Шифрование PDF

Два типа паролей для PDF

• Пользовательский пароль (пароль открытия) — требуется для открытия и просмотра PDF. Без него содержимое недоступно.
• Владельческий пароль (пароль разрешений) — позволяет открыть документ, но ограничивает действия: печать, копирование текста, редактирование. Документ виден без пароля, но ограничения принудительно применяются.

Можно поставить один, другой или оба сразу. Для конфиденциальных документов всегда используйте пользовательский пароль. Для контролируемой раздачи (отчёты «только для чтения») достаточно владельческого.

Алгоритмы шифрования

В PDF сменилось несколько стандартов шифрования:

• RC4 40-бит (PDF 1.1) — скомпрометирован с начала 2000-х, ломается тривиально. Не используйте.
• RC4 128-бит (PDF 1.4) — слабый, уязвим к современным атакам. Избегайте.
• AES-128 (PDF 1.6) — надёжен для большинства задач, широко поддерживается.
• AES-256 (PDF 1.7+) — текущая лучшая практика, устойчив к перебору.

По возможности всегда используйте AES-256. Инструмент Konomic Protect PDF по умолчанию применяет AES-256.

Что защищает шифрование

• Содержимое документа (текст, изображения, встроенные файлы)
• Содержимое полей форм
• Аннотации (при AES-256)
• Метаданные (при AES-256)

Что шифрование НЕ защищает

• Имя файла и его размер (по-прежнему видны)
• Снимок экрана (можно сфотографировать экран)
• Легитимных пользователей, у которых уже есть пароль
• Социальную инженерию (когда кого-то обманом заставляют выдать пароль)

При передаче конфиденциальных документов шифрование — только один слой. Комбинируйте его с другими мерами: сроками действия, журналами доступа, ограничениями для просмотрщика.

Главное — стойкость пароля

AES-256 математически невзламываем нынешними вычислительными ресурсами. Но шифрование надёжно ровно настолько, насколько надёжен пароль:

• Слабый (взламывается за секунды) — «password», «123456», словарные слова
• Средний (часы или дни) — 8 символов с разным регистром и цифрами
• Сильный (годы или тысячелетия) — 16+ символов с символами и без словарных слов

Используйте менеджер паролей, чтобы создавать и хранить надёжные пароли для PDF. Никогда не используйте один и тот же пароль для нескольких документов.