Protejează cu parolă PDF
online.

A pune o parolă pe un PDF

Motivele pentru a închide un PDF cu parolă țin de obicei de a decide cine are voie să îl deschidă. Un contract semnat circulă pe email printr-un lanț în care se află telefonul personal al cuiva — cine redirecționează din greșeală mesajul mai târziu nu trebuie să poată citi fișierul. Un dosar medical trebuie să iasă din clinică pe un stick — dacă stick-ul se pierde, fișierul trebuie să fie ilizibil pentru cine îl găsește. Un dosar de board cu cifre nepublice este distribuit la trei consultanți externi — doar cei trei trebuie să poată deschide, chiar dacă fișierul ajunge ulterior atașat din greșeală într-un thread mai larg. Sarcina aici e mică și previzibilă: iei un PDF și ceri o parolă înainte ca cineva să-l deschidă.

Ce primești înapoi e un PDF chiar criptat — nu un înveliș «doar vizualizare». Orice vizualizator (Adobe Reader, Preview pe macOS, integratele Chrome și Edge, orice cititor mobil) cere parola înainte de a afișa orice pagină. Fără parolă fișierul e octeți ilizibili.

Cât de tare e încuietoarea

Trei opțiuni de putere:

• AES-256 (implicit). Modern, recomandat. Standardul actual de criptare PDF, folosit de Acrobat în orice presetare «high security». Practic neînțesabil fără parolă — brute force-ul unei parole puternice contra AES-256 nu e un atac viabil pe hardware de consumator. Alege-l, în afara unui motiv specific de incompatibilitate.
• AES-128. Mai vechi, dar încă puternic; definit în PDF 1.7. Folosește-l doar dacă cititorul tău e mai vechi de cca 2012 și se împotmolește pe AES-256.
• RC4 40-bit. Moștenit; criptografic slab — atacuri cunoscute recuperează fișierul în minute. Folosește doar la integrări (scanner industrial, sistem de arhivă foarte vechi) care îl cer explicit. Nu pentru confidențialitate reală.

Puterea criptării e parte a formatului fișierului. Un cititor care nu vorbește AES-256 nu va citi deloc un fișier AES-256 — va arăta «acest PDF nu poate fi deschis». De aceea există nivele: nu pentru că unele ar fi «mai sigure pentru documente importante» și altele «mai puțin», ci pentru că compatibilitatea se scalează altfel.

Cum funcționează parola

Această unealtă folosește aceeași parolă și pentru open password (necesară pentru a vedea fișierul) și pentru owner password (necesară pentru a scoate criptarea ulterior). Simplificare deliberată — ținem UI-ul cu un singur câmp. PDF suportă tehnic parole pe două niveluri unde vizualizarea cere una și editarea alta, dar în practică aproape toate PDF-urile blocate reale folosesc o singură parolă, iar nivelul al doilea creează mai multă confuzie decât rezolvă.

Permisiunile pe fișierul rezultat sunt larg deschise: cine îl poate deschide poate și să tipărească, să copieze textul, să completeze formulare și să modifice. Încuietoarea ține de intrare, nu de restricții pentru cineva deja înăuntru cu parola. Steagurile de permisiuni PDF (no-printing, no-copying etc.) sunt control moale — vizualizatoarele le respectă doar prin convenție, iar orice unealtă de deblocare le scoate în secunde. Nu pretindem că e un control real, deci nu le expunem în acest flux.

Alegerea parolei

Aceeași sfat ca pentru orice parolă care protejează date reale:

• Lungimea contează mai mult decât complexitatea. O frază de parolă de 16 caractere din cuvinte obișnuite («corect cal baterie capsă») e mai greu de brute-force decât un mix de simboluri de 9 caractere. Țintește 4+ cuvinte sau 16+ caractere.
• Nu reutiliza o parolă de altundeva. Dacă mailul destinatarului e compromis, un atacator care găsește fișierul tău și celelalte parole în același loc le va încerca pe acest PDF mai întâi.
• Trimite parola pe alt canal decât fișierul. Fișierul prin mail, parola prin signal/SMS/telefon. Dacă mailul e interceptat, parola — nu.
• Salveaz-o într-un manager de parole. Dacă o uiți, nu există recuperare — fișierul e permanent ilizibil. Criptarea PDF nu are cale «resetare prin email».

