PDF’e şifre ekle veya kaldır

PDF’e parola koymak, “güvenlik tiyatrosu” ile gerçek kriptografi arasında garip bir yerde duran işlerden biri. Doğru yapıldığında, dosya seviyesinde uygulanan AES-256 şifrelemesi belgeyi anahtar olmadan gerçek anlamda okunamaz hâle getiriyor — e‑postanın iletildiği biri olsa bile, dosya yanlışlıkla bir paylaşılan diske düşse bile, telefon kaybedilse bile içeriğe erişmek mümkün olmuyor. Yanlış yapıldığında, zayıf parolalarla ya da bazı araçların hâlâ varsayılan tuttuğu eski RC4 şifrelemesiyle birlikte, gerçekten içeriği isteyen biri için çok küçük bir engelden öteye gitmiyor. Şifreleme gücü ile parola kalitesinin seçimi bu iki sonuç arasındaki farkı belirliyor; buradaki araç AES-256’yı varsayılan tutuyor, çünkü eski seçeneklerin modern donanım karşısında bilinen zaafları var.

Bu özelliğe en sık başvurulan yer e‑posta güvenliği. Hukuk ekipleri gizlilik sözleşmesi (NDA) ve sözleşme taslağı gönderiyor; insan kaynakları teklif mektubu ve maaş bordrosu yolluyor; sağlık kuruluşları tahlil sonucu gönderiyor; muhasebeciler yıl sonu raporları paylaşıyor. Tüm bu durumlarda e‑postanın kendisi alıcının e‑posta sağlayıcısının (Microsoft, Google, ya da başka bir kurumsal sistem) üzerinden geçiyor ve “e‑posta zaten transit sırasında şifreli” varsayımı büyük resmi gözden kaçırıyor: dosya alıcının makinesinde diske düşüyor, ileri iletilebiliyor, bir yedeklemeye girebiliyor, altı ay sonra ele geçirilen bir hesaba düşebiliyor. PDF’in kendisini şifrelemek, güvenlik sınırını taşıyıcıdan dosyaya taşıyor; çoğu zaman olması gereken yer de zaten orası.

PDF’in aslında desteklediği iki farklı parola arasındaki ayrımı bilmek önemli. Kullanıcı parolası (open password olarak da geçer), dosyanın doğru karakter dizisi girilmeden açılmasını engelliyor. Sahip parolası (owner password) ise farklı bir kavram: yazdırma, metin kopyalama, ek açıklama yapma gibi izinleri kontrol ediyor. Yalnızca sahip parolası ayarlanmış bir PDF açılırken sormuyor ama uyumlu bir okuyucuda yazdırılmaya ya da kopyalanmaya izin vermiyor. Yalnızca kullanıcı parolası ayarlanmış bir PDF açılmadan önce parola istiyor; girildikten sonra tüm haklar serbest. Çoğu kullanıcı için doğru olan kullanıcı parolası; sahip parolası, yalnızca uyumlu okuyucuların izin kontrolünü gerçekten gerektiren niş bir özellik.

İzin denetiminin bir kısmı bu özelliğin kriptografi olmaktan çıkıp bir “rica” hâline geldiği yer. PDF spesifikasyonu izinleri tanımlıyor, Adobe Acrobat, Apple Preview ve Foxit gibi uyumlu okuyucular bunlara saygı duyuyor, ama disk üzerindeki baytlar belgenin tam içeriğini taşımaya devam ediyor — izin bayraklarını görmezden gelmek isteyen herhangi biri, internette bulunan araçlarla bunu otuz saniye içinde yapıyor. Gerçek güvenlik konumlanması şu: izinler kaza eseri kopyalama ve yazdırmayı caydırıyor; kullanıcı parolası ise gerçek anlamda okumayı engelliyor. Eğer gerçek bir gizlilik gerekiyorsa kullanıcı parolasına yaslanmak doğru tercih; izin bayrakları, uyumlu okuyucuların kibarca dikkate aldığı bir öneri olarak kalıyor.

Bu aracın diğer yarısı, parolayı kaldırmak. Düşünüldüğünden çok daha sık karşılaşılan bir ihtiyaç. Bir tedarikçi her müşterisine standart bir parolayla fatura gönderiyor; eski bir arşivdeki PDF’in parolasını kimse hatırlamıyor ama dosya hâlâ gerekli; bir danışman korumalı bir rapordan sunum için sayfa çıkarmak istiyor. Parolayı bildiğin sürece kaldırmak tek bir işlem. Bilmediğin durumda hiçbir yazılım dünyada bunu kurtaramaz — modern PDF şifrelemesi gerçekten güçlü ve unutulmuş AES-256 PDF’ler için parola kurtarma hesaplama açısından mümkün değil. Birisi “parolayı çözebilir misin” diye sorduğunda dürüst cevap, kaynağın parolasız tekrar gönderilmesi gerektiği; kırma gerçekçi bir yol değil.

Parola seçimi başka bir hesaba gösterilen aynı özeni hak ediyor. Sekiz karakter karışık büyük‑küçük harf, rakam ve sembol mevcut donanım hızında çevrimdışı sözlük saldırılarına direnen alt sınır; on iki karakter aynı karmaşıklıkta rahat bir bölge. İsimler, tarihler, sözlük kelimeleri tek başına ve dosyanın içeriğinden türetilebilecek herhangi bir şey (alıcının adı, şirketin adı, belge türü) açıkça kaçınılması gereken seçimler. Parola yöneticisi bu parolaları tutmanın doğru yeri — PDF’e güçlü bir parola koyup ardından e‑postanın gövdesinde ekin yanına yazmak tüm anlamı bozan bir hata.

