Integração HSM
★ Pro — Commercial License Required
A integração HSM requer o pacote Pro e um dispositivo de hardware compatível com PKCS#11.
O TCPDF-Next Pro suporta assinatura com Hardware Security Modules (HSMs), smart cards e tokens USB via PKCS#11. As chaves privadas nunca deixam o dispositivo de hardware.
Classes HSM
| Classe | Finalidade |
|---|---|
HsmSigner | Implementa SignerInterface para assinatura baseada em HSM |
Pkcs11Bridge | Comunicação de baixo nível com a biblioteca PKCS#11 |
Pkcs11Bridge
Gerencia a conexão com uma biblioteca PKCS#11.
php
use Yeeefang\TcpdfNext\Pro\Security\Hsm\Pkcs11Bridge;
$bridge = new Pkcs11Bridge(
libraryPath: '/usr/lib/softhsm/libsofthsm2.so',
slotId: 0,
pin: $_ENV['PKCS11_PIN'], // never hardcode PINs
);
// List available keys
$keys = $bridge->listPrivateKeys();
foreach ($keys as $key) {
echo $key->label(); // "signing-key-2026"
echo $key->type(); // 'RSA', 'EC'
}HsmSigner
Substituição direta para assinatura baseada em software no workflow do DigitalSigner.
php
use Yeeefang\TcpdfNext\Core\Document;
use Yeeefang\TcpdfNext\Pro\Security\Hsm\{HsmSigner, Pkcs11Bridge};
use Yeeefang\TcpdfNext\Pro\Security\Signature\DigitalSigner;
use Yeeefang\TcpdfNext\Pro\Security\Timestamp\TsaClient;
use Yeeefang\TcpdfNext\Contracts\Enums\SignatureLevel;
$pdf = Document::create()->addPage()->text('HSM-signed document.');
$bridge = new Pkcs11Bridge(
libraryPath: $_ENV['PKCS11_LIBRARY'],
slotId: (int) $_ENV['PKCS11_SLOT'],
pin: $_ENV['PKCS11_PIN'],
);
$hsm = new HsmSigner($bridge);
$hsm->selectKey(label: 'signing-key-2026');
$hsm->certificate('/certs/hsm-signing.pem');
$hsm->chain(['/certs/intermediate.pem', '/certs/root.pem']);
$signer = new DigitalSigner($hsm);
$signer->level(SignatureLevel::PAdES_B_LTA);
$signer->timestampAuthority(new TsaClient('https://tsa.example.com/timestamp'));
$signer->reason('Assinatura arquival de produção');
$signer->sign($pdf);
$pdf->save('/output/hsm-signed.pdf');HSMs Suportados
Qualquer dispositivo compatível com PKCS#11 funciona. Exemplos comuns:
| Dispositivo | Caminho da Biblioteca (típico) |
|---|---|
| SoftHSM 2 (testes) | /usr/lib/softhsm/libsofthsm2.so |
| Thales Luna | /usr/lib/libCryptoki2_64.so |
| AWS CloudHSM | /opt/cloudhsm/lib/libcloudhsm_pkcs11.so |
| YubiKey (PIV) | /usr/lib/libykcs11.so |
| SafeNet eToken | C:\Windows\System32\eTPKCS11.dll |
Algoritmos de Assinatura
php
$hsm->algorithm('sha256WithRSAEncryption'); // default
$hsm->algorithm('sha256WithRSAPSS'); // RSASSA-PSS
$hsm->algorithm('ecdsaWithSHA256'); // ECDSA P-256| Algoritmo | Notas |
|---|---|
| RSA PKCS#1 v1.5 (SHA-256/384/512) | Mais amplamente compatível |
| RSASSA-PSS (SHA-256) | Recomendado para novas implantações |
| ECDSA (P-256 / P-384) | Assinaturas menores e mais rápidas |
Testando com SoftHSM 2
bash
apt-get install softhsm2
softhsm2-util --init-token --slot 0 --label "test-token" \
--so-pin 87654321 --pin 12345678
pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so \
--login --pin 12345678 \
--keypairgen --key-type rsa:2048 --label "signing-key-2026" --id 01Tratamento de Erros
php
use Yeeefang\TcpdfNext\Pro\Security\Hsm\HsmException;
try {
$bridge->openSession();
} catch (HsmException $e) {
echo $e->getMessage(); // "PKCS#11 error: CKR_PIN_INCORRECT"
}| Código PKCS#11 | Significado |
|---|---|
CKR_PIN_INCORRECT | PIN incorreto |
CKR_PIN_LOCKED | PIN bloqueado após muitas tentativas |
CKR_TOKEN_NOT_PRESENT | Dispositivo HSM não conectado |
CKR_KEY_HANDLE_INVALID | Chave não encontrada no token |
Próximos Passos
- Assinaturas Digitais PAdES -- Pipeline completo de assinaturas de B-B a B-LTA.
- Long-Term Validation -- DSS, OCSP, CRL e timestamps de arquivamento.
- Visão Geral do Pacote Pro -- Listagem completa de módulos e informações de licença.