Perlindungan Kata Sandi PDF Gratis Online

Cara kerja

1. Unggah file PDF menggunakan zona drop di atas.
2. Masukkan kata sandi buka (diperlukan) dan opsional kata sandi pemilik/edit.
3. Pilih kekuatan enkripsi: AES 128-bit (standar) atau AES 256-bit (tingkat militer).
4. Pilih izin mana yang diperbolehkan (cetak dan salin).
5. Klik “Lindungi PDF” untuk menerapkan enkripsi.
6. Unduh PDF yang dilindungi kata sandi secara instan.

Mengapa Melindungi PDF?

Perlindungan kata sandi memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses dokumen sensitif. Tambahkan kata sandi buka untuk membatasi siapa yang dapat melihat PDF, dan kata sandi pemilik untuk membatasi pencetakan, penyalinan, dan pengeditan. Ini penting untuk melindungi kontrak rahasia, catatan keuangan, dokumen medis, perjanjian hukum, dan informasi hak milik. Perlindungan kata sandi mencegah distribusi tidak sah dan menjaga keamanan data sensitif Anda.

Jenis Kata Sandi Dijelaskan

• Kata Sandi Buka · Diperlukan untuk membuka dan melihat PDF. Pengguna tidak dapat mengakses dokumen tanpa kata sandi ini.
• Kata Sandi Pemilik/Edit · Mengontrol izin seperti pencetakan, penyalinan teks, dan pengeditan. Diatur terpisah dari kata sandi buka untuk perlindungan tambahan.

Tingkat Enkripsi

• AES 128-bit · Enkripsi standar, kompatibel luas, pemrosesan cepat. Cocok untuk sebagian besar dokumen.
• AES 256-bit · Enkripsi tingkat militer, keamanan maksimum, pemrosesan sedikit lebih lambat. Direkomendasikan untuk dokumen yang sangat sensitif.

Pertanyaan yang sering diajukan

Apa itu enkripsi AES?

AES (Advanced Encryption Standard) adalah algoritma enkripsi simetris yang digunakan oleh pemerintah dan organisasi di seluruh dunia. AES 128-bit aman untuk sebagian besar tujuan, sementara AES 256-bit adalah tingkat militer dan hampir tidak bisa dipecahkan dengan teknologi saat ini.

Bisakah saya menghapus kata sandi dari PDF yang dilindungi?

Jika Anda memiliki kata sandi pemilik/edit, Anda dapat menghapus pembatasan. Namun, jika Anda lupa kata sandi pembuka, tidak ada cara untuk memulihkannya. Pemulihan kata sandi PDF tidak dimungkinkan, pastikan untuk menyimpan kata sandi Anda dengan aman.

Apakah PDF saya aman?

Ya. Semua pemrosesan terjadi di browser Anda. PDF Anda tidak pernah meninggalkan perangkat Anda dan tidak pernah diunggah ke server mana pun. Enkripsi diterapkan secara lokal menggunakan pdf-lib, yang mengimplementasikan metode enkripsi standar PDF.

Berapa batas ukuran file?

PDF hingga 100 MB dapat diproses. Waktu pemrosesan tergantung pada ukuran file dan tingkat enkripsi. File yang lebih besar dengan enkripsi 256-bit mungkin memakan waktu lebih lama.

Apa yang terjadi jika seseorang melewati kata sandi?

Enkripsi AES melindungi konten PDF itu sendiri. Kata sandi diperlukan untuk mendekripsi dan melihat dokumen. Memecahkan enkripsi AES 256-bit dengan teknologi saat ini tidak layak secara komputasi.

Apa arti sebenarnya «proteksi kata sandi PDF»

Spesifikasi PDF membedakan dua operasi yang dikelompokkan antarmuka pengguna sebagai «melindungi dengan kata sandi» file: mengenkripsi konten agar file tidak dapat dibaca tanpa kata sandi, dan membatasi apa yang diizinkan dilakukan oleh file yang sudah dapat dibaca. Keduanya dikonfigurasi di kamus enkripsi yang sama, keduanya menggunakan algoritma yang sama, tetapi merespons model ancaman yang berbeda.

