaları. Bu yapılar, bir PDF Advanced Electronic Signatures (PAdES) temel imzasını B-B düzeyinden B-LT düzeyine ve ardından B-LTA düzeyine yükseltir. Bu sayfa, söz konusu davranışı açıklar; üreticinin neyi yazdığını, neye karar vermediğini ve Pro sınırının nerede başladığını belirtir.

Kurulum

composer require nextpdf/enterprise

nextpdf/enterprise, nextpdf/core ve nextpdf/pro paketlerine bağımlıdır. Paketi Private Packagist’te NextPDF lisans kimlik bilgilerinizle çözümleyin.

Kavramsal genel bakış

PAdES temel imzasının dört düzeyi vardır. Her düzey bir öncekine materyal ekler. B-B, imzalı özniteliklere sahip bir CMS imzasıdır. B-T, imza değeri üzerine güvenilir bir RFC 3161 zaman damgası ekler. B-LT, imzalama sertifikasının süresi dolduktan sonra doğrulayıcının ihtiyaç duyduğu sertifikaları, Online Certificate Status Protocol (OCSP) yanıtlarını ve sertifika iptal listelerini (CRL) taşıyan bir DSS ekler. B-LTA, DSS dahil olmak üzere belgenin tüm durumu üzerine bir belge zaman damgası ekler; böylece doğrulama materyali zamana sabitlenmiş kalır.

Core, CMS SignedData yapısını oluşturur ve DER ile kodlanmış biçimde imza sözlüğündeki Contents girişinde saklar — ISO 32000-2 §12.8.1. Uzun vadeli doğrulama iki sözlük türü kullanır: bir belge güvenlik deposu ve bir belge zaman damgası sözlüğü — ISO 32000-2 §12.8. Enterprise üreticisi, sertifika, OCSP ve CRL materyalini tutan DSS yapısını — ISO 32000-2 §12.8.4.3 — ve B-LTA için belge zaman damgası sözlüğünü — ISO 32000-2 §12.8.5 — yazar. ETSI EN 319 142-2 de aynı uzun vadeli yapıyı açıklar: uzun vadeli imzalar için DSS girişleri ve belge zaman damgaları — §5.5 — imza işleyicisi tarafından desteklenir — §6.3.3.3.

Üretici, zincirdeki her sertifika için iptal materyali toplar. Önce bir OCSP yanıtlayıcısına sorar; bir OCSP yanıtı good, revoked veya unknown bildirir — RFC 6960 §2.2 — ve thisUpdate ile nextUpdate alanları durum tazeliğini sınırlar — RFC 6960 §4.2. OCSP kullanılamıyorsa CRL’ye geri döner. Üretici, yol doğrulama girdilerini izleyerek sertifika zincirini imzalayıcıdan bir güven çıpasına doğru izler — RFC 5280 §6.1.

B-LTA belge zaman damgası, bir Time-Stamping Authority (TSA) ile yapılan RFC 3161 alışverişidir. İstek, bir Time Stamp Information (TSTInfo) değeri döndürür — RFC 3161 §2.4.1 — bu değerin genTime alanı, belirtecin oluşturulduğu Coordinated Universal Time (UTC) anıdır — RFC 3161 §2.4.2. Belirteç, bir /DocTimeStamp sözlüğüne gömülür; bu sözlük, tüm dosyayı kapsayan /SubFilter /ETSI.RFC3161 içerir.

Doğrulayıcı, yapılandırılmış güven çıpalarını ve iptal politikasını kullanarak üretilen bir imzanın doğrulanıp doğrulanmadığına karar verir. Üretici materyali gömer; güvenilir bir sonuç ileri sürmez. Bu sınır, aşağıda önem taşıdığı yerlerde yeniden belirtilmiştir.

Sıra önem taşır: DSS, B-LTA belge zaman damgasından önce yazılmalıdır; çünkü zaman damgasının, doğrulama materyalini zaten içeren belge durumunu kapsaması gerekir. Aşağıdaki akış, bu üretim sırasını gösterir.

Diagram

API yüzeyi

Enterprise uzun vadeli üreticisini Core sözleşmesi aracılığıyla kullanırsınız. Üretim kodu, somut Enterprise uygulama türüne değil, sözleşmeye bağımlı olur.

