無料PDFパスワード保護オンライン

AES暗号化でPDFファイルにパスワード保護を追加します。開封パスワードと編集パスワードを設定し、権限を制御します。

ファイルはお使いのデバイスから出ません

ここにPDFをドロップ またはクリックして参照

PDF対応 · 最大100 MB

使い方

上のドロップゾーンを使ってPDFファイルをアップロードします。
開封パスワード（必須）と、オプションでオーナー/編集パスワードを入力します。
暗号化強度を選択します：128ビットAES（標準）または256ビットAES（軍事グレード）。
許可する権限（印刷とコピー）を選択します。
「PDFを保護」をクリックして暗号化を適用します。
パスワード保護されたPDFを即座にダウンロードします。

PDFを保護する理由

パスワード保護により、承認されたユーザーのみが機密文書にアクセスできるようになります。開封パスワードを追加してPDFを閲覧できるユーザーを制限し、オーナーパスワードで印刷、コピー、編集を制限します。これは、機密契約、財務記録、医療文書、法的契約、専有情報を保護するために不可欠です。パスワード保護は不正な配布を防ぎ、機密データを安全に保ちます。

パスワードの種類の説明

開封パスワード · PDFを開いて閲覧するために必要です。このパスワードなしでは、ユーザーは文書にアクセスできません。
オーナー/編集パスワード · 印刷、テキストのコピー、編集などの権限を制御します。追加の保護のため、開封パスワードとは別に設定されます。

暗号化レベル

128ビットAES · 標準的な暗号化、幅広く互換性があり、高速処理。ほとんどの文書に適しています。
256ビットAES · 軍事グレードの暗号化、最大限のセキュリティ、やや遅い処理。極めて機密性の高い文書に推奨されます。

よくある質問

AES暗号化とは何ですか？

AES（Advanced Encryption Standard）は、世界中の政府や組織で使用されている対称暗号化アルゴリズムです。128ビットAESはほとんどの目的で安全ですが、256ビットAESは軍事グレードで、現在の技術では事実上解読不可能です。

保護されたPDFからパスワードを削除できますか？

オーナー/編集パスワードを持っている場合は制限を解除できます。しかし、開封パスワードを忘れた場合、それを回復する方法はありません。PDFパスワードの回復はできません。パスワードを安全に保存することを忘れないでください。

私のPDFは安全ですか？

はい。すべての処理はブラウザ内で行われます。PDFがデバイスを離れることはなく、サーバーにアップロードされることもありません。暗号化は、PDFの標準暗号化方式を実装するpdf-libを使用してローカルで適用されます。

ファイルサイズの制限は何ですか？

最大100 MBのPDFを処理できます。処理時間はファイルサイズと暗号化レベルによって異なります。256ビット暗号化の大きなファイルは時間がかかる場合があります。

誰かがパスワードを回避した場合はどうなりますか？

AES暗号化はPDFコンテンツそのものを保護します。文書を復号して表示するにはパスワードが必要です。256ビットAES暗号化を現在の技術で破ることは計算上不可能です。

「PDFパスワード保護」とは実際どういう意味か

PDF仕様は、ユーザーインターフェースがファイルの「パスワード保護」とまとめている二つの操作を区別します。コンテンツを暗号化してパスワードなしではファイルを読めなくすることと、すでに読める状態のファイルが何をすることを許されているかを制限することです。両方とも同じ暗号化辞書で設定され、両方とも同じアルゴリズムを使いますが、それぞれ異なる脅威モデルに応えます。

ユーザーパスワード(オープンパスワードや文書オープンパスワードとも呼ばれます)は、文書を開くために入力する必要があるパスワードです。ファイルのコンテンツストリーム(ページテキスト、フォント、埋め込み画像)はこのパスワードから派生した鍵で暗号化されているため、ディスク上のバイトは暗号文であり、PDFリーダーは最初に復号せずにそれらをレンダリングできません。ユーザーパスワードを忘れた場合、コンテンツは失われます。オンラインツールでは回復できず、現実的な選択肢はデスクトップのクラックツールで網羅的にパスワードを検索するか、損失を受け入れるかだけです。