Kata sandi pengguna (juga disebut kata sandi pembuka atau kata sandi pembuka dokumen) adalah yang perlu Anda ketik untuk membuka dokumen. Aliran konten file (teks halaman, font, gambar tersemat) dienkripsi dengan kunci yang berasal dari kata sandi ini, jadi byte di disk adalah teks sandi dan tidak ada pembaca PDF yang dapat merendernya tanpa mendekripsi terlebih dahulu. Jika Anda lupa kata sandi pengguna, kontennya hilang: tidak ada alat online yang dapat memulihkannya, dan satu-satunya opsi realistis adalah pencarian kata sandi eksaustif dengan alat cracking desktop atau menerima kehilangan.

Kata sandi pemilik berbeda. Dokumen masih dienkripsi, tetapi operasi buka-dokumen berhasil tanpa input kata sandi apa pun; pembaca PDF apa pun dapat merender file. Apa yang dilindungi kata sandi pemilik adalah kumpulan operasi yang diizinkan dilakukan pembaca, dikodekan dalam bidang P 32-bit dari kamus enkripsi. Bit di P mengatur pencetakan, penyalinan teks, modifikasi konten, pengisian formulir, ekstraksi untuk aksesibilitas, dan perakitan halaman. Alat ini mengatur keduanya: kata sandi pembuka (wajib) mengontrol siapa yang dapat membaca file, kata sandi pemilik (opsional) mengontrol apa yang diizinkan dilakukan pembaca setelah dibuka. Jika Anda membiarkan kata sandi pemilik kosong, alat mencerminkan kata sandi pembuka Anda ke slot pemilik, yang berarti siapa pun yang dapat membuka file juga dapat melakukan apa saja dengannya; mengatur kata sandi pemilik yang berbeda membuat pembatasan bermakna.

Bagaimana alat ini bekerja

Alat ini menggunakan qpdf, toolkit PDF struktural yang ditulis dalam C++ oleh Jay Berkenbilt dan dipelihara sebagai sumber terbuka sejak 2008. qpdf adalah implementasi referensi operasi struktural PDF: ini adalah blok bangunan di bawah Ghostscript, PDFtk, sebagian besar utilitas PDF baris perintah Linux, dan sejumlah layanan PDF cloud yang menampilkan diri sebagai teknologi eksklusif. qpdf mengimplementasikan penangan keamanan standar (Filter /Standard) yang didefinisikan dalam spesifikasi PDF, yang mencakup setiap skema enkripsi berbasis kata sandi dari RC4 40-bit (PDF 1.1, 1994) hingga AES-256 V=5/R=6 (PDF 2.0, saat ini).

qpdf dikompilasi ke WebAssembly melalui Emscripten, menghasilkan modul sekitar 1,3 MB yang berjalan dalam tab browser ini. Modul dimuat secara malas, pertama kali Anda mengklik Lindungi, jadi hanya mengunjungi halaman tidak ada biayanya. Setelah dimuat, browser menyimpannya di cache; proteksi berikutnya dalam sesi yang sama dan kunjungan di masa mendatang bersifat instan. Saat Anda mengunggah PDF, pdf-lib (pustaka JavaScript yang lebih kecil) membaca jumlah halaman dan ukuran file untuk tampilan info; pdf-lib tidak melakukan enkripsi, hanya pembacaan metadata. Saat Anda mengklik Lindungi, modul WASM qpdf menerima byte PDF melalui sistem file Emscripten di memori, menjalankan setara baris perintah qpdf --encrypt <user-pw> <owner-pw> <bits> --use-aes=y --print=full/none --extract=y/n --modify=none -- in.pdf out.pdf, dan mengembalikan byte terenkripsi ke halaman sebagai Blob yang dibungkus halaman dalam URL unduhan.

Tidak ada permintaan jaringan yang ditembakkan selama enkripsi. Anda dapat memverifikasinya: buka alat pengembang browser pada tab Jaringan sebelum mengklik Lindungi, jalankan operasi, dan amati bahwa tidak ada yang meninggalkan mesin Anda selain unduhan satu kali modul qpdf pada kunjungan pertama. Detail kecil tetapi berguna: qpdf menerima 128 sebagai kekuatan enkripsi tetapi default ke RC4-128 untuk kompatibilitas mundur dengan alat PDF yang lebih lama. Alat ini selalu melewatkan --use-aes=y untuk 128-bit sehingga label UI «128-bit AES» jujur; 256-bit selalu AES (RC4 tidak didefinisikan pada panjang kunci itu), jadi flag tidak diperlukan di sana.

