Интеграция HSM
★ Pro — Commercial License Required
Интеграция HSM требует пакет Pro и устройство, совместимое с PKCS#11.
TCPDF-Next Pro поддерживает подписание с помощью аппаратных модулей безопасности (HSM), смарт-карт и USB-токенов через PKCS#11. Приватные ключи никогда не покидают аппаратное устройство.
Классы HSM
| Класс | Назначение |
|---|---|
HsmSigner | Реализует SignerInterface для подписания на базе HSM |
Pkcs11Bridge | Низкоуровневая коммуникация с библиотекой PKCS#11 |
Pkcs11Bridge
Управляет подключением к библиотеке PKCS#11.
php
use Yeeefang\TcpdfNext\Pro\Security\Hsm\Pkcs11Bridge;
$bridge = new Pkcs11Bridge(
libraryPath: '/usr/lib/softhsm/libsofthsm2.so',
slotId: 0,
pin: $_ENV['PKCS11_PIN'], // never hardcode PINs
);
// List available keys
$keys = $bridge->listPrivateKeys();
foreach ($keys as $key) {
echo $key->label(); // "signing-key-2026"
echo $key->type(); // 'RSA', 'EC'
}HsmSigner
Прямая замена программного подписания в рабочем процессе DigitalSigner.
php
use Yeeefang\TcpdfNext\Core\Document;
use Yeeefang\TcpdfNext\Pro\Security\Hsm\{HsmSigner, Pkcs11Bridge};
use Yeeefang\TcpdfNext\Pro\Security\Signature\DigitalSigner;
use Yeeefang\TcpdfNext\Pro\Security\Timestamp\TsaClient;
use Yeeefang\TcpdfNext\Contracts\Enums\SignatureLevel;
$pdf = Document::create()->addPage()->text('HSM-signed document.');
$bridge = new Pkcs11Bridge(
libraryPath: $_ENV['PKCS11_LIBRARY'],
slotId: (int) $_ENV['PKCS11_SLOT'],
pin: $_ENV['PKCS11_PIN'],
);
$hsm = new HsmSigner($bridge);
$hsm->selectKey(label: 'signing-key-2026');
$hsm->certificate('/certs/hsm-signing.pem');
$hsm->chain(['/certs/intermediate.pem', '/certs/root.pem']);
$signer = new DigitalSigner($hsm);
$signer->level(SignatureLevel::PAdES_B_LTA);
$signer->timestampAuthority(new TsaClient('https://tsa.example.com/timestamp'));
$signer->reason('Производственная архивная подпись');
$signer->sign($pdf);
$pdf->save('/output/hsm-signed.pdf');Поддерживаемые HSM
Работает любое устройство, совместимое с PKCS#11. Типичные примеры:
| Устройство | Путь к библиотеке (типичный) |
|---|---|
| SoftHSM 2 (тестирование) | /usr/lib/softhsm/libsofthsm2.so |
| Thales Luna | /usr/lib/libCryptoki2_64.so |
| AWS CloudHSM | /opt/cloudhsm/lib/libcloudhsm_pkcs11.so |
| YubiKey (PIV) | /usr/lib/libykcs11.so |
| SafeNet eToken | C:\Windows\System32\eTPKCS11.dll |
Алгоритмы подписей
php
$hsm->algorithm('sha256WithRSAEncryption'); // default
$hsm->algorithm('sha256WithRSAPSS'); // RSASSA-PSS
$hsm->algorithm('ecdsaWithSHA256'); // ECDSA P-256| Алгоритм | Примечания |
|---|---|
| RSA PKCS#1 v1.5 (SHA-256/384/512) | Наиболее широко совместим |
| RSASSA-PSS (SHA-256) | Рекомендуется для новых внедрений |
| ECDSA (P-256 / P-384) | Меньший размер, более быстрые подписи |
Тестирование с SoftHSM 2
bash
apt-get install softhsm2
softhsm2-util --init-token --slot 0 --label "test-token" \
--so-pin 87654321 --pin 12345678
pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so \
--login --pin 12345678 \
--keypairgen --key-type rsa:2048 --label "signing-key-2026" --id 01Обработка ошибок
php
use Yeeefang\TcpdfNext\Pro\Security\Hsm\HsmException;
try {
$bridge->openSession();
} catch (HsmException $e) {
echo $e->getMessage(); // "PKCS#11 error: CKR_PIN_INCORRECT"
}| Код PKCS#11 | Значение |
|---|---|
CKR_PIN_INCORRECT | Неверный PIN |
CKR_PIN_LOCKED | PIN заблокирован после слишком многих попыток |
CKR_TOKEN_NOT_PRESENT | Устройство HSM не подключено |
CKR_KEY_HANDLE_INVALID | Ключ не найден на токене |
Далее
- Цифровые подписи PAdES -- Полный конвейер подписей от B-B до B-LTA.
- Долгосрочная валидация -- DSS, OCSP, CRL и архивные метки времени.
- Обзор пакета Pro -- Полный перечень модулей и информация о лицензии.