オーナーパスワードは異なります。文書はまだ暗号化されていますが、文書オープン操作はパスワード入力なしで成功します。どのPDFリーダーもファイルをレンダリングできます。オーナーパスワードが保護するのは、リーダーが実行を許可される操作の集合で、暗号化辞書の32ビット P フィールドにエンコードされています。P のビットは印刷、テキストコピー、コンテンツ変更、フォーム記入、アクセシビリティ用抽出、ページ組み立てを制御します。このツールは両方を設定します。オープンパスワード(必須)はファイルを誰が読めるかを制御し、オーナーパスワード(任意)は開いたあとリーダーが何をすることを許可されているかを制御します。オーナーパスワードを空白にすると、ツールはオープンパスワードをオーナースロットにミラーリングし、ファイルを開ける誰もがそれに対して何でもできることを意味します。別のオーナーパスワードを設定することで制限が意味を持つようになります。

このツールの仕組み

このツールはqpdfを使用します。Jay BerkenbiltがC++で書き、2008年からオープンソースとして保守している構造的PDFツールキットです。qpdfはPDF構造的操作のリファレンス実装です。Ghostscript、PDFtk、ほとんどのLinuxコマンドラインPDFユーティリティ、そして自らを独自技術として提示する多くのクラウドPDFサービスの基礎となる構成要素です。qpdfはPDF仕様で定義された標準セキュリティハンドラ(Filter /Standard)を実装し、RC4 40ビット(PDF 1.1、1994)からAES-256 V=5/R=6(PDF 2.0、現行)まで、あらゆるパスワードベースの暗号化方式をカバーします。

qpdfはEmscriptenを通じてWebAssemblyにコンパイルされ、このブラウザータブ内で動作する約1.3 MBのモジュールを生成します。モジュールは遅延ロードされ、最初に「保護」をクリックしたときに読み込まれるため、ページを訪問するだけでは何のコストもかかりません。一度ロードされると、ブラウザーはそれをキャッシュします。同じセッション内のその後の保護と将来の訪問は即座です。PDFをアップロードすると、pdf-lib(より小さなJavaScriptライブラリ)が情報表示用にページ数とファイルサイズを読み取ります。pdf-libは暗号化を実行せず、メタデータの読み取りのみです。「保護」をクリックすると、qpdf WASMモジュールはメモリ内Emscriptenファイルシステムを通じてPDFバイトを受け取り、コマンドライン qpdf --encrypt <user-pw> <owner-pw> <bits> --use-aes=y --print=full/none --extract=y/n --modify=none -- in.pdf out.pdf と同等のものを実行し、暗号化されたバイトをBlobとしてページに返し、ページがそれをダウンロードURLでラップします。

暗号化中にネットワークリクエストは発生しません。確認できます。「保護」をクリックする前にブラウザーの開発者ツールをネットワークタブで開き、操作を実行し、最初の訪問時のqpdfモジュールの一度限りのダウンロード以外に何もマシンから出ていかないことを観察してください。小さいけれど有用な詳細:qpdfは128を暗号化強度として受け入れますが、古いPDFツールとの後方互換性のためデフォルトでRC4-128になります。このツールは常に128ビット用に --use-aes=y を渡し、UIラベル「128ビットAES」が正直であるようにします。256ビットは常にAESです(RC4はそのキー長で定義されていません)ので、そこではフラグは必要ありません。

