Zaheslovat PDF
online.

Nastavit heslo na PDF

Důvody zamknout PDF se obvykle točí kolem rozhodnutí, kdo ho smí otevřít. Podepsaná smlouva jde e-mailem řetězcem, ve kterém je něčí soukromý telefon — kdo zprávu později omylem přepošle dál, nemá moct soubor přečíst. Zdravotní záznam musí opustit kliniku na flashce — pokud se ztratí, soubor má být pro nálezce nečitelný. Materiály pro představenstvo s neveřejnými čísly se sdílejí se třemi externími poradci — otevřít je mají moct jen tito tři, i kdyby soubor později omylem doputoval do širšího vlákna. Úkol je tu malý a předvídatelný: vzít PDF a vyžadovat heslo dřív, než ho někdo otevře.

Co dostanete zpátky, je skutečně šifrované PDF — ne obal «jen ke čtení». Každý prohlížeč (Adobe Reader, Náhled na macOS, vestavěné v Chrome a Edge, jakákoli mobilní čtečka) si vyžádá heslo, než ukáže byť jednu stránku. Bez hesla je soubor nečitelnými bajty.

Jak silný je zámek

Tři varianty síly:

• AES-256 (výchozí). Moderní, doporučený. Aktuální standard šifrování PDF, používán Acrobatem v každém presetu «high security». Bez hesla prakticky nezlomitelný — brutalní síla silného hesla proti AES-256 není uskutečnitelný útok na spotřebitelském hardwaru. Volte ho, pokud nemáte konkrétní důvod nekompatibility.
• AES-128. Starší, ale stále silný; definovaný v PDF 1.7. Použijte jen pokud je vaše čtečka starší než asi 2012 a o AES-256 zakopne.
• RC4 40-bit. Zděděný; kryptograficky slabý — známé útoky obnoví soubor v minutách. Použijte jen při práci s integrací (průmyslový skener, velmi starý archivní systém), která to výslovně vyžaduje. Ne pro skutečnou důvěrnost.

Síla šifrování je součást formátu souboru. Čtečka, která neumí AES-256, soubor AES-256 nepřečte vůbec — zobrazí «toto PDF nelze otevřít». Proto úrovně existují: ne proto, že by některé byly «bezpečnější pro důležité dokumenty» a jiné «méně», ale protože kompatibilita se škáluje jinak.

Jak heslo funguje

Tento nástroj používá stejné heslo jak pro open password (potřebné k zobrazení souboru), tak pro owner password (potřebné k pozdějšímu odstranění šifrování). Záměrné zjednodušení — držíme UI s jedním polem. PDF technicky podporuje hesla na dvou úrovních, kde zobrazení vyžaduje jedno a editace druhé, ale v praxi téměř všechna reálně zamčená PDF používají jediné heslo, a druhá úroveň přináší víc zmatku, než kolik vyřeší.

Oprávnění ve výsledném souboru jsou nastavena dokořán: kdo umí otevřít, umí i tisknout, kopírovat text, vyplňovat formuláře a měnit. Zámek je o vstupu, ne o omezeních pro toho, kdo už je s heslem uvnitř. PDF příznaky oprávnění (no-printing, no-copying atd.) jsou měkká kontrola — prohlížeče je ctí jen z konvence a každý odemykací nástroj je sundá v sekundách. Nepředstíráme, že je to skutečná kontrola, takže je v tomhle toku neuvádíme.

Volba hesla

Stejná rada jako pro každé heslo chránící skutečná data:

• Délka váží víc než složitost. 16znaková fráze ze běžných slov («správně kůň baterie sponka») je obtížnější brute-forcovat než 9znakový mix symbolů. Mířte na 4+ slova nebo 16+ znaků.
• Nepoužívejte heslo odjinud. Pokud bude e-mail příjemce kompromitován, útočník, který najde váš soubor a vaše ostatní hesla na jednom místě, je vyzkouší nejdřív na tomto PDF.
• Heslo posílejte jiným kanálem než soubor. Soubor e-mailem, heslo přes signal/SMS/telefon. Pokud bude e-mail odposlechnut, heslo ne.
• Uložte do správce hesel. Když zapomenete, není obnova — soubor je trvale nečitelný. PDF šifrování nemá cestu «reset přes e-mail».