Enkripsi PDF, 1994 hingga 2026, algoritma yang dapat ditulis alat ini

• PDF 1.1 (1994), RC4 40-bit, V=1, R=2. Spesifikasi asli; kunci 40-bit ditetapkan oleh undang-undang kontrol ekspor AS saat itu. Habis dalam beberapa detik di hardware komoditas pada 2026. Alat ini tidak menawarkan RC4-40, karena tidak ada yang harus menulisnya baru pada 2026.
• PDF 1.4 (2001), RC4 128-bit, V=2, R=3. Pembatasan ekspor dicabut pada 2000; Adobe diperpanjang ke 128 bit. Masih komputasi tidak dapat ditangani brute-force, tetapi RC4 sendiri memiliki bias keystream yang diketahui yang mendorong industri ke AES. Alat ini juga tidak menawarkan RC4-128; opsi «128-bit AES» selalu menggunakan AES.
• PDF 1.6 (2004), AES-128 CBC, V=4, R=4. Diperkenalkan di Acrobat 7. Algoritma sama yang digunakan pemerintah AS untuk melindungi informasi rahasia hingga tingkat Secret. Kompatibel dengan Adobe Reader 5.0 dan yang lebih baru, termasuk alur kerja enterprise lama dan pembaca seluler yang lebih lama. Ini yang ditulis opsi «128-bit AES» dari alat ini.
• PDF 1.7 Extension Level 3 (2008), revisi pertama AES-256, V=5, R=5. Adobe memperkenalkannya di Acrobat 9. Dalam waktu satu tahun para peneliti menemukan cacat derivasi kunci yang membuatnya dalam praktik lebih lemah dari AES-128. Adobe menerbitkan perbaikan. Alat ini tidak menulis varian R=5 yang cacat.
• PDF 1.7 Extension Level 8 (2010), AES-256 dikoreksi, V=5, R=6. Mutakhir saat ini. Menggunakan derivasi kunci gaya PBKDF2 dengan normalisasi Unicode SASLprep, sehingga kata sandi bekerja secara konsisten di seluruh metode input dan lokal. Ini yang diproduksi Acrobat X dan yang lebih baru, dan setiap alat PDF modern yang mengekspos «enkripsi AES-256». Kompatibel dengan Adobe Reader 9.0 dan yang lebih baru. Ini yang ditulis opsi «256-bit AES» dari alat ini.
• PDF 2.0 (2017), V=5/R=6 diformalkan. ISO 32000-2 mengadopsi V=5/R=6 AES-256 sebagai algoritma yang direkomendasikan dan menghentikan RC4 sepenuhnya. Kisah enkripsi stabil di sini; fitur PDF berikutnya tidak memerlukan perubahan pada lapisan enkripsi. Panduan praktis: jika Anda tidak tahu versi pembaca audiens Anda, AES 128-bit adalah pilihan kompatibilitas yang lebih aman; jika Anda tahu mereka memiliki pembaca modern (siapa pun di Acrobat, Apple Preview, Chrome, Edge, atau Firefox yang dibangun dalam dekade terakhir), AES 256-bit adalah pilihan keamanan yang lebih aman.

Apa yang sebenarnya dikontrol bit izin

Bidang P adalah integer 32-bit; setiap bit memberikan satu operasi ketika diatur. Spesifikasi PDF menomori bit dari 1 (paling tidak signifikan) hingga 32 (paling signifikan) daripada konvensi 0 hingga 31 yang lebih umum. Bit dalam praktik: bit 3 (cetak, dengan bit 12 lebih lanjut mengontrol pencetakan berkualitas tinggi), bit 4 (modifikasi konten, terutama pengeditan teks), bit 5 (salin dan ekstrak teks atau grafik), bit 6 (modifikasi anotasi: catatan, sorotan, stempel), bit 9 (isi bidang AcroForm), bit 10 (ekstraksi untuk aksesibilitas, pembaca layar bergantung pada ini), bit 11 (rakit: sisipkan, hapus, putar halaman). Alat ini mengekspos dua bit yang paling umum dikontrol oleh pengguna akhir: cetak (bit 3, «Izinkan pencetakan») dan salin (bit 5, «Izinkan menyalin teks dan grafik»). Selalu mengatur --modify=none di latar belakang, yang menghapus bit 4, 6, 9, dan 11 sekaligus, default konservatif yang mengatakan «file untuk membaca dan mencetak, bukan untuk diedit». Bit 10 (aksesibilitas) tetap aktif sehingga pembaca layar terus berfungsi.