PDF暗号化、1994年から2026年まで、このツールが書き出せるアルゴリズム

PDF 1.1(1994年)、RC4 40ビット、V=1、R=2。 オリジナル仕様。40ビット鍵は当時の米国輸出管理法によって設定されました。2026年のコモディティハードウェアでは数秒で網羅可能です。このツールはRC4-40を提供しません。2026年に新たに書く理由は誰にもありません。
PDF 1.4(2001年)、RC4 128ビット、V=2、R=3。 輸出制限は2000年に解除されました。Adobeは128ビットに拡張しました。総当たり攻撃は依然として計算的に手に負えませんが、RC4自体に既知のキーストリームバイアスがあり、業界をAESへと推し進めました。このツールはRC4-128も提供しません。「128ビットAES」オプションは常にAESを使用します。
PDF 1.6(2004年)、AES-128 CBC、V=4、R=4。 Acrobat 7で導入されました。米国政府がSecretレベルまでの機密情報を保護するために使用するのと同じアルゴリズムです。Adobe Reader 5.0以降、レガシーエンタープライズワークフローと古いモバイルリーダーを含めて互換性があります。これはこのツールの「128ビットAES」オプションが書き出すものです。
PDF 1.7 Extension Level 3(2008年)、AES-256第一改訂、V=5、R=5。 AdobeはこれをAcrobat 9で導入しました。一年以内に研究者たちは、実際にはAES-128より弱くなる鍵導出の欠陥を見つけました。Adobeは修正を公開しました。このツールは欠陥のあるR=5バリアントを書き出しません。
PDF 1.7 Extension Level 8(2010年)、AES-256修正済み、V=5、R=6。 現在の最先端技術。PBKDF2スタイルの鍵導出とSASLprep Unicode正規化を使用するため、パスワードは入力方法とロケール間で一貫して機能します。これはAcrobat X以降、および「AES-256暗号化」を提供するすべての現代的なPDFツールが生成するものです。Adobe Reader 9.0以降と互換性があります。これはこのツールの「256ビットAES」オプションが書き出すものです。
PDF 2.0(2017年)、V=5/R=6が正式化。 ISO 32000-2はV=5/R=6 AES-256を推奨アルゴリズムとして採用し、RC4を完全に非推奨にしました。暗号化のストーリーはここで安定し、その後のPDF機能は暗号化レイヤーの変更を必要としていません。実用的なガイダンス:聴衆のリーダーバージョンがわからない場合、AES 128ビットがより安全な互換性の選択です。彼らが現代的なリーダー(過去10年間に作られたAcrobat、Apple Preview、Chrome、Edge、Firefoxのいずれか)を持っていることがわかっている場合、AES 256ビットがより安全なセキュリティの選択です。

権限ビットが実際に何を制御するか

P フィールドは32ビット整数です。設定された各ビットは1つの操作を許可します。PDF仕様は、コンピューティングでより慣習的な0から31ではなく、1(最下位)から32(最上位)までビットに番号を付けます。実際のビット:ビット3(印刷、ビット12が高品質印刷をさらに制御)、ビット4(コンテンツ変更、主にテキスト編集)、ビット5(テキストまたはグラフィックスのコピーと抽出)、ビット6(注釈の変更:メモ、ハイライト、スタンプ)、ビット9(AcroFormフィールドの記入)、ビット10(アクセシビリティ用の抽出、スクリーンリーダーがこれに依存)、ビット11(組み立て:ページの挿入、削除、回転)。このツールはエンドユーザーが最も一般的に制御する2つのビットを公開します:印刷(ビット3、「印刷を許可」)とコピー(ビット5、「テキストとグラフィックスのコピーを許可」)。常に背景で --modify=none を設定し、ビット4、6、9、11を一度にクリアします。これは「ファイルは読書と印刷のためのものであり、編集のためではない」という保守的なデフォルトです。ビット10(アクセシビリティ)はオンのままで、スクリーンリーダーが動作し続けます。

厳しい真実:権限は助言的です。Adobe Acrobat、Adobe Reader、多くの商用リーダーによって尊重され、他のリーダーによって日常的に無視されます。Firefoxの組み込みPDF.jsビューアは意図的に権限フラグを無視します。Chromeのビューアは印刷制限を大きく尊重しますが、右クリックで制限のないバイトを保存させてくれます。ほとんどのオープンソースリーダー(Okular、Evince、MuPDF、SumatraPDF)はさまざまな程度でビットを尊重し、オプトアウト設定があります。オンラインの「PDF権限リムーバー」は単にすべての権限が設定されたファイルを書き直すだけで、暗号化レイヤーが装飾的だったためオーナーパスワードなしで機能します。このツールは標準がそう言っているから、そして名誉あるリーダーが尊重するから権限を設定します。権限が防御する脅威モデルは「文書の精神に従うAdobe Acrobatを使用する受信者」です。真の防止のためには、オープンパスワード(これは本物の暗号化です)があなたの防御です。オーナーパスワードは礼儀です。

強いパスワードの選び方

パスワード強度はユーザーパスワードの場合に重要です。暗号化が本物だからです。よく暗号化されたPDFに対する唯一の攻撃は、パスワードキー空間を網羅的に探索することです。現在のNISTガイダンス(SP 800-63B)は、シングルファクター認証パスワードは少なくとも15文字であるべきだとしています。理由は、学術研究と最近の侵害データによってよく裏付けられており、長さがエントロピーを支配するということです。一般的な単語の20文字のパスフレーズ(「correct horse battery staple」スタイル)は約90ビットのエントロピーを持ち、ブルートフォースには何世紀もかかりますが、8文字の混合大小文字英数字(「Tr0ub4dor」)は約40ビットを持ち、コモディティGPUハードウェアで数時間で陥落します。