Jak vypadá šifrovaný soubor

Obsah původního PDF — text, obrázky, pole formulářů, anotace, záložky — je všechen šifrováním zachován. Když příjemce otevře soubor heslem, vypadá přesně jako nešifrovaný zdroj: stejné fonty, sazba, vybíratelný text. Nic se nerasterizuje ani neskládá znovu.

Velikost souboru je zhruba stejná jako u zdroje, případně o pár kilobajtů větší kvůli encryption dictionary. Šifrovaná PDF nelze upravovat většinou jiných nástrojů bez předchozího odemčení — o to jde. K pozdější úpravě prožeňte soubor přes unlock-pdf stejným heslem.

Co přežije a co ne

• Veškerý obsah stránek přežije. Text, obrázky, fonty, sazba, anotace, pole formulářů, záložky — zachováno přesně.
• Stávající digitální podpisy se zneplatní. Šifrování mění bajty souboru; každý vložený podpis ztratí svou vazbu. Pokud má být podepsaný dokument zašifrován, příjemce by měl ověřit s původní podepsanou kopií.
• Stávající šifrování se nahradí. Pokud zdrojové PDF už bylo šifrováno (známým heslem), nástroj ho odstraní a nasadí nové šifrování s vaším heslem. K tomu se zdroj musí dát otevřít — šifrovaná PDF, jejichž heslo se nezná, nelze znovu zašifrovat.
• Původní soubor zůstává nedotčen. Stahujete nový uzamčený soubor; zdroj na disku se nemění.

Když něco vypadá divně

• «Password is required». Pole hesla bylo prázdné. Napište heslo a zkuste znovu.
• Příjemce říká «toto PDF nejde otevřít». Pravděpodobně stará čtečka, která neumí AES-256. Spusťte znovu s AES-128 (nebo RC4, pokud jde o opravdu starý průmyslový systém).
• «Encrypted PDF can't be modified» jinde. Funguje, jak má. Nejdřív prožeňte přes unlock-pdf s heslem, upravte a pak znovu chraňte.
• Zapomněli jste heslo. Žádná obnova. Šifrování PDF je záměrně jednosměrné bez klíče. Pokud je zdroj stále na vašem disku, znovu zašifrujte novým heslem a správcem hesel.

Praktické poznámky

1. Pro jednorázově odeslané a zapomenuté dokumenty je AES-256 s dlouhou náhodnou frází ze správce hesel správnou odpovědí. Vygenerovat, soubor + heslo poslat oddělenými kanály, oboje archivovat ve správci.
2. Pro dokumenty kolující interně zvažte, zda je heslo to pravé. Uvnitř organizace odvádějí kontroly přístupu na straně úložiště (sdílení v Drive, oprávnění SharePoint) obvykle užitečnější práci — hesla na PDF, která plují schránkami, se zapomínají, končí v předmětech e-mailů a ztrácejí smysl.
3. Vytisknout-a-vyfotit je reálný protivník. Uzamčené PDF zastaví digitální přeposílání, ale kdokoli s heslem může tisknout a vyfotokopírovat. Pokud někdo má číst, ale nikdy nevlastnit soubor, je to jiný systém (DRM prohlížeč, jen-na-obrazovce platforma).
4. Původní soubor zůstává nedotčen. Stahujete nový uzamčený soubor; zdroj na disku se nemění.

Co se děje s vaším souborem

Šifrování běží ve vašem prohlížeči. Heslo neopouští tuto záložku — slouží lokálně k odvození šifrovacího klíče, a ten klíč šifruje soubor v paměti. Otevřete DevTools a sledujte záložku Network během operace — žádné odchozí požadavky s obsahem souboru ani heslem. PDF zůstává na disku; uzamčená verze je nové stažení vedle něj.