Kebenaran yang keras: izin bersifat penasihat. Mereka dihormati oleh Adobe Acrobat, Adobe Reader, dan banyak pembaca komersial, dan mereka rutin diabaikan oleh yang lain. Penampil PDF.js bawaan Firefox sengaja mengabaikan bendera izin; penampil Chrome sebagian besar menghormati pembatasan pencetakan tetapi membiarkan Anda menyimpan byte tanpa batasan melalui klik kanan; sebagian besar pembaca sumber terbuka (Okular, Evince, MuPDF, SumatraPDF) menghormati bit dalam berbagai derajat dengan pengaturan opt-out; dan «penghapus izin PDF» online hanya menulis ulang file dengan semua izin diatur, yang berfungsi tanpa kata sandi pemilik karena lapisan enkripsi adalah dekoratif. Alat ini mengatur izin karena standarnya mengatakan demikian dan karena pembaca yang terhormat menghormati mereka. Model ancaman yang dilindungi izin adalah «penerima yang menggunakan Adobe Acrobat yang mengikuti semangat dokumen». Untuk pencegahan nyata, kata sandi pembuka (yang merupakan enkripsi nyata) adalah pertahanan Anda; kata sandi pemilik adalah kesopanan.

Memilih kata sandi yang kuat

Kekuatan kata sandi penting dalam kasus kata sandi pengguna karena enkripsinya nyata: satu-satunya serangan pada PDF yang dienkripsi dengan baik adalah pencarian eksaustif melalui ruang kunci kata sandi. Panduan NIST saat ini (SP 800-63B) adalah bahwa kata sandi autentikasi faktor tunggal harus minimal 15 karakter. Penalaran, didukung dengan baik oleh studi akademis dan data pelanggaran baru-baru ini, adalah bahwa panjang mendominasi entropi: frasa sandi 20 karakter dari kata-kata umum (gaya «correct horse battery staple») memiliki sekitar 90 bit entropi dan membutuhkan berabad-abad untuk brute-force, sementara alfanumerik 8 karakter campuran-huruf besar («Tr0ub4dor») memiliki sekitar 40 bit dan jatuh dalam hitungan jam di hardware GPU komoditas.

Saran praktis: gunakan frasa sandi 4 hingga 6 kata yang tidak terkait, panjang total 20+ karakter. «rotor saxon embargo trout swivel» jauh lebih kuat dari «P@ssw0rd2026!» dan lebih mudah diketik jika Anda harus membacanya dari ponsel. Jika Anda menggunakan pengelola kata sandi (1Password, Bitwarden, KeePassXC), hasilkan kata sandi acak 20 karakter di sana dan simpan PDF dan kata sandinya bersama; penerima mendapatkan kata sandi di luar jalur (email terpisah, panggilan telepon, saluran terautentikasi) dan menyimpannya di brankas mereka sendiri. Hindari kata sandi yang muncul di basis data pelanggaran. Jangan menggunakan kembali kata sandi dari layanan lain: PDF berada di kotak masuk dan drive cloud jauh lebih lama daripada cookie sesi, dan kata sandi yang dikompromikan di forum yang terlupakan pada 2018 masih akan membuka PDF 2026.