実用的なアドバイス:4から6個の無関係な単語のパスフレーズを使用し、合計の長さは20文字以上にしてください。「rotor saxon embargo trout swivel」は「P@ssw0rd2026!」よりはるかに強く、電話から読み取らなければならない場合にも入力しやすいです。パスワードマネージャ(1Password、Bitwarden、KeePassXC)を使用する場合は、そこで20文字のランダムパスワードを生成し、PDFとそのパスワードを一緒に保存してください。受信者は帯域外(別のメール、電話、認証されたチャネル)でパスワードを取得し、自分のボールトに保存します。侵害データベースに表示されるパスワードは避けてください。他のサービスのパスワードを再利用しないでください。PDFはセッションクッキーよりもはるかに長く受信箱とクラウドドライブに残り、2018年に忘れられたフォーラムで侵害されたパスワードは2026年のPDFをまだ開くでしょう。

PDF保護を促進する実際のワークフロー

クライアントや取引相手への機密契約。 契約は別のチャネル(多くの場合電話または異なるメールアドレス)で共有されるユーザーパスワードで暗号化されます。オーナーパスワードは、受信者が契約からテキストをコピーしたり、再配布のために印刷したりできないという制限を追加します。この組み合わせは、法務、M&A、金融取引文書のための標準的なプロフェッショナルサービスワークフローです。
投資家向けの財務報告。 SEC提出は公開され暗号化されていませんが、投資家専用文書(取締役会パッケージ、四半期プレビュードラフト、重要な非公開情報)は「再配布しない」フッターと共に投資家ポータルを通じて共有されるユーザーパスワードを取得します。オーナーパスワードは他の内部文書への偶発的なコピー&ペーストを防ぎます。
HIPAAまたは同等の規制下の医療記録。 患者のPDFは、患者または要求する診療所に関連付けられたユーザーパスワードで保管時に暗号化されます。オーナーパスワードは、ファイルが開いているときでも保護された健康情報のコピー抽出を防ぎます。この組み合わせは、ほとんどの医療データ体制の「保管時暗号化」と「最小限必要な使用」の規定を満たします。
企業秘密を含む社内文書。 ソースコードの抜粋、採用ルーブリック、給与帯。ユーザーパスワードはファイルを会社内に保ちます。オーナーパスワードはリーダーをレビューのための印刷に制限し(または印刷を完全にブロックし)、ファイルが撮影されて転送されるのを防ぎます。
譲渡不可ライセンスの下のクライアント納品物。 クライアントはカスタムレポートに対して支払いました。ユーザーパスワードとカバーレターは再配布を少なくとも意図的な行為にします。オーナーパスワードの印刷無効ビットは、印刷からPDFへの再エクスポートワークフローを介した偶発的なコピーを防ぎます。
レガシー暗号化からのアーカイブ移行。 RC4-40またはRC4-128で暗号化されたレガシーPDFは無料オンラインPDFロック解除を通じてロック解除され、このツールを通じてAES-256 V=5/R=6で再暗号化されます。これにより、コンテンツを変更せずに保護レベルが上がります。組織がセキュリティベースラインをアップグレードし、古いアーカイブを見直すときによくあることです。