Tür	Çeşit	Rol	Kararlılık	Beri
SignerInterface	arayüz (NextPDF\Contracts)	Çağıranlar için Core imzalama sözleşmesi	kararlı	1.0.0
SignatureLevel	enum (NextPDF\Security\Signature)	PAdES düzey seçici: B-B, B-T, B-LT, B-LTA	kararlı	1.0.0
LtvManagerInterface	arayüz (NextPDF\Contracts)	Çalışma zamanında çözümlenen uzun vadeli doğrulama üreticisi sözleşmesi	kararlı	1.0.0
TsaClientInterface	arayüz	Üreticinin belge zaman damgaları için çağırdığı RFC 3161 TSA istemcisi	kararlı	1.0.0

SignatureLevel::requiresDss(), B-LT ve B-LTA için true değerini döndürür; SignatureLevel::requiresDocumentTimestamp() yalnızca B-LTA için true değerini döndürür. Enterprise uzun vadeli üreticisi kurulu değilse Core SignatureLevel::isAvailableInEnvironment(), B-LT ve B-LTA için false değerini döndürür; Core düzenleyicisi de bunun ardından fail-closed olur. Somut Enterprise üretici sınıfları dahilîdir ve genel API’nin parçası değildir; LtvManagerInterface ve enum’a bağımlı olun.

Kod örneği — hızlı başlangıç

examples/contracts/pades-blt-quickstart.php

<?php

declare(strict_types=1);

require_once __DIR__ . '/../../vendor/autoload.php';

use NextPDF\Security\Signature\SignatureLevel;

/**
 * Select the PAdES level for a long-term signature.
 *
 * B-LT embeds a DSS. B-LTA also adds a document timestamp.
 * Both require the nextpdf/enterprise long-term producer at runtime.
 *
 * @return SignatureLevel The requested PAdES baseline level.
 */
function longTermLevel(): SignatureLevel
{
    return SignatureLevel::PAdES_B_LTA;
}

İmzalama yapılandırması düzeyi içerir. Core düzenleyicisi, uzun vadeli üreticiyi çalışma zamanında LtvManagerInterface aracılığıyla çözümler; böylece uygulama kodu Enterprise türüne referans vermez.

Kod örneği — üretim

examples/contracts/pades-blt-production.php

<?php

declare(strict_types=1);

require_once __DIR__ . '/../../vendor/autoload.php';

use NextPDF\Contracts\LtvManagerInterface;
use NextPDF\Contracts\SignerInterface;
use NextPDF\Exception\NextPdfException;
use Psr\Log\LoggerInterface;

final readonly class LongTermSigner
{
    public function __construct(
        private SignerInterface $signer,
        private LtvManagerInterface $ltv,
        private LoggerInterface $logger,
    ) {}

    /**
     * Sign, then embed the DSS and the B-LTA document timestamp.
     *
     * The order matters: the DSS is written first, then the document
     * timestamp is taken over the document state that already includes it.
     *
     * @param string $byteRange The PDF byte range to sign.
     *
     * @throws NextPdfException When revocation material is missing under the
     *                          fail-closed enforcement default, or when no TSA
     *                          is configured for B-LTA.
     */
    public function sign(string $byteRange): string
    {
        try {
            $contents = $this->signer->sign($byteRange)->toHex();
            // The orchestrator drives DSS collection and the document
            // timestamp through the resolved LtvManagerInterface; revocation
            // freshness and TSA reachability are operational inputs.
            return $contents;
        } catch (NextPdfException $e) {
            $this->logger->error('long-term signing failed', ['reason' => $e->getMessage()]);
            throw $e;
        }
    }
}

DSS, belge zaman damgasından önce yazılmalıdır. B-LTA zaman damgası, DSS dahil tüm dosyayı kapsar; bu da doğrulama materyalinin kendisini zamana sabitler.

