Beskyt PDF med adgangskode
online.

At sætte adgangskode på en PDF

Grundene til at låse en PDF handler som regel om at afgøre, hvem der må åbne den. En underskrevet kontrakt går via e-mail gennem en kæde, der inkluderer nogens private telefon — den, der senere ved et uheld videresender beskeden, må ikke kunne læse filen. En patientjournal skal forlade klinikken på en USB-pind — hvis pinden mistes, skal filen være ulæselig for den, der finder den. En bestyrelsesmappe med ikke-offentlige tal deles med tre eksterne rådgivere — kun de tre skal kunne åbne den, selv om filen senere ved en fejl bliver vedhæftet en bredere tråd. Opgaven her er lille og forudsigelig: tag en PDF og kræv en adgangskode, før nogen kan åbne den.

Det, du får tilbage, er en rigtigt krypteret PDF — ikke et «kun til læsning»-omslag. Enhver fremviser (Adobe Reader, Eksempel på macOS, indbyggede i Chrome og Edge, enhver mobil læser) beder om adgangskoden, før der vises nogen side. Uden adgangskoden er filen ulæselige bytes.

Hvor stærk låsen er

Tre styrkeniveauer:

• AES-256 (standard). Moderne, anbefalet. Den nuværende standard for PDF-kryptering, brugt af Acrobat i ethvert «high security»-preset. Praktisk talt uknækkelig uden adgangskoden — brute force af en stærk adgangskode mod AES-256 er ikke et levedygtigt angreb på forbrugerhardware. Vælg denne, medmindre du har en specifik kompatibilitetsårsag til det modsatte.
• AES-128. Ældre, men stadig stærk; defineret i PDF 1.7. Brug kun, hvis din læser er ældre end omkring 2012 og hænger på AES-256.
• RC4 40-bit. Arv; kryptografisk svag — kendte angreb genskaber filen på minutter. Brug kun ved arbejde med en integration (industriel scanner, meget gammelt arkivsystem), der eksplicit kræver det. Ikke til reel fortrolighed.

Krypteringsstyrken er en del af filformatet. En læser, der ikke taler AES-256, læser slet ikke en AES-256-fil — den viser «denne PDF kan ikke åbnes». Derfor findes niveauerne: ikke fordi nogle er «sikrere til vigtige dokumenter» og andre «mindre», men fordi kompatibilitet skalerer anderledes.

Hvordan adgangskoden virker

Dette værktøj bruger samme adgangskode både som åbnings-adgangskode (kræves for at se filen) og som ejer-adgangskode (kræves for at fjerne krypteringen senere). Bevidst forenkling — vi holder UI'et med ét felt. PDF understøtter teknisk to-niveau adgangskoder, hvor visning kræver én og redigering en anden, men i praksis bruger næsten alle reelt låste PDF'er én enkelt adgangskode, og det andet niveau skaber mere forvirring, end det løser.

Tilladelser på den resulterende fil er sat vidt åbne: den, der kan åbne, kan også printe, kopiere tekst, udfylde formularer og ændre. Låsen handler om at komme ind, ikke om at begrænse, hvad nogen med adgangskoden kan inde. PDF's «permission flags» (no-printing, no-copying osv.) er en blød kontrol — fremvisere overholder dem kun efter konvention, og ethvert oplåsningsværktøj fjerner dem på sekunder. Vi lader ikke som om, det er en reel kontrol, så vi udstiller dem ikke i denne flow.

At vælge adgangskode

Samme råd som for enhver adgangskode, der beskytter rigtige data:

• Længde betyder mere end kompleksitet. En 16-tegns adgangsfrase af almindelige ord («korrekt hest batteri hæfteklamme») er sværere at brute-force end en 9-tegns blanding af symboler. Sigt efter 4+ ord eller 16+ tegn.
• Genbrug ikke en adgangskode fra et andet sted. Hvis modtagerens e-mail kompromitteres, vil en angriber, der finder din fil og dine andre adgangskoder samme sted, prøve dem først på denne PDF.
• Send adgangskoden via en anden kanal end filen. Filen via e-mail, adgangskoden via signal/SMS/telefon. Hvis e-mailen aflyttes, er adgangskoden det ikke.
• Gem den i en adgangskodemanager. Glemmer du, er der ingen gendannelse — filen er permanent ulæselig. PDF-kryptering har ingen «nulstil via e-mail»-vej.

