BrowserTools
Werbung
Startseite / Encoder / Hash-Generator (SHA-1, SHA-256, SHA-384, SHA-512)

Hash-Generator (SHA-1, SHA-256, SHA-384, SHA-512)

Berechne kryptografische Hashes von Text oder Dateien lokal: SHA-1, SHA-256, SHA-384 und SHA-512.

Hash-Generator (SHA-1, SHA-256, SHA-384, SHA-512) wird geladen… Wenn nichts passiert, aktiviere JavaScript.

Eine kryptografische Hash-Funktion ist ein mathematischer Algorithmus, der eine Eingabe beliebiger Länge entgegennimmt und eine Ausgabe fester Größe erzeugt, den Hash oder Digest, der zufällig wirkt, aber vollständig deterministisch ist. Dieselbe Eingabe erzeugt stets denselben Hash, doch schon das Ändern eines einzigen Bits der Eingabe erzeugt einen völlig anderen Digest (der Lawineneffekt). Diese Einwegeigenschaft bedeutet, dass es rechnerisch undurchführbar ist, einen Hash zurück zur ursprünglichen Eingabe zu führen, was Hash-Funktionen zu einem Grundpfeiler der Computersicherheit macht. Die SHA-Familie (Secure Hash Algorithm) wurde von der National Security Agency entworfen und vom NIST standardisiert: SHA-1 1995, SHA-256/384/512 (zusammen SHA-2) 2001.

Beispiele

Eingabe hello
Ausgabe 5d41402abc4b2a76b9719d911017c592

MD5 (128 Bit). Schnell, aber für Sicherheit gebrochen; nur für Prüfsummen verwenden.

Eingabe hello
Ausgabe aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d

SHA-1 (160 Bit). Für Signaturen veraltet.

Eingabe hello
Ausgabe 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824

SHA-256 (256 Bit). Der aktuelle Allzweck-Standard.

Häufig gestellte Fragen

Werden meine Daten auf einen Server hochgeladen?
Nein. Das gesamte Hashing erfolgt lokal in deinem Browser über die Web-Crypto-API, die in jeden modernen Browser eingebaut ist und vollständig auf deinem Gerät läuft. Dein Text und deine Dateien werden nie über das Netz übertragen, sodass dieses Tool sicher mit sensiblen oder vertraulichen Eingaben verwendet werden kann.
Was ist der Unterschied zwischen SHA-256, SHA-384 und SHA-512?
Alle drei gehören zur SHA-2-Familie und gelten als kryptografisch sicher. Die Zahlen beziehen sich auf die Ausgabegröße in Bit: SHA-256 erzeugt einen 64 Zeichen langen Hex-Digest, SHA-384 erzeugt 96 Zeichen und SHA-512 erzeugt 128 Zeichen. SHA-256 ist am weitesten verbreitet; SHA-384 und SHA-512 bieten größere Sicherheitsspielräume und können von bestimmten Compliance-Standards oder Protokollen wie den TLS-1.3-Cipher-Suites verlangt werden.
Wann würde ich einen Hash in einem echten Projekt verwenden?
Häufige Verwendungen sind das Erzeugen von Prüfsummen zur Dateiintegritätsprüfung (einen SHA-256-Hash neben einem Download verteilen), der Aufbau inhaltsadressierbarer Speichersysteme (wie Git), das Erstellen von Cache-Schlüsseln aus Anfrageparametern, das Berechnen von HMAC-Nachrichtenauthentifizierungscodes und das Umsetzen von Datendeduplizierung durch den Vergleich von Hashes statt der vollständigen Dateiinhalte.
Warum ist MD5 nicht verfügbar?
MD5 ist kryptografisch gebrochen: Praktische Kollisionsangriffe sind seit 2004 öffentlich bekannt, das heißt, zwei verschiedene Eingaben können absichtlich so erstellt werden, dass sie denselben MD5-Hash erzeugen. Aus diesem Grund stellt die Web-Crypto-API MD5 nicht bereit. Wenn du eine MD5-Prüfsumme aus einem Altsystem verifizieren musst, verwende für alle neuen Prüfsummen, die du erzeugst, SHA-256: Es ist genauso schnell und dramatisch sicherer.
Kann ich eine Datei hashen, und gibt es eine Größenbeschränkung?
Ja. Nutze die Dateieingabe, um eine beliebige Datei auszuwählen; sie wird lokal über die FileReader-API gelesen, in einen ArrayBuffer umgewandelt und direkt an die Web-Crypto-API zum Hashen übergeben. Das Tool erzwingt keine feste Größenbeschränkung, doch sehr große Dateien (mehrere Gigabyte) verbrauchen erheblichen Speicher und brauchen spürbar Zeit. Für das Datei-Hashing in der Produktion eignen sich Kommandozeilenwerkzeuge wie sha256sum unter Linux/macOS oder Get-FileHash in PowerShell besser.
Funktioniert das Tool offline?
Ja. Sobald die Seite geladen ist, arbeitet das Tool vollständig offline. Die Web-Crypto-API ist eine browsereigene Funktion, die keine externe Bibliothek oder keinen externen Dienst benötigt. Du kannst die Seite mit einem Lesezeichen versehen und ohne Internetverbindung nutzen, solange die Seite zwischengespeichert ist.
Kann ich die Hash-Ausgabe direkt als Passwort oder API-Schlüssel verwenden?
Ein SHA-256-Hash eines starken Zufallswerts ergibt einen brauchbaren API-Schlüssel oder ein Sitzungstoken, doch du solltest niemals ein vom Benutzer eingegebenes Passwort mit einer bloßen SHA-Funktion hashen. SHA-256 ist extrem schnell (Milliarden Hashes pro Sekunde auf moderner Hardware), wodurch das Brute-Forcing erratbarer Passwörter trivial wird. Verwende für Passwörter stets eine langsame Schlüsselableitungsfunktion (bcrypt, scrypt oder Argon2), die gezielt dafür ausgelegt ist, Brute-Force-Angriffen zu widerstehen.
Ist SHA-1 noch sicher zu verwenden?
SHA-1 ist hinsichtlich der Kollisionsresistenz gebrochen: Der SHAttered-Angriff (2017) demonstrierte die erste praktische SHA-1-Kollision, und 2020 wurde ein Kollisionsangriff mit gewähltem Präfix veröffentlicht. SHA-1 sollte in keiner neuen Sicherheitsanwendung verwendet werden. Für sicherheitsunkritische Zwecke wie Prüfsummen, bei denen keine Kollisionsresistenz nötig ist, ist es weiterhin akzeptabel, doch SHA-256 ist selbst dort die bessere Wahl, da es auf moderner Hardware dieselbe Leistung bietet.
In welchem Format liegt die Hash-Ausgabe vor, und kann ich sie in Base64 umwandeln?
Das Tool gibt die Hashes in Kleinbuchstaben-Hexadezimal (0-9, a-f) aus, dem häufigsten und lesbarsten Format. Manche Systeme, insbesondere JWT und die HTTP-Digest-Authentifizierung, erwarten den Hash stattdessen in Base64 kodiert. Du kannst die Hex-Ausgabe in den Base64-Encoder dieser Seite kopieren, nachdem du das Hex in Binär umgewandelt hast, oder eine Bibliothek deiner Programmiersprache nutzen, um die rohen Bytes zu erhalten und sie direkt in Base64 zu kodieren.
Was ist eine 'Hash-Kollision' und warum ist sie wichtig?
Eine Kollision tritt auf, wenn zwei verschiedene Eingