Proteggere PDF con password
online.

Mettere una password su un PDF

I motivi per bloccare un PDF di solito riguardano decidere chi è autorizzato ad aprirlo. Un contratto firmato va per email lungo una catena in cui c'è il telefono personale di qualcuno — chi inoltra il messaggio per sbaglio in seguito non deve poter leggere il file. Una cartella clinica deve uscire dalla clinica su una pendrive — se la pendrive si perde, il file deve essere illeggibile per chi la trova. Un dossier consiliare con cifre non pubbliche viene condiviso con tre consulenti esterni — solo questi tre devono poterlo aprire, anche se il file finisse poi allegato per errore a un thread più ampio. Il lavoro qui è piccolo e prevedibile: prendere un PDF e richiedere una password prima che chiunque lo apra.

Quel che torna indietro è un PDF veramente cifrato — non un involucro «sola lettura». Qualsiasi visualizzatore (Adobe Reader, Anteprima su macOS, integrati di Chrome ed Edge, qualsiasi reader mobile) chiede la password prima di mostrare una pagina. Senza password, il file è byte illeggibili.

Quanto è solida la serratura

Tre opzioni di forza:

• AES-256 (predefinito). Moderno, raccomandato. Standard attuale di cifratura PDF, usato da Acrobat in qualsiasi preset «high security». Praticamente non aggredibile senza password — la forza bruta di una password robusta contro AES-256 non è un attacco fattibile su hardware consumer. Sceglilo a meno di una specifica ragione di compatibilità.
• AES-128. Più vecchio ma ancora forte; definito in PDF 1.7. Usalo solo se il tuo reader è precedente al ~2012 e si blocca su AES-256.
• RC4 40-bit. Legacy; crittograficamente debole — attacchi noti recuperano il file in minuti. Usalo solo quando lavori con un'integrazione (scanner industriale, sistema d'archivio molto vecchio) che lo richiede esplicitamente. Non per riservatezza reale.

La forza di cifratura fa parte del formato. Un reader che non parla AES-256 non legge per nulla un file AES-256 — mostrerà «impossibile aprire questo PDF». Per questo esistono i livelli: non perché alcuni siano «più sicuri per documenti importanti» e altri «meno», ma perché la compatibilità scala diversamente.

Come funziona la password

Questo strumento usa la stessa password sia per l'open password (necessaria per visualizzare il file) sia per l'owner password (necessaria per togliere la cifratura più tardi). Semplificazione voluta — manteniamo l'UI a un solo campo. PDF supporta tecnicamente password a due livelli, dove visualizzare ne richiede una e modificare un'altra, ma in pratica quasi tutti i PDF bloccati nella vita reale usano una sola password, e il secondo livello crea più confusione di quanta ne risolva.

I permessi sul file risultante sono completamente aperti: chi può aprirlo può anche stampare, copiare il testo, compilare moduli e modificare. La serratura riguarda l'entrata, non le restrizioni per chi è già dentro con la password. I flag di permesso PDF (no-printing, no-copying, ecc.) sono un controllo morbido — i visualizzatori li onorano per convenzione, e qualsiasi strumento di sblocco li toglie in secondi. Non fingiamo che siano un controllo reale, quindi non li esponiamo in questo flusso.

Scegliere la password

Vale lo stesso consiglio di qualsiasi password che protegge dati reali:

• La lunghezza conta più della complessità. Una passphrase di 16 caratteri di parole comuni («corretto cavallo batteria graffetta») è più dura da brute-forzare di un mix di simboli da 9 caratteri. Punta a 4+ parole o 16+ caratteri.
• Non riusare una password di altrove. Se la mail del destinatario viene compromessa, un attaccante che trova il tuo file e le tue altre password nello stesso posto le proverà per prima cosa su questo PDF.
• Manda la password per un canale diverso dal file. File via email, password via signal/SMS/telefono. Se la mail viene intercettata, la password no.
• Salvala in un password manager. Se la dimentichi, non c'è recupero — il file è permanentemente illeggibile. La cifratura PDF non ha un percorso «reset via email».

Come appare il file cifrato

I contenuti del PDF originale — testo, immagini, campi modulo, annotazioni, segnalibri — sono tutti preservati attraverso la cifratura. Quando il destinatario apre il file con la password, appare esattamente come la sorgente non cifrata: stessi font, impaginazione, testo selezionabile. Nulla viene rasterizzato o ricostruito.

La dimensione del file è circa la stessa della sorgente, eventualmente qualche kilobyte in più per il dizionario di cifratura. I PDF cifrati non possono essere modificati dalla maggior parte degli altri strumenti senza prima sbloccarli — è il punto. Per ri-modificare in seguito, passa il file per unlock-pdf con la stessa password.

Cosa sopravvive e cosa no

• Tutto il contenuto delle pagine sopravvive. Testo, immagini, font, impaginazione, annotazioni, campi modulo, segnalibri — preservati esattamente.
• Le firme digitali esistenti si invalidano. Cifrare cambia i byte del file; qualsiasi firma incorporata perde il suo legame. Se un documento firmato deve essere cifrato, il destinatario dovrebbe riverificare con la copia firmata originale.
• La cifratura esistente viene sostituita. Se il PDF sorgente era già cifrato (con una password nota), lo strumento la toglie e applica nuova cifratura con la tua password. Per farlo la sorgente deve potersi aprire — i PDF cifrati la cui password non è nota non si possono ricifrare.
• Il file originale resta intatto. Quel che scarichi è un nuovo file bloccato; la sorgente sul disco non cambia.

Se qualcosa appare strano

• «Password is required». Il campo password era vuoto. Digitala e ritenta.
• Il destinatario dice «questo PDF non si apre». Probabilmente un reader vecchio che non parla AES-256. Riesegui con AES-128 (o RC4 se è un sistema industriale davvero molto vecchio).
• «Encrypted PDF can't be modified» altrove. Funziona come voluto. Passa prima per unlock-pdf con la password, modifica, poi ri-proteggi.
• Hai dimenticato la password. Niente recupero. La cifratura PDF è volutamente a senso unico senza la chiave. Se la sorgente è ancora sul tuo disco, ri-cifra con una nuova password e un password manager.

Note pratiche

1. Per documenti spediti una volta e dimenticati, AES-256 con una passphrase casuale lunga via password manager è la risposta giusta. Genera, manda file + password per canali separati, archivia entrambi nel manager.
2. Per documenti che girano internamente, chiediti se una password è lo strumento giusto. Dentro un'organizzazione, i controlli d'accesso lato storage (sharing in Drive, permessi SharePoint) di solito fanno un lavoro più utile — le password sui PDF che fluttuano nelle inbox vengono dimenticate, finiscono nei subject delle mail e perdono senso.
3. Stampare-e-fotografare è un avversario reale. Un PDF bloccato ferma l'inoltro digitale ma chiunque con la password può stampare e fotocopiare. Se a qualcuno serve leggere ma mai possedere il file, ci vuole un altro sistema (viewer DRM, piattaforma solo a schermo).
4. Il file originale resta intatto. Quel che scarichi è un nuovo file bloccato; la sorgente sul disco non cambia.

Cosa accade al tuo file

La cifratura gira nel tuo browser. La password non lascia questa scheda — viene usata per derivare la chiave di cifratura localmente, e quella chiave cifra il file in memoria. Apri i DevTools e osserva la scheda Network durante l'operazione — nessuna richiesta in uscita con il contenuto del file o la password. Il PDF resta sul disco; la versione bloccata è un nuovo download accanto.