Alur kerja dunia nyata yang mendorong perlindungan PDF

• Kontrak rahasia kepada klien atau pihak lawan. Kontrak dienkripsi dengan kata sandi pengguna yang dibagikan melalui saluran terpisah (sering panggilan telepon atau alamat email yang berbeda). Kata sandi pemilik menambahkan pembatasan bahwa penerima tidak dapat menyalin teks dari kontrak atau mencetaknya untuk pendistribusian ulang. Kombinasi adalah alur kerja standar layanan profesional untuk dokumen hukum, M&A, dan kesepakatan keuangan.
• Laporan keuangan untuk investor. Pengajuan SEC diungkapkan ke publik dan tidak dienkripsi, tetapi dokumen khusus investor (paket dewan, draf pratinjau triwulanan, informasi material non-publik) mendapatkan kata sandi pengguna yang dibagikan melalui portal investor bersama dengan footer «jangan didistribusikan ulang». Kata sandi pemilik mencegah salin-tempel tidak sengaja ke dokumen internal lain.
• Catatan medis di bawah HIPAA atau peraturan yang setara. PDF pasien dienkripsi saat istirahat dengan kata sandi pengguna yang terhubung ke pasien atau klinik yang meminta. Kata sandi pemilik mencegah salin-ekstrak informasi kesehatan yang dilindungi bahkan ketika file terbuka. Kombinasi memenuhi ketentuan «enkripsi saat istirahat» dan «penggunaan minimum yang diperlukan» dari sebagian besar rezim data perawatan kesehatan.
• Dokumen internal perusahaan dengan rahasia dagang. Cuplikan kode sumber, rubrik perekrutan, rentang gaji. Kata sandi pengguna menjaga file tetap di dalam perusahaan; kata sandi pemilik membatasi pembaca untuk mencetak untuk ditinjau (atau memblokir pencetakan sepenuhnya) sehingga file tidak difoto dan diteruskan.
• Pengiriman ke klien di bawah lisensi tidak dapat dipindahtangankan. Klien membayar untuk laporan khusus. Kata sandi pengguna dan surat pengantar membuat pendistribusian ulang setidaknya tindakan yang disengaja; bit pencetakan dinonaktifkan dari kata sandi pemilik mencegah penyalinan tidak sengaja melalui alur kerja re-ekspor cetak-ke-PDF.
• Migrasi arsip dari enkripsi lama. PDF lama yang dienkripsi dengan RC4-40 atau RC4-128 dibuka melalui Buka Kunci PDF Gratis Online dan dienkripsi ulang dengan AES-256 V=5/R=6 melalui alat ini. Ini menaikkan tingkat perlindungan tanpa mengubah konten. Umum ketika organisasi meningkatkan basis keamanannya dan meninjau kembali arsip lama.

Jebakan umum dan apa artinya

• «Saya lupa kata sandi.» Jika Anda lupa kata sandi pengguna, kontennya hilang. Tidak ada layanan pemulihan yang tidak menjalankan pencarian eksaustif terhadap ruang kunci kata sandi, dan pencarian eksaustif melalui kata sandi 15 karakter tidak dapat dilakukan pada hardware apa pun pada 2026. Jika Anda lupa kata sandi pemilik tetapi ingat kata sandi pengguna, Anda dapat membuka dan mengekspor ulang dokumen (alat PDF apa pun akan melakukan ini, karena membuka tidak memerlukan kata sandi pemilik); ekspor baru tidak akan memiliki pembatasan izin.
• «Penerima tidak dapat membuka file.» Dua penyebab umum. Pertama, penerima memiliki pembaca PDF yang lebih lama yang tidak mendukung AES-256, dan Anda melindungi dengan 256-bit. Lindungi ulang dengan AES 128-bit (V=4/R=4), didukung oleh setiap pembaca PDF sejak Acrobat 5 (2001). Kedua, pembaca penerima memiliki masalah dengan karakter non-ASCII dalam kata sandi dan Anda menggunakan karakter non-ASCII; SASLprep di V=5/R=6 sebagian besar memperbaiki ini, tetapi V=4/R=4 memiliki keanehan pengkodean lama. Gunakan kata sandi ASCII untuk kompatibilitas maksimum.
• «Pembatasan 'Izinkan Pencetakan' diabaikan.» Penerima menggunakan Firefox, atau pembaca PDF non-mainstream, atau telah menggunakan alat penghapus izin. Izin bersifat penasihat; lihat «Apa yang sebenarnya dikontrol bit izin» di atas. Jika Anda perlu pencetakan benar-benar diblokir, satu-satunya penegakan adalah sosial: perjanjian non-pengungkapan, lisensi, atau pemahaman penerima tentang klasifikasi dokumen.
• «Tanda tangan digital pada PDF ini sekarang tidak valid.» Mengenkripsi PDF yang ditandatangani menulis ulang byte dokumen, yang menurut definisi membatalkan tanda tangan kriptografi. Jika Anda berniat mempertahankan tanda tangan, jangan mengenkripsi. Jika Anda berniat mengenkripsi, tandatangani setelah, bukan sebelum. Beberapa alur kerja tanda tangan (PAdES Long-Term Validation) memungkinkan enkripsi setelah tanda tangan tetapi memerlukan prosedur khusus; konsultasikan dokumentasi alat tanda tangan jika Anda membutuhkan keduanya.
• «Kata sandi pemilik = kata sandi pengguna tampaknya telah membuat pembatasan tidak berguna.» Benar. Jika kata sandi pemilik sama dengan kata sandi pengguna, pembaca apa pun memperlakukan pengguna seolah-olah mereka memiliki kata sandi pemilik (karena mereka mengetiknya untuk membuka), dan izin tidak ditegakkan. Untuk membuat izin bermakna, kata sandi pemilik harus berbeda dan tidak boleh dibagikan dengan penerima. Alat ini default mencerminkan kata sandi pengguna ke slot pemilik jika Anda membiarkannya kosong, yang nyaman untuk kasus «Saya hanya ingin meminta kata sandi untuk membuka» tetapi mengalahkan pembatasan izin; atur kata sandi pemilik yang berbeda ketika Anda benar-benar menginginkan pembatasan.
• «PDF dienkripsi tetapi masih dapat dicari di Google.» Jika Anda mengunggah PDF terenkripsi ke server web publik, Google dapat mengindeks keberadaannya (URL, nama file) tetapi tidak dapat membaca isinya. File dienkripsi di disk dan Google akan memerlukan kata sandi untuk mengekstrak teks. Risikonya adalah metadata, bukan konten; ubah nama file sebelum mempublikasikan jika nama file itu sendiri mengungkapkan informasi sensitif.

