Proteger PDF com palavra-passe
online.

Pôr uma palavra-passe num PDF

As razões para trancar um PDF têm habitualmente que ver com decidir quem tem permissão para o abrir. Um contrato assinado segue por email através de uma cadeia que inclui o telemóvel pessoal de alguém — quem reencaminhar a mensagem mais tarde sem querer não deve poder ler o ficheiro. Um processo clínico tem de sair da clínica numa pen — se a pen se perder, o ficheiro deve ficar ilegível para quem a encontrar. Uma pasta de conselho com números não públicos é partilhada com três consultores externos — só esses três deviam poder abri-la, mesmo que o ficheiro vá depois por engano para um tópico mais alargado. A tarefa aqui é pequena e previsível: pegar num PDF e exigir uma palavra-passe antes que alguém o abra.

O que recebe de volta é um PDF realmente cifrado — não um invólucro «só leitura». Qualquer visualizador (Adobe Reader, Pré-visualização no macOS, integrados do Chrome e Edge, qualquer leitor móvel) pede a palavra-passe antes de mostrar qualquer página. Sem a palavra-passe, o ficheiro são bytes ilegíveis.

Quão forte é a fechadura

Três opções de força:

• AES-256 (por omissão). Moderno, recomendado. Norma atual de cifra PDF, usada pelo Acrobat em qualquer predefinição «high security». Praticamente intratável sem a palavra-passe — força bruta de uma palavra-passe forte contra AES-256 não é um ataque viável em hardware de consumidor. Escolha este, salvo razão específica de incompatibilidade.
• AES-128. Mais antigo mas ainda forte; definido em PDF 1.7. Use só se o seu leitor for anterior a ~2012 e engasgar com AES-256.
• RC4 40 bits. Herdado; criptograficamente fraco — ataques conhecidos recuperam o ficheiro em minutos. Use só ao trabalhar com uma integração (scanner industrial, sistema de arquivo muito antigo) que o exija explicitamente. Não para confidencialidade real.

A força da cifra é parte do formato. Um leitor que não fala AES-256 não lê de todo um ficheiro AES-256 — vai mostrar «este PDF não pode ser aberto». Por isso existem os níveis: não porque uns sejam «mais seguros para documentos importantes» e outros «menos», mas porque a compatibilidade escala de outra forma.

Como funciona a palavra-passe

Esta ferramenta usa a mesma palavra-passe tanto para a open password (necessária para visualizar) como para a owner password (necessária para retirar a cifra mais tarde). Simplificação consciente — mantemos o UI com um só campo. PDF suporta tecnicamente palavras-passe em dois níveis em que ver requer uma e editar outra, mas na prática quase todos os PDF bloqueados reais usam uma só, e o segundo nível cria mais confusão do que resolve.

As permissões no ficheiro resultante ficam abertas: quem abre pode também imprimir, copiar texto, preencher formulários e modificar. A fechadura é sobre entrar, não sobre restrições para quem já está dentro com a palavra-passe. As flags de permissões PDF (no-printing, no-copying, etc.) são um controlo brando — visualizadores honram-nas só por convenção, e qualquer ferramenta de desbloqueio retira-as em segundos. Não fingimos que é um controlo real, por isso não as expomos neste fluxo.

Escolher palavra-passe

Vale o mesmo conselho que para qualquer palavra-passe que protege dados reais:

• O comprimento importa mais do que a complexidade. Uma frase de 16 caracteres com palavras comuns («correto cavalo bateria agrafo») é mais difícil de força bruta do que uma mistura de símbolos com 9. Mire em 4+ palavras ou 16+ caracteres.
• Não reutilize palavra-passe doutro lado. Se o email do destinatário for comprometido, um atacante que encontre o seu ficheiro e as suas outras palavras-passe no mesmo sítio vai prová-las primeiro neste PDF.
• Envie a palavra-passe por canal distinto do ficheiro. Ficheiro por email, palavra-passe por signal/SMS/chamada. Se o email for intercetado, a palavra-passe não.
• Guarde-a num gestor de palavras-passe. Se a esquecer, não há recuperação — o ficheiro fica permanentemente ilegível. A cifra PDF não tem caminho «reset por email».

