PDF-Verschlüsselung nutzt die folgenden Verschlüsselungsalgorithmen:

RC4, eine symmetrische Bitstromverschlüsselung (das heißt, der selbe Algorithmus kann zum Ver- und Entschlüsseln genutzt werden). RC4 ist ein älterer proprietärer Algorithmus.

AES (Advanced Encryption Standard) wird im Standard FIPS-197 definiert. AES ist eine moderne Blockverschlüsselung, die für viele verschiedene Anwendungen eingesetzt wird.

Weil es sich bei den eigentlichen Chiffrierschlüsseln um unhandliche binäre Sequenzen handelt, werden sie aus einem nutzerfreundlicheren Passwort abgeleitet, das aus lesbaren Zeichen besteht. Im Zuge der Entwicklung von PDF und Acrobat wurden die PDF-Verschlüsselungsmethoden erweitert, um stärkere Algorithmen, längere Chiffrierschlüssel und anspruchsvollere Passwörter nutzen zu können.

Die PDF-Verschlüsselung verwendet das Benutzer- oder Hauptkennwort nicht direkt, um den Inhalt des Dokuments zu verschlüsseln, sondern errechnet einen Chiffrierschlüssel aus dem Passwort und anderen Parametern einschließlich der Berechtigungseinstellungen. Die Länge der Chiffrierschlüssel, mit denen das Dokument tatsächlich verschlüsselt wird, ist unabhängig von der Länge des Passworts (siehe Tabelle).

PDF-Verschlüsselung arbeitet abhängig von der PDF-Version intern mit Chiffrierschlüsseln von 40, 128 oder 256 Bit. Der binäre Chiffrierschlüssel wird aus einem Passwort abgeleitet, das der Nutzer auswählt. Das Passwort ist in Länge und Verschlüsselung beschränkt:

Bis zu PDF 1.7 (ISO 32000-1) waren Passwörter auf eine maximale Länge von 32 Zeichen beschränkt und konnten nur Zeichen der Kodierung Latin-1 enthalten.

PDF 1.7 Adobe Extension Level 3 führte Unicode-Zeichen ein und erhöhte die maximale Länge auf 127 Bytes in der UTF-8-Darstellung des Passworts. Da UTF-8 die Zeichen mit einer variablen Länge von 1 bis 4 Bytes kodiert, kann die zulässige Anzahl von Unicode-Zeichen im Passwort weniger als 127 betragen, wenn das Passwort Zeichen außerhalb des ASCII-Zeichensatzes enthält. Da zum Beispiel japanische Zeichen normalerweise 3 Byte in der UTF-8-Darstellung erfordern, können nur bis zu 42 japanische Zeichen für das Passwort verwendet werden.

Um Mehrdeutigkeiten zu vermeiden, werden Unicode-Passwörter mittels eines Prozesses namens SASLprep (spezifiziert in RFC 4013, basierend auf Stringprep in RFC 3454) normalisiert. Dieser Prozess entfernt Zeichen, bei denen es sich nicht um Text handelt und normalisiert bestimmte Zeichenklassen (zum Beispiel werden Leerzeichen, die nicht aus dem ASCII-Zeichensatz stammen auf das ASCII-Leerzeichen U+0020 abgebildet). Das Passwort wird zur Unicode-Normalisierungsform NF KC normalisiert. Dabei vermeidet ein spezielles bidirektionales Verfahren Mehrdeutigkeiten, wie sie auftreten könnten, wenn von rechts nach links laufende und von links nach rechts laufende Zeichen in einem Passwort gemischt werden.

Die Stärke der PDF-Verschlüsselung wird nicht nur durch die Länge des Chiffrierschlüssels bestimmt, sondern auch durch die Länge und Qualität des Passworts. Es ist weithin bekannt, dass Namen, einfache Wörter und Ähnliches nicht in Passwörtern genutzt werden sollten, denn sie können einfach erraten oder systematisch über den sogenannten Wörterbuch-Angriff herausgefunden werden. Untersuchungen haben ergeben, dass eine große Zahl der gewählten Passwörter aus Namen der Partner oder Haustiere, Geburtstagen oder Spitznamen von Kindern etc. bestehen und daher sehr einfach zu erraten sind.