Quelle est la qualité de la protection par mot de passe PDF?

Il semble que la protection par mot de passe de Word ne soit pas vraiment bonne, du moins jusqu'à Office 2003, si je lis correctement cette entrée SU . J'ai l'impression que la protection par mot de passe PDF d'Acrobat devrait être meilleure (il indique AES 128 bits pour Acrobat 7 et supérieur). Est-ce vrai?

Bien sûr, cela dépend de la force du mot de passe utilisé, mais en supposant que je protège mon PDF avec un mot de passe comme sd8Jf + * e8fh§ $ fd8sHä, suis-je du bon côté?

Par exemple, pour l'envoi d'informations confidentielles sur les patients - pas vraiment utiles, mais potentiellement très sensibles.

Depuis le site Adobe - Sécurisation des documents avec des mots de passe :

L'option Acrobat 3 et versions ultérieures utilise un niveau de cryptage faible (RC4 40 bits), tandis que les autres options utilisent un niveau de cryptage élevé (RC4 128 bits ou AES). Acrobat 6.0 et versions ultérieures vous permettent d'activer les métadonnées pour la recherche. Acrobat 9.0 et versions ultérieures crypte le document à l'aide de l'algorithme de chiffrement AES avec une taille de clé de 256 bits.

Donc, apparemment, 7 utilisera AES 128 bits. Je dirais que vous êtes très en sécurité, surtout avec un mot de passe comme ça. L' Institut national des normes et de la technologie convient:

En supposant que l'on puisse construire une machine qui pourrait récupérer une clé DES en une seconde (c'est-à-dire essayer 255 clés par seconde), il faudrait alors à cette machine environ 149 000 milliards (149 000 milliards d'années) pour casser une clé AES 128 bits. .

Bien sûr, cela dépend de la force du mot de passe utilisé, mais en supposant que je protège mon PDF avec un mot de passe comme sd8Jf + * e8fh§ $ fd8sHä, suis-je du bon côté?

Avec un tel mot de passe, vos documents seront à peu près bien protégés. Surtout sous Acrobat 7 et 8.

Sous Acrobat 9, Adobe a apporté des modifications à l'algorithme sous-jacent. Et alors qu'ils ont mis à niveau le cryptage vers AES 256 bits, l'algorithme permet aux attaques par force brute et par dictionnaire de gaspiller moins de cycles de processeur à chaque interaction de mot de passe. Vous pouvez en lire plus sur le blog d'Adobe .

Forcément, ce type de mot de passe sera fort sous Acrobat 9 et rendra toute méthode de force brute ou d'attaque par dictionnaire (à peu près le seul moyen de casser un document protégé par pdf) des méthodes très inefficaces. Et même s'il faut dire que ces outils fonctionneront plus rapidement sous Acrobat 9, il faudra encore des années avant qu'une machine utilisateur commune puisse éventuellement casser votre mot de passe.

Un dernier commentaire, la taille de votre mot de passe sera le facteur de protection le plus déterminant, ainsi que le nombre unique de caractères. Ainsi, vous pouvez vous attendre à fournir un mot de passe tel que mypaSwURD_frOM2009onMunTH # 16, qui est plus facile à mémoriser (inclut les fautes de frappe intentionnelles) et à obtenir toujours le même niveau de sécurité élevé.

Les derniers crackers peuvent, sur des machines dotées des bonnes cartes vidéo, utiliser le GPU lui-même pour casser des mots de passe avec une attaque par force brute à une vitesse comparable à un super-ordinateur.

Si le mot de passe n'était pas assez long, il sera craqué en quelques minutes et jusqu'à plusieurs jours.

Conclusion: ce n'est que si vous utilisez la dernière version d'Acrobat et que vous utilisez des mots de passe très longs et sans mots de dictionnaire que vous serez suffisamment en sécurité.

Mais alors, tout cela sera un effort inutile si votre mot de passe a été divulgué sur le Web ...