Uç durumlar ve tuzaklar

• Eksik iptal materyali varsayılan olarak fail-closed olur. Herhangi bir uygulama modu ayarlanmadığında üretici, kök olmayan herhangi bir sertifika için eksik bir OCSP yanıtını ve eksik bir CRL değerini bir uyarı değil, bir hata olarak ele alır. Bu, uzun vadeli bir düzey ileri süren bir belgenin DSS içinde hiçbir iptal materyali olmadan yazılmasını önler. İzin veren iş akışı isteğe bağlıdır ve yalnızca uyarı verir.
• B-LTA bir TSA gerektirir. Bir belge zaman damgası, bir RFC 3161 gidiş-dönüşüdür. Yapılandırılmış bir TSA istemcisi yokken B-LTA adımı, sessizce B-LT üretmek yerine bir hata yükseltir.
• Sıra önem taşır. Belge zaman damgasını yalnızca DSS yazıldıktan sonra ekleyin. DSS yazılmadan önce alınan bir zaman damgası, doğrulama materyalini kapsamaz.
• Hava boşluklu çalıştırmalar. Katı çevrimdışı bir ağ politikası altında üretici hiçbir OCSP/CRL getirme işlemi ve hiçbir TSA isteği yapmaz; yalnızca DSS içine zaten gömülü olan materyali kullanır. Taze bir TSA belirteci gerektiren B-LTA, katı çevrimdışı durumda erişilebilir değildir.
• VRI isteğe bağlıdır. İmza başına VRI varsayılan olarak yazılmaz. Bazı doğrulayıcılar, VRI mevcut olduğunda uzun vadeli durumu daha iyi gösterir; hedef doğrulayıcının buna ihtiyacı olduğunda etkinleştirin.

Performans

DSS birleştirme maliyeti, zincir uzunluğuna ve getirilen iptal yanıtlarının sayısına göre ölçeklenir. Her OCSP veya CRL getirme işlemi bir ağ gidiş-dönüşüdür; önceden toplanmış veya önbelleğe alınmış materyal bu gidiş-dönüşleri ortadan kaldırır. Bir B-LTA çalıştırması, belge zaman damgası için bir TSA gidiş-dönüşü ekler. 1500 ms duvar bütçesi, sıcak OCSP/CRL ve TSA bağlantılarıyla tek bir uzun vadeli imzayı kapsar; soğuk veya yavaş yanıtlayıcılar duvar süresinde baskın olur. Yeniden üretilebilirlik profili structural şeklindedir: zaman damgaları imzalama ve damgalama anlarını gömer; böylece iki çalıştırmanın belge yapısı özdeş olsa bile bu baytlar farklılaşır.

Güvenlik notları

• Güven, doğrulayıcının kararıdır. Üretici sertifikaları, OCSP yanıtlarını ve CRL’leri gömer. İmzanın doğrulanıp doğrulanmadığı; doğrulayıcıya, güven çıpalarına ve iptal tazeliği politikasına bağlıdır. NextPDF yerleşik bir güven listesi içermez.
• İptal tazeliği zaman sınırlıdır. OCSP thisUpdate/nextUpdate ve CRL geçerlilik pencereleri, gömülü materyalin ne kadar süre kullanışlı kaldığını sınırlar. Arşiv döngüsü, zaman damgası sertifikasının süresi dolmadan önce yeniden damgalar; bunu zamanında işletmekten siz sorumlusunuz.
• Fail-closed varsayılanı. Katı iptal uygulaması varsayılanı, uzun vadeli bir iddianın onu destekleyen materyal olmadan yapılmasını önler.
• Şu sayfalara bakın: Enterprise tehdit modeli bölümü ve Arşiv: DSS, VRI, LTV sağlığı.

Veri yerleşimi ve PII azaltmaları

OCSP ve CRL getirme işlemleri, her sertifikada adı geçen yanıtlayıcılarla iletişim kurar; bu uç noktalar ve TSA, istek meta verilerini görür. Veri yerleşimi kısıtlaması olan bir dağıtımda iptal materyalini önceden toplayın ve katı çevrimdışı politika altında çalıştırın; böylece imzalama sırasında hiçbir yanıtlayıcı veya TSA ile iletişim kurulmaz. Sertifikalar özne kimliği taşır. Üretici, doğrulama için gerekli sertifikaları gömer ve zincirin ötesinde kimlik eklemez; sağladığınız bir sertifikadan özne alanlarını ayıklamaz.

Güvenli telemetri ve günlük temizleme

Üretici tanılamaları düzeyi, zincirdeki konumu ve eksik materyal koşulunu raporlar. Özel anahtarları veya tam sertifika gövdelerini günlüğe kaydetmez. Bir PSR-3 günlükleyicisi bağladığınızda imzalama akışları için tanılama günlüklerini üretim dışı bir ayrıntı düzeyinde tutun ve dahilî altyapıyı açığa çıkarıyorlarsa yanıtlayıcı URL’lerini temizleyin. Gömülü OCSP/CRL baytlarını günlük içeriği değil, belge içeriği olarak ele alın.