E‑posta sunucuları ve belge geçitleriyle ilgili ince bir etkileşim de bilinmesinde fayda var. Bazı kurumsal e‑posta sistemleri tarayamadıkları ekleri reddediyor; şifrelenmiş bir PDF zararlı yazılım tarayıcısı için opak olduğu için dosya karantinaya alınıyor ya da geri dönüyor. Standart çözüm, dosyayı şifrelenmemiş göndermek ve parolayı ayrı bir kanaldan iletmek (telefon, Signal, SMS) — ama bu kolaylığın bir kısmını ortadan kaldırıyor; o yüzden alıcının geçidinin şifreli PDF’i geçirip geçirmediğini önceden teyit etmek mantıklı bir adım. Hassas materyalin avukata, bankaya, sağlık kuruluşuna gideceği durumlarda alıcı tarafın BT bölümüne kısa bir kontrol e‑postası nadiren boşa atılan bir hamle.

Türkiye’de KEP ve e‑imza ile ilgili özel bir not da bırakmak gerek: Resmi yazışmalarda KEP zaten taşıyıcı düzeyinde şifreleme sağlıyor ama dosyanın kendisi düz PDF olarak kalıyor. KEP üzerinden gönderilen bir sözleşmeye AES-256 eklemek ek bir güvenlik katmanı oluyor; alıcı dosyayı KEP gelen kutusundan dışa aktardığında bile içerik korunuyor. e‑imzalı PDF’lerde işin biraz farklı; e‑imza, dosyanın bütünlüğünü doğruluyor ama içeriği gizlemiyor. Şifreleme ve e‑imza birlikte kullanılabiliyor; sıralama önemli — önce e‑imza, sonra şifreleme uygulanmalı, aksi takdirde imza geçersiz hâle geliyor.

Şirket içi süreçlerde sıkça karşılaşılan bir vaka da müşteri ve tedarikçi gizlilik sözleşmelerinin günlük operasyona entegre edilmesi. Bir tedarikçiyle paylaşılan teknik şartname, bir yatırım toplantısının yatırımcı sunumu, bir M&A görüşmesinin değerleme dosyası — bunların her biri parolayla iletildiğinde alıcının dosyayı dahili ekibe iletip iletmediğini, iletildiyse de hangi kanaldan iletildiğini takip etmek mümkün olmuyor. Parola koruması bu zincirin başında kontrolü senin elinde tutuyor; alıcı parolayı paylaşmadıysa dosya da paylaşılamıyor. Bu, gizliliğin teknik güvencesi olmasa bile sözleşmesel bir güvence sağlıyor: parola iletmediğin biri dosyayı görmüş ise, zincirde bir noktada kasıtlı bir paylaşım olmuş demek; bu da hukuki açıdan önemli bir çıkarım hâline geliyor.

Bütün bunların altında yatan tehdit modelini açık etmek de değer. PDF’e konan parola belirli bir risk kümesine karşı koruma sağlıyor: ekin iliştirildiği e‑postanın iletilmesi, dosyanın indirilenler klasöründe duran bir laptop’ın kaybolması, önbelleklenmiş eki olan bir telefonun çalınması, ekranı kilitlenmemiş birinin omzuna bakan biri. Alıcının makinesine yazılım yükleyebilen kararlı bir saldırgana, keylogger’lara ya da belgeyi sızdırmaya karar veren alıcının kendisine karşı bir koruma sağlamıyor. Parolanın gerçekten ne satın aldığını bilmek beklentileri gerçekçi tutuyor; PDF şifrelemesini, başlangıçta dosyaya kimi emanet ettiğini düşünmenin yerine geçen bir şey gibi görmek en sık karşılaşılan başarısızlık biçimi.

Uzun vadeli arşiv açısından dikkat edilmesi gereken bir nokta da var. Bugün şifrelenip soğuk depolamaya konan bir sözleşme beş ya da on yıl sonra, orijinal alıcı olmayan biri tarafından, henüz var olmayan bir yazılımda açılması gerekebiliyor. Parolanın o süre boyunca erişilebilir olması gerek — bir parola yöneticisi, kurumsal anahtar emanet sistemi, noter, hangi kanal doğruysa o. Zamanla biriken risk şifrelemenin kendisinin kırılması değil (AES-256 öngörülebilir gelecekte kırılmayacak); parolanın insan hafızasından kaybolması. Yazarından sonra da yaşaması beklenen dosyalar için belgelenmiş bir anahtar kurtarma prosedürü, şifrenin gücünden daha önemli oluyor.

DocuSign ve Adobe Sign gibi e‑imza platformlarıyla karşılaştırma yapmaya değer. Bu platformlar farklı bir sorunu çözüyor — belirli bir kişinin belirli bir belge sürümünü imzaladığını ispatlamak — ve genelde PDF’in üstüne kendi erişim kontrollerini de koyuyorlar. Hedef, anlaşmanın imzalandığının ispatıysa e‑imza akışı doğru cevap. Hedef, dosyanın içeriğinin yanlış ellerde okunabilir olmasını engellemekse şifreleme doğru cevap. İkisi birbirinin yerine geçen değil, birbirini tamamlayan kavramlar; doğru kalıp genelde önce e‑imza, ardından gizlilik de gerekiyorsa şifreleme uygulamak. Sırayı tersine çevirmek imzayı bozuyor.