Cum arată fișierul criptat

Conținutul PDF-ului original — text, imagini, câmpuri de formular, adnotări, marcaje — e tot păstrat prin criptare. Când destinatarul deschide fișierul cu parola, arată exact ca sursa necriptată: aceleași fonturi, machetare, text selectabil. Nimic nu e rasterizat sau reconstruit.

Mărimea fișierului e aproximativ aceeași cu sursa, posibil cu câțiva kilobytes mai mare din cauza dicționarului de criptare. PDF-urile criptate nu pot fi modificate de majoritatea altor unelte fără deblocare prealabilă — ăsta e scopul. Pentru reeditare ulterioară, treci fișierul prin unlock-pdf cu aceeași parolă.

Ce supraviețuiește și ce nu

• Tot conținutul paginilor supraviețuiește. Text, imagini, fonturi, machetare, adnotări, câmpuri de formular, marcaje — păstrate exact.
• Semnăturile digitale existente se invalidează. Criptarea schimbă octeții fișierului; orice semnătură încorporată își pierde legarea. Dacă un document semnat trebuie criptat, destinatarul ar trebui să verifice din nou cu copia semnată originală.
• Criptarea existentă se înlocuiește. Dacă PDF-ul sursă era deja criptat (cu o parolă cunoscută), unealta o scoate și aplică criptare nouă cu parola ta. Pentru asta, sursa trebuie să poată deschisă — PDF-urile criptate cu parolă necunoscută nu pot fi recriptate.
• Fișierul original rămâne neatins. Ce descarci e un fișier nou blocat; sursa de pe disc nu se schimbă.

Dacă ceva pare ciudat

• «Password is required». Câmpul parolei era gol. Tastează una și încearcă din nou.
• Destinatarul spune «acest PDF nu se deschide». Probabil un cititor vechi care nu vorbește AES-256. Rulează din nou cu AES-128 (sau RC4 dacă e un sistem industrial chiar foarte vechi).
• «Encrypted PDF can't be modified» altundeva. Funcționează ca prevăzut. Treci mai întâi prin unlock-pdf cu parola, editează, apoi reprotejează.
• Ai uitat parola. Fără recuperare. Criptarea PDF e intenționat unidirecțională fără cheie. Dacă sursa e încă pe disc, recriptează cu parolă nouă și un manager de parole.

Note practice

1. Pentru documente trimise o dată și uitate, AES-256 cu o frază de parolă lungă aleatorie prin managerul tău e răspunsul corect. Generează, trimite fișier + parolă pe canale separate, arhivează ambele în manager.
2. Pentru documente care circulă intern, gândește-te dacă parola e instrumentul potrivit. Într-o organizație, controalele de acces din partea stocării (sharing în Drive, drepturi SharePoint) fac de obicei muncă mai utilă — parolele pe PDF-uri care plutesc prin inboxuri se uită, ajung în subiectele mailurilor și își pierd sensul.
3. Tipărește-și-fotografiază e un adversar real. Un PDF blocat oprește redirecționarea digitală, dar oricine cu parola poate tipări și fotocopia. Dacă cineva trebuie să citească, dar niciodată să dețină fișierul, asta cere alt sistem (vizualizator DRM, platformă doar pe ecran).
4. Fișierul original rămâne neatins. Ce descarci e un fișier nou blocat; sursa de pe disc nu se schimbă.

Ce se întâmplă cu fișierul tău

Criptarea rulează în browserul tău. Parola nu părăsește această filă — e folosită local pentru a deriva cheia de criptare, iar acea cheie criptează fișierul în memorie. Deschide DevTools și urmărește fila Network în timpul operațiunii — niciun request ieșit cu conținut de fișier sau parolă. PDF-ul rămâne pe disc; versiunea blocată e o descărcare nouă alături.