FIPS modu davranışı

Federal Information Processing Standards (FIPS) 140-3 kripto politikası profili, güvenlik modülüyle birlikte belgelenen bir Enterprise yeteneğidir. Uzun vadeli üretici, belge zaman damgası ve RFC 3161 alışverişi için kullanılan SHA-256 özetinin ötesinde kendine ait hiçbir kriptografik ilkel eklemez; imzalama ilkeli Core imzalayıcısına aittir. FIPS profili etkinken aynı DSS ve belge zaman damgası yapıları üretilir; kısıtlama, DSS yerleşimine değil, temel imzalama ve özet algoritmalarına uygulanır.

Tehdit modeli

Varlık	Saldırgan	Risk	Azaltma
DSS iptal materyali	Güncelliğini yitirmiş materyal kabulü	Bir doğrulayıcı süresi dolmuş iptal verilerine güvenir	OCSP/CRL tazelik alanları geçerliliği sınırlar; arşiv döngüsü süresi dolmadan önce yeniden damgalar
B-LTA belge zaman damgası	TSA ele geçirilmesi veya erişilemeyen TSA	Güvenilir zaman çıpası yok	Çağıranın seçtiği TSA; hiçbir TSA yapılandırılmadığında B-LTA fail-closed olur
Uzun vadeli iddia	Sessiz eksik materyal	İptal verisi olmayan bir “uzun vadeli” PDF	Fail-closed uygulama varsayılanı, uyarı yerine hata yükseltir
İmza doğrulaması	Yanlış yapılandırılmış doğrulayıcı güveni	Doğrulayıcının ileri sürmemesi gereken görünür geçerlilik	Üretici yalnızca materyal gömdüğünü belirtir; güven kararı doğrulayıcıya aittir

Uygunluk

İddia	Standart	Madde	reference_id
İmza değeri (veya zaman damgası belirteci) DER ile kodlanmış olarak /Contents içinde saklanır.	ISO 32000-2	§12.8.1
Uzun vadeli doğrulama bir DSS ve bir belge zaman damgası sözlüğü kullanır.	ISO 32000-2	§12.8
DSS, sertifikaları, OCSP yanıtlarını ve CRL’leri tutar.	ISO 32000-2	§12.8.4.3
Belge zaman damgası bir belge zaman damgası sözlüğü kullanır.	ISO 32000-2	§12.8.5
DSS girişleri ve belge zaman damgaları uzun vadeli imzaları destekler.	ETSI EN 319 142-2	§5.5
İmza işleyicisi DSS girişlerini ve belge zaman damgalarını destekler.	ETSI EN 319 142-2	§6.3.3.3
Bir zaman damgası belirteci, oluşturulduğu an olan bir UTC genTime taşır.	RFC 3161	§2.4.2
OCSP, thisUpdate/nextUpdate ile sınırlanmış şekilde good, revoked veya unknown bildirir.	RFC 6960	§2.2, §4.2	,

Tüm maddeler başka sözcüklerle ifade edilmiştir. NextPDF normatif metni yeniden üretmez; yetkili ifade için yayımlanmış standartlara başvurun. NextPDF hiçbir PAdES sertifikasyon iddiasında bulunmaz. Burada açıklanan yapılar, ETSI EN 319 142 içinde tanımlanan B-LT ve B-LTA düzeyleriyle hizalıdır; hiçbir uygunluk-test sonucu veya üçüncü taraf doğrulaması iddia edilmez. ETSI EN 319 142-1 temel-düzeyler bölümü, alıntılanan kanıt kümesinin dışındadır; bu nedenle bu sayfa, sertifikalı bir uygunluk düzeyini değil, üretilen yapıyı ve Pro/Enterprise sınırını belirtir. Alıntılanan ETSI kanıtı EN 319 142-2’dir; ISO ve RFC çıpaları, Core imzalama referansında olduğu gibi uzun vadeli ve zaman damgası iddialarını taşır.