Que aspeto tem o ficheiro cifrado

O conteúdo do PDF original — texto, imagens, campos de formulário, anotações, marcadores — fica todo preservado através da cifra. Quando o destinatário abre o ficheiro com a palavra-passe, vê exatamente como a fonte não cifrada: as mesmas fontes, paginação, texto selecionável. Nada é rasterizado nem reconstruído.

O tamanho do ficheiro é aproximadamente igual à fonte, possivelmente uns kilobytes maior pelo dicionário de cifra. PDFs cifrados não são modificáveis pela maioria de outras ferramentas sem desbloqueio prévio — é esse o ponto. Para reeditar mais tarde, passe o ficheiro por unlock-pdf com a mesma palavra-passe.

O que sobrevive e o que não

• Todo o conteúdo das páginas sobrevive. Texto, imagens, fontes, paginação, anotações, campos de formulário, marcadores — preservados exatamente.
• As assinaturas digitais existentes ficam inválidas. Cifrar muda os bytes do ficheiro; qualquer assinatura embutida perde a ligação. Se um documento assinado tiver de ser cifrado, o destinatário deve reverificar com a cópia assinada original.
• A cifra existente é substituída. Se o PDF fonte já estava cifrado (com palavra-passe conhecida), a ferramenta retira-a e aplica nova cifra com a sua palavra-passe. Para isso a fonte tem de poder abrir — PDFs cifrados cuja palavra-passe não se conhece não podem ser recifrados.
• O ficheiro original fica intacto. O que descarrega é um ficheiro novo bloqueado; a fonte em disco não muda.

Se algo parecer estranho

• «Password is required». O campo de palavra-passe estava vazio. Escreva uma e tente de novo.
• O destinatário diz «este PDF não abre». Provavelmente um leitor antigo que não fala AES-256. Volte a executar com AES-128 (ou RC4 se for um sistema industrial mesmo antigo).
• «Encrypted PDF can't be modified» noutra ferramenta. Funciona como pretendido. Passe primeiro por unlock-pdf com a palavra-passe, edite e volte a proteger.
• Esqueceu a palavra-passe. Não há recuperação. A cifra PDF é deliberadamente unilateral sem a chave. Se a fonte ainda estiver no disco, recifre com nova palavra-passe e um gestor.

Notas práticas

1. Para documentos enviados uma vez e esquecidos, AES-256 com uma frase aleatória longa via gestor de palavras-passe é a resposta certa. Gere, envie ficheiro + palavra-passe por canais separados, arquive ambos no gestor.
2. Para documentos que circulam internamente, pense se uma palavra-passe é a ferramenta certa. Dentro de uma organização, os controlos de acesso do lado do armazenamento (partilha em Drive, permissões SharePoint) costumam fazer trabalho mais útil — palavras-passe em PDFs que andam pelas caixas de entrada são esquecidas, vão parar a assuntos de email e perdem o sentido.
3. Imprimir-e-fotografar é um adversário real. Um PDF bloqueado para o reencaminhamento digital, mas qualquer um com a palavra-passe pode imprimir e fotocopiar. Se alguém precisa de ler mas nunca de possuir o ficheiro, isso requer outro sistema (visualizador DRM, plataforma só de ecrã).
4. O ficheiro original fica intacto. O que descarrega é um ficheiro novo bloqueado; a fonte em disco não muda.

O que acontece ao seu ficheiro

A cifra corre no seu browser. A palavra-passe não sai deste separador — é usada para derivar a chave de cifra localmente, e essa chave cifra o ficheiro em memória. Abra DevTools e veja o separador Network durante a operação — nenhum pedido de saída com o conteúdo do ficheiro ou a palavra-passe. O PDF fica em disco; a versão bloqueada é um download novo ao lado.