Je crois me souvenir que l'on pourrait:

• Procurez-vous une imprimante PDF gratuite / open source (c'est-à-dire que vous imprimez dessus depuis votre application et qu'elle produit un fichier PDF)
• Ouvrez le PDF protégé dans Acrobat Reader
• Imprimez le PDF sur l'imprimante PDF, vous retrouvant ainsi avec un nouveau fichier PDF sans protection.

Cela vaut la peine d'enquêter.

Franchement, je ne ferais confiance à personne. Protections par mot de passe intégrées au pdf, traitement de texte, tableurs, logiciels d'archivage ... Ce sont presque tous des systèmes de bricolage, mis en place pour arrêter les gens honnêtes, pas les gens déterminés. Peu importe la façon dont le mot de passe est stocké en toute sécurité s'il y a des solutions (Acrobat est bien meilleur que Word, cependant).

Je recommanderais de regarder dans GPG ou PGP pour le chiffrement réel (ils sont fondamentalement le même programme, mais PGP est poli, commercial et cher, et gpg est open source, peu rude sur les bords (en ce qui concerne la convivialité) et libre comme de la bière.) Vous pouvez les intégrer au courrier électronique, vous pouvez enregistrer le format de document qui vous convient, et vous pouvez être sûr que, tant que vos procédures d'échange de clés seront solides, personne ne le sera lire votre courrier.

D'un point de vue plus pratique ... dirons-nous juridique ..., passer au chiffrement complet va faire beaucoup pour montrer que vous êtes pris en compte avec des données sensibles.

Le test simple consiste à envoyer un fichier pdf crypté en acrobate V9.0 avec un mot de passe similaire à sd8Jf + * e8fh§ $ fd8sHa et à demander à quiconque de le décrypter. Si après 10 jours, personne n'a répondu avec le contenu affiché, vous savez que vos données sont en sécurité. Cependant, souvenez-vous de deux problèmes avec les mots de passe. 1. Votre destinataire devra savoir de quoi il s'agit - et peut le divulguer comme dans l'élément suivant. 2. C'est incroyable la puissance des enregistreurs de frappe. Ceux-ci lisent vos mots de passe au fur et à mesure que vous les tapez et les envoient potentiellement n'importe où sans que vous le sachiez. Votre «tampon» de clavier est votre ennemi à cet égard. Même PGP souffre de la même vulnérabilité. Quelle est la réponse? Placez vos fichiers de données sur un serveur - où vous ne pouvez accéder que via un processus en deux parties. Par exemple, voyez comment PayPal n'autorise désormais l'accès qu'en option via un nouveau code de sécurité envoyé à votre mobile.

Cela devrait être un commentaire pour satanicpuppy, mais les commentaires sont limités à 600 caractères. :-(

Je soutiens cela (satanicpuppys) comme étant la réponse la plus sensée.

Vous examinez la force du mot de passe pour mesurer la sécurité d'un élément. Dans ce cas, vous parlez - à titre d'exemple - de données patient. La sécurité que vous recherchez est donc destinée à sécuriser le contenu et non l'algorithme ou la fonctionnalité (impression, sauvegarde, copier / coller).

Bien que je convienne qu'il pourrait être très difficile d'imprimer un document qui est protégé de cette façon, le PDF a été - et est toujours - facile à décrypter. De cette façon, le contenu peut être désembrouillé et écrit dans un autre fichier, sans aucune restriction.

Je ne suis en aucun cas un hacker, mais les deux scripts Python nécessaires pour cela étaient si faciles à utiliser, même j'ai réussi à "libérer" mon ebook protégé par Adobe DRM que je viens de télécharger hier ... Sans blague.

Et bien sûr, vous devriez jeter un œil à Elcomsoft, car vous pouvez y trouver n'importe quelle fissure pour pratiquement n'importe quoi. PDF et Word en haut de la liste.