Sürüm geçidi

NextPDF Core, B-B ve B-T PAdES temel düzeylerini üretir: Core, yazılım CMS imzalayıcısını ve RFC 3161 zaman damgası yolunu içerir; bu nedenle bir B-T (zaman damgalı) imza bir Core yeteneğidir ve Enterprise gerektirmez. NextPDF Pro da B-B ve B-T üretir: Pro, imza değeri üzerine signature-time-stamp imzasız özniteliğini eklemek için Core RFC 3161 yığını üzerine kuruludur (PadesBtTimestamper, fixture ile doğrulanmış). B-LT ve B-LTA düzeyleri — DSS, VRI ve belge zaman damgası üreticisi — bir Enterprise yeteneğidir ve Core veya Pro tarafından üretilmez. Bu, Pro güvenlik sayfasındaki yayımlanmış katman tablosuyla eşleşir: B-B ve B-T Core ve Pro tarafından üretilir, B-LT ve B-LTA ise yalnızca Enterprise tarafından üretilir. B-T üreticisi yapısaldır: alıntılanan RFC 3161 / RFC 5652 / ETSI EN 319 122-1 kanıtına göre RFC 3161 signature-time-stamp oluşturur; sertifikalı bir ETSI EN 319 142-1 uygunluk veya eIDAS-nitelikli bir iddia değildir. Yalnızca Pro’lu bir dağıtımda B-LT veya B-LTA istemek, eksik Enterprise bileşenini adlandıran bir mesajla fail-closed olur; çünkü Enterprise uzun vadeli üreticisi yokken SignatureLevel::isAvailableInEnvironment() false değerini döndürür.

PAdES düzeyi	Eklenenler	Üretici sürümü
B-B	İmzalı özniteliklere sahip CMS imzası	Core, Pro, Enterprise
B-T	İmza değeri üzerine RFC 3161 signature-time-stamp (yapısal; eIDAS-nitelikli değil)	Core, Pro, Enterprise
B-LT	Doğrulama materyaliyle birlikte Document Security Store	yalnızca Enterprise (nextpdf/enterprise)
B-LTA	Arşivsel geçerlilik için belge zaman damgaları	yalnızca Enterprise (nextpdf/enterprise)

Bu, kanonik düzey→katman matrisidir: B-B her sürümün ürettiği temel düzeydir; B-T (zaman damgalı) ayrıca Core ve Pro tarafından da üretilir (Pro, Core RFC 3161 yığını üzerine kuruludur); B-LT ve B-LTA ise yalnızca Enterprise’a özgüdür. B-T üreticisi yapısaldır; sertifikalı bir ETSI EN 319 142-1 uygunluk veya eIDAS-nitelikli bir iddia değildir.

Lisans özellik bayrağı

Uzun vadeli üretici, Enterprise sürümünün bir parçasıdır (license_feature_flag: enterprise). Çalışma zamanında Core sözleşmesi aracılığıyla çözümlenir; Pro’dan Enterprise’a yükselttiğinizde genel API değişmez.

Davranış sözleşmesi

• Core ve Pro’nun her ikisi de B-B ve B-T üretir (B-T, RFC 3161 signature-time-stamp ekler; Pro, Core RFC 3161 yığını üzerine kuruludur). B-LT ve B-LTA bir Enterprise sınırıdır; bunları nextpdf/enterprise olmadan istemek, adlandırılmış bir hatayla fail-closed olur.
• Üretici bir DSS (B-LT) ve DSS üzerine bir belge zaman damgası (B-LTA) yazar. Doğrulama materyalini gömer; güvenilir bir doğrulama sonucu ileri sürmez.
• Fail-closed iptal uygulaması varsayılanı, çağıran izin veren iş akışına geçmeyi seçmedikçe kök olmayan bir sertifika için iptal materyali eksik olduğunda bir hata yükseltir.
• B-LTA yapılandırılmış bir TSA gerektirir; hiçbiri yoksa B-LTA adımı, B-LT düzeyine düşmek yerine bir hata yükseltir.

NDA tarama durumu

Bu genel sayfa yalnızca dışarıdan gözlemlenebilir üretici davranışını açıklar. Hiçbir dahilî ad alanı yolu, hiçbir dahilî sınıf veya trait adı, hiçbir runbook dosya adı ve hiçbir dahilî bilet öneki içermez. Somut Enterprise uzun vadeli üretici türlerine yalnızca genel Core sözleşmesi (LtvManagerInterface, SignatureLevel) aracılığıyla referans verilir. Ayrıntılı DSS birleştirme ve arşiv döngüsü dahilîleri, bir gizlilik sözleşmesi (NDA) altında geçitli derinlemesine referansta yer alır.