Hanya browser versus perlindungan cloud

Setiap layanan perlindungan PDF cloud (Smallpdf, ILovePDF, PDF24 web, Adobe Acrobat Online, Sejda) mengunggah PDF ke server operator, mengenkripsi di sana, dan mengembalikan salinan terenkripsi sebagai unduhan. Implikasi privasi berbeda dari unggahan file normal dalam tiga cara penting. Pertama, konten file menurut definisi tidak terenkripsi pada saat unggah (operator yang mengenkripsinya, jadi operator memiliki teks biasa). Kedua, kata sandi yang Anda ketik dikirim ke infrastruktur operator; bahkan jika di-hash untuk transportasi, itu ada dalam teks biasa pada langkah enkripsi. Ketiga, operator sekarang memegang baik file teks biasa maupun kata sandi, jadi setiap kompromi operator (log, snapshot, respons insiden, orang dalam) memberi penyerang file dalam bentuk jelas. Operator utama menerbitkan kebijakan privasi yang berkomitmen pada TLS dalam transit, penghapusan dalam beberapa jam hingga satu hari, dan (untuk yang lebih besar) infrastruktur bersertifikat ISO/IEC 27001, tetapi model ancaman yang memotivasi enkripsi PDF sering kali tidak sesuai dengan menyerahkan teks biasa kepada pihak ketiga bahkan sebentar.

Alat ini tidak mengunggah PDF atau kata sandi. Modul WASM qpdf berjalan di tab browser, menerima byte file melalui API File dan kata sandi melalui input HTML standar, dan mengembalikan byte terenkripsi sebagai Blob ke tab yang sama. Anda dapat membuktikannya: buka alat pengembang pada tab Jaringan sebelum mengklik Lindungi, jalankan operasi, dan amati bahwa tidak ada permintaan yang ditembakkan dengan konten file atau kata sandi Anda. Satu-satunya lalu lintas jaringan adalah pengambilan satu kali modul qpdf pada enkripsi pertama per sesi. Tukar tambahnya adalah cakupan fitur: layanan cloud sering mengemas OCR, konversi Word/Excel, unggahan batch, atau hamparan watermark bersama dengan enkripsi. Enkripsi sisi browser di sini hanya melakukan enkripsi. Untuk OCR atau konversi format layanan cloud adalah panggilan yang tepat; untuk dokumen sensitif di mana sikap privasi penting, itu adalah browser.

Pertanyaan yang sering diajukan lainnya

Pembaca PDF mana yang mendukung enkripsi AES 256-bit?

Adobe Acrobat dan Adobe Reader sejak versi 9.0 (2008), Apple Preview di macOS sejak 10.6 (2009), penampil bawaan Google Chrome sejak 2012, penampil PDF Microsoft Edge sejak 2015, PDF.js Firefox sejak 2018, semua pembaca iOS dan Android utama yang dibangun sejak 2015, dan pembaca sumber terbuka berbasis qpdf/Ghostscript/Poppler sejak akhir 2000-an. Satu-satunya pembaca yang tidak dapat membuka AES-256 adalah versi Acrobat pra-2008, beberapa pembaca tertanam lama di hardware perusahaan (konsol ATM, perangkat medis, kontrol industri), dan beberapa pembaca seluler tidak jelas yang ditinggalkan sebelum 2015.