よくある落とし穴とその意味

「パスワードを忘れた。」 ユーザーパスワードを忘れた場合、コンテンツは失われます。パスワードキー空間に対して網羅的な探索を実行しない回復サービスはなく、15文字のパスワードの網羅的な探索は2026年のどのハードウェアでも実現不可能です。オーナーパスワードを忘れたがユーザーパスワードを覚えている場合、文書を開いて再エクスポートできます(任意のPDFツールでこれが可能です。オープンにはオーナーパスワードが必要ないため)。新しいエクスポートには権限制限はありません。
「受信者がファイルを開けない。」 2つの一般的な原因。第一に、受信者がAES-256をサポートしていない古いPDFリーダーを持っていて、256ビットで保護した場合。AES 128ビット(V=4/R=4)で再保護してください。Acrobat 5(2001)以降のすべてのPDFリーダーでサポートされています。第二に、受信者のリーダーがパスワードの非ASCII文字に問題があり、非ASCII文字を使用した場合。V=5/R=6のSASLprepはこれを大部分修正しますが、V=4/R=4には古いエンコーディングの癖があります。最大の互換性のためにASCIIパスワードを使用してください。
「『印刷を許可』制限が無視されている。」 受信者はFirefoxまたは非主流のPDFリーダーを使用しているか、権限削除ツールを使用しました。権限は助言的です。上記の「権限ビットが実際に何を制御するか」を参照してください。印刷を実際にブロックする必要がある場合、唯一の執行は社会的なものです:守秘義務契約、ライセンス、または受信者の文書の分類に対する理解。
「このPDFのデジタル署名が無効になった。」 署名されたPDFを暗号化すると文書バイトが書き換えられ、これは定義上暗号署名を無効にします。署名を保持するつもりなら、暗号化しないでください。暗号化するつもりなら、前にではなく後に署名してください。一部の署名ワークフロー(PAdES Long-Term Validation)は署名後の暗号化を許可しますが、特定の手順が必要です。両方が必要な場合は署名ツールのドキュメントを参照してください。
「オーナーパスワード = ユーザーパスワードで制限が無用になったようだ。」 正解です。オーナーパスワードがユーザーパスワードと同じ場合、どのリーダーもユーザーがオーナーパスワードを持っているかのように扱い(開くためにそれを入力したため)、権限は強制されません。権限を意味のあるものにするには、オーナーパスワードは異なり、受信者と共有してはなりません。このツールは、空白のままにしておくとデフォルトでユーザーパスワードをオーナースロットにミラーリングします。これは「開くためのパスワードだけ要求したい」ケースに便利ですが、権限制限を打ち負かします。実際に制限が必要な場合は、別のオーナーパスワードを設定してください。
「PDFは暗号化されているが、まだGoogleで検索可能だ。」 暗号化されたPDFをパブリックWebサーバーにアップロードした場合、Googleはその存在(URL、ファイル名)をインデックスできますが、その内容を読むことはできません。ファイルはディスク上で暗号化されており、Googleがテキストを抽出するにはパスワードが必要です。リスクはメタデータであり、コンテンツではありません。ファイル名自体が機密情報を明らかにする場合は、公開する前にファイルを名前変更してください。

ブラウザーのみ対クラウド保護

あらゆるクラウドPDF保護サービス(Smallpdf、ILovePDF、PDF24 web、Adobe Acrobat Online、Sejda)はPDFを事業者のサーバーにアップロードし、そこで暗号化し、暗号化されたコピーをダウンロードとして返します。プライバシーへの影響は通常のファイルアップロードとは3つの重要な点で異なります。第一に、ファイルコンテンツはアップロード時点で定義上暗号化されていません(事業者が暗号化しているため、事業者は平文を持っています)。第二に、入力したパスワードは事業者のインフラに送信されます。輸送のためにハッシュされていても、暗号化ステップで平文として存在します。第三に、事業者は今や平文ファイルとパスワードの両方を保持しているため、事業者の侵害(ログ、スナップショット、インシデント対応、内部者)があれば攻撃者にファイルを平文で渡します。主要事業者は転送中のTLS、数時間から1日以内の削除、(大手の場合)ISO/IEC 27001認証インフラを約束するプライバシーポリシーを公開していますが、PDF暗号化を動機づける脅威モデルは、平文を第三者に短時間でも渡すことと一致しないことが多いです。

このツールはPDFもパスワードもアップロードしません。qpdf WASMモジュールはブラウザータブで実行され、File API経由でファイルバイトを、標準HTML入力経由でパスワードを受け取り、暗号化されたバイトをBlobとして同じタブに返します。証明できます:「保護」をクリックする前にネットワークタブで開発者ツールを開き、操作を実行し、ファイルコンテンツやパスワードを含むリクエストが発生しないことを観察してください。唯一のネットワークトラフィックは、セッションごとに最初の暗号化時のqpdfモジュールの一度限りの取得です。トレードオフは機能の範囲です。クラウドサービスは多くの場合、OCR、Word/Excel変換、バッチアップロード、またはウォーターマークオーバーレイを暗号化と一緒にバンドルします。ここのブラウザー側暗号化は暗号化のみを行います。OCRや形式変換にはクラウドサービスが正しい選択です。プライバシー姿勢が重要な機密文書には、ブラウザーがそれです。

その他のよくある質問

AES 256ビット暗号化をサポートするPDFリーダーはどれですか?