Core yedeği

Yalnızca Core’lu bir dağıtımda yazılım imzalayıcısı, yerel bir anahtarla veya Core imzalama stratejisi sözleşmesi aracılığıyla sağlanan bir anahtarla PAdES B-B ve B-T üretir. Core, RFC 3161 zaman damgası yolunu içerir; bu nedenle B-T herhangi bir premium paket olmadan erişilebilir durumdadır. Core’un hiçbir DSS, VRI veya belge zaman damgası üreticisi yoktur; B-LT veya B-LTA istemek, adlandırılmış bir hatayla fail-closed olur. Güvenlik / İmzalama (Core) sayfasına bakın.

Pro yedeği

Yalnızca Pro’lu bir dağıtımda desteklenen imzalama yolu, Pro B-B temeli ve Pro B-T düzeyidir (Pro, signature-time-stamp imzasız özniteliğini eklemek için Core RFC 3161 yığınını oluşturur), ayrıca uzak ve bulut anahtar yönetim hizmeti (KMS) imzalama stratejileridir. Pro hiçbir DSS, VRI veya belge zaman damgası üretmez. Yalnızca Pro’lu bir dağıtımda B-LT veya B-LTA isteyen bir yapılandırma, eksik Enterprise bileşenini adlandıran bir mesajla fail-closed olur. Pro imzalama yüzeyi için Pro güvenliği sayfasına bakın.

Enterprise sınır notu

DSS, VRI ve belge zaman damgası üreticisi yalnızca davranış düzeyinde açıklanmıştır. Dahilî DSS birleştirme sıralama mantığı, imza başına VRI anahtarlama dahilîleri ve arşiv döngüsü zamanlama dahilîleri, genel yüzeyin kapsamı dışındadır ve burada yeniden üretilmez.

Dağıtım sınırı

NextPDF Enterprise doğrulama materyalini gömer; çağıranın sağladığı OCSP/CRL yanıtlayıcıları ve bir RFC 3161 TSA ile bütünleşir. Bu yanıtlayıcıları veya TSA’yı kendisi işletmez, barındırmaz ya da kullanılabilirliğini garanti etmez. Uzun vadeli geçerlilik; yanıtlayıcılara, TSA’ya, arşiv döngüsü zamanlamasına ve operatöre bağlıdır — yalnızca NextPDF Enterprise uygulamasına değil. Operatör; TSA seçiminden ve erişilebilirliğinden, iptal yanıtlayıcı erişiminden veya önceden toplanmış materyalden, ağ politikasından ve her zaman damgası sertifikasının süresi dolmadan önce arşiv döngüsünü çalıştırmaktan sorumludur.

Hukuki uygunluk sınırı

Bu sayfa export_control_class: legal-review-required olarak işaretlenmiştir. Kriptografik imzalama ve uzun vadeli doğrulamayla ilgilidir. publish bayrağı ayarlanmadan önce hukuki onay gereklidir. ETSI EN 319 142 içinde tanımlanan B-LT ve B-LTA yapılarıyla hizalanma, hukuki bir görüş veya sertifikasyon değil, yapısal bir beyandır. NextPDF hiçbir PAdES sertifikasyon iddiasında bulunmaz. Yasal yükümlülükleriniz için uygunluk ve hukuk danışmanlarınıza başvurun.

Ayrıca bakınız

• Güvenlik / İmzalama (Core) — CMS, RFC 3161, RFC 5280 yol doğrulama, OCSP/CRL.
• Pro güvenliği — B-B temeli ve Enterprise sınırı.
• Arşiv: DSS, VRI, LTV sağlığı — uzun vadeli arşivleme ve LTV sağlığı.
• İmza doğrulaması — doğrulama tarafı: kriptografik CMS / zaman damgası doğrulaması, genTime anındaki TSA ve arşiv zinciri doğrulaması.
• PAdES temel eşlemesi — sürümler genelinde B-B, B-T, B-LT, B-LTA.
• PAdES · DSS · VRI · LTV — sözlük terimleri.