Bisakah saya mengenkripsi PDF yang sudah dienkripsi?

Tidak secara langsung. Alat perlu membaca struktur PDF untuk mengenkripsinya, dan PDF yang sudah dienkripsi memblokir pembacaan sampai Anda memberikan kata sandi. Alur kerja standar adalah membuka kunci PDF terlebih dahulu dengan Buka Kunci PDF Gratis Online (yang memerlukan kata sandi yang ada) dan kemudian mengenkripsi output yang tidak terkunci dengan alat ini menggunakan kata sandi baru. Proses dua langkah adalah pola yang sama yang digunakan untuk alur kerja arsip «migrasi dari RC4 lama ke AES-256».

Haruskah saya mengenkripsi sebelum atau sesudah menandatangani, meratakan, mengompresi?

Urutan umum adalah: edit, ratakan, tandatangan, enkripsi. Tanda tangan menghitung hash kriptografi atas byte dokumen, jadi setiap modifikasi berikutnya (termasuk enkripsi) membatalkan tanda tangan. Enkripsi menulis ulang dokumen, jadi ratakan sebelum mengenkripsi atau enkripsi dapat berinteraksi dengan struktur bidang formulir. Kompresi biasanya berjalan sebelum enkripsi karena byte terenkripsi pada dasarnya acak dan kompresi buruk setelahnya. Urutan aman lengkap: ratakan bidang formulir apa pun yang ingin Anda permanen, kompres untuk mengurangi ukuran, tandatangani jika Anda memerlukan provenans kriptografi, enkripsi terakhir untuk menambah perlindungan kata sandi.

Apakah enkripsi setara dengan ZIP yang dilindungi kata sandi?

Praktis serupa pada batas keamanan (keduanya bergantung pada AES-256), tetapi enkripsi PDF terintegrasi dengan pembaca PDF (penerima hanya membuka file dan mendapatkan prompt kata sandi) sementara enkripsi ZIP mengharuskan penerima untuk mengekstrak file terlebih dahulu. Enkripsi PDF juga mendukung lapisan izin kata sandi pemilik (pembatasan cetak/salin pada pembaca yang menghormatinya), yang tidak dimiliki ZIP. Untuk file di mana penerima perlu membaca PDF di pembaca normal mereka, enkripsi PDF adalah pilihan yang lebih lancar. Untuk konten campuran (beberapa file, folder, lampiran non-PDF), enkripsi ZIP adalah satu-satunya pilihan.

Apakah enkripsi PDF cukup untuk kepatuhan HIPAA, GDPR, PCI DSS?

Enkripsi AES-256 dengan kata sandi yang kuat memenuhi standar teknis «enkripsi saat istirahat» yang diperlukan oleh HIPAA, Pasal 32 GDPR, dan Persyaratan 3.5 PCI DSS. Apakah memenuhi rezim kepatuhan penuh tergantung pada sisa praktik penanganan data Anda: bagaimana kata sandi dibagikan (saluran di luar jalur diperlukan untuk sebagian besar rezim), bagaimana akses dicatat (HIPAA memerlukan jejak audit), dan bagaimana rotasi kunci ditangani. Enkripsi saja diperlukan tetapi tidak cukup untuk kepatuhan; konsultasikan dengan DPO atau petugas kepatuhan Anda untuk gambaran lengkap.

Apakah ada padanan desktop atau baris perintah?

qpdf berjalan di setiap platform: brew install qpdf di macOS, apt install qpdf di Debian atau Ubuntu, biner yang dapat diunduh dari GitHub qpdf untuk Windows. Sintaks CLI untuk enkripsi AES-256 adalah qpdf --encrypt USER-PW OWNER-PW 256 -- input.pdf output.pdf. Pustaka yang sama, sikap privasi yang sama dengan alat ini, berguna untuk pemrosesan batch melalui loop shell. Item menu «File > Lindungi > Enkripsi» Adobe Acrobat Pro melakukan hal yang sama dengan GUI; untuk baris perintah di PowerShell atau zsh, qpdf adalah padanan terdekat.

Alat terkait