Adobe AcrobatとAdobe Readerはバージョン9.0(2008)から、macOSのApple Previewは10.6(2009)から、Google Chromeの組み込みビューアは2012から、Microsoft EdgeのPDFビューアは2015から、FirefoxのPDF.jsは2018から、2015年以降に作られたすべての主流iOSとAndroidリーダー、qpdf/Ghostscript/Popplerベースのオープンソースリーダーは2000年代後半から。AES-256を開けないリーダーは、2008年以前のAcrobatバージョン、エンタープライズハードウェア(ATMコンソール、医療機器、産業制御)の一部のレガシー組み込みリーダー、2015年以前に廃止された一握りの不明瞭なモバイルリーダーだけです。

すでに暗号化されたPDFを暗号化できますか?

直接はできません。ツールは暗号化のためにPDFの構造を読む必要があり、すでに暗号化されたPDFはパスワードを提供するまで読み取りをブロックします。標準ワークフローは、最初に無料オンラインPDFロック解除でPDFをアンロックし(既存のパスワードが必要)、次に新しいパスワードでこのツールを使用してアンロックされた出力を暗号化することです。2ステップのプロセスは「レガシーRC4からAES-256への移行」アーカイブワークフローに使用されるのと同じパターンです。

署名、平坦化、圧縮の前または後に暗号化すべきですか?

一般的な順序は:編集、平坦化、署名、暗号化。署名は文書バイトに対して暗号ハッシュを計算するため、その後の変更(暗号化を含む)は署名を無効にします。暗号化は文書を書き換えるため、暗号化の前に平坦化しないと、暗号化がフォームフィールド構造と相互作用する可能性があります。圧縮は通常暗号化の前に行います。暗号化されたバイトは本質的にランダムで、後で圧縮されにくいためです。完全な安全な順序:永続化したいフォームフィールドを平坦化し、サイズ削減のために圧縮し、暗号証明が必要な場合は署名し、パスワード保護を追加するために最後に暗号化します。

暗号化はパスワード保護されたZIPと同等ですか?

セキュリティ境界では実質的に類似(両方ともAES-256に依存)していますが、PDF暗号化はPDFリーダーと統合します(受信者は単にファイルを開いてパスワードプロンプトを受け取ります)が、ZIP暗号化は受信者がまずファイルを抽出する必要があります。PDF暗号化はオーナーパスワード権限レイヤー(尊重するリーダーでの印刷/コピー制限)もサポートしますが、ZIPにはありません。受信者が通常のリーダーでPDFを読む必要があるファイルの場合、PDF暗号化はよりスムーズな選択です。混在コンテンツ(複数のファイル、フォルダ、非PDF添付ファイル)の場合、ZIP暗号化が唯一の選択肢です。

PDF暗号化はHIPAA、GDPR、PCI DSSコンプライアンスに十分ですか?

強力なパスワードによるAES-256暗号化は、HIPAA、GDPR第32条、PCI DSS要件3.5で要求される「保管時暗号化」の技術標準を満たします。完全なコンプライアンス体制を満たすかどうかは、データ取り扱いの他の慣行に依存します:パスワードの共有方法(ほとんどの体制で帯域外チャネルが必要)、アクセスのログ方法(HIPAAは監査トレイルを要求)、鍵ローテーションの取り扱い方法。暗号化だけではコンプライアンスに必要ですが十分ではありません。全体像についてはDPOまたはコンプライアンス責任者に相談してください。

デスクトップやコマンドラインに相当するものはありますか?

qpdfはすべてのプラットフォームで実行されます:macOSでは brew install qpdf、DebianまたはUbuntuでは apt install qpdf、Windows用にはqpdf GitHubからダウンロード可能なバイナリ。AES-256暗号化のCLI構文は qpdf --encrypt USER-PW OWNER-PW 256 -- input.pdf output.pdf です。同じライブラリ、このツールと同じプライバシー姿勢、シェルループによるバッチ処理に便利です。Adobe Acrobat Proの「ファイル > 保護 > 暗号化」メニューはGUIで同じことをします。PowerShellやzshのコマンドラインには、qpdfが最も近い相当物です。