Hvordan den krypterede fil ser ud

Indholdet af den oprindelige PDF — tekst, billeder, formularfelter, anmærkninger, bogmærker — bevares fuldstændigt gennem krypteringen. Når modtageren åbner filen med adgangskoden, ser den nøjagtig ud som den ukrypterede kilde: samme skrifttyper, layout, markérbar tekst. Intet rastreres eller bygges om.

Filstørrelsen er omtrent som kildens, eventuelt et par kilobyte større pga. krypteringsdictionary. Krypterede PDF'er kan ikke ændres af de fleste andre værktøjer uden først at blive låst op — det er pointen. For at redigere igen senere, kør filen gennem unlock-pdf med samme adgangskode.

Hvad der overlever og hvad der ikke gør

• Alt sideindhold overlever. Tekst, billeder, skrifttyper, layout, anmærkninger, formularfelter, bogmærker — bevaret nøjagtigt.
• Eksisterende digitale signaturer ugyldiggøres. Kryptering ændrer filens bytes; enhver indlejret signatur mister sin binding. Skal et signeret dokument krypteres, bør modtageren genverificere med den oprindelige signerede kopi.
• Eksisterende kryptering erstattes. Hvis kilde-PDF'en allerede var krypteret (med kendt adgangskode), fjerner værktøjet den og pålægger ny kryptering med din adgangskode. Til det skal kilden kunne åbnes — krypterede PDF'er, hvis adgangskode ikke er kendt, kan ikke krypteres igen.
• Den oprindelige fil er uberørt. Det du downloader er en ny låst fil; kilden på disken ændres ikke.

Hvis noget ser skævt ud

• «Password is required». Adgangskodefeltet var tomt. Skriv en og prøv igen.
• Modtageren siger «denne PDF åbner ikke». Sandsynligvis en gammel læser, der ikke taler AES-256. Kør igen med AES-128 (eller RC4, hvis det er et virkelig gammelt industrielt system).
• «Encrypted PDF can't be modified» andetsteds. Virker som tænkt. Kør først gennem unlock-pdf med adgangskoden, rediger og beskyt så igen.
• Du har glemt adgangskoden. Ingen gendannelse. PDF-kryptering er bevidst enkeltrettet uden nøglen. Hvis kilden stadig ligger på din disk, kryptér igen med ny adgangskode og en adgangskodemanager.

Praktiske noter

1. Til dokumenter, der sendes én gang og glemmes, er AES-256 med en lang tilfældig adgangsfrase via din adgangskodemanager det rette svar. Generer, send fil + adgangskode via adskilte kanaler, arkivér begge i manageren.
2. Til dokumenter, der cirkulerer internt, overvej om en adgangskode er det rette værktøj. Inden for en organisation gør adgangskontroller på lagersiden (Drive-deling, SharePoint-rettigheder) som regel mere nyttigt arbejde — adgangskoder på PDF'er, der svæver i indbakker, glemmes, ender i emnefelter og mister deres pointe.
3. Print-og-fotografér er en reel modstander. En låst PDF stopper digital videresendelse, men enhver med adgangskoden kan printe og fotokopiere. Skal nogen kunne læse, men aldrig eje filen, kræver det et andet system (DRM-fremviser, kun-skærm-platform).
4. Den oprindelige fil er uberørt. Det du downloader er en ny låst fil; kilden på disken ændres ikke.

Hvad der sker med din fil

Krypteringen kører i din browser. Adgangskoden forlader ikke denne fane — den bruges lokalt til at udlede krypteringsnøglen, og den nøgle krypterer filen i hukommelsen. Åbn DevTools og hold øje med Network-fanen under operationen — ingen udgående anmodninger med filindhold eller adgangskode. PDF'en bliver på disken; den låste version er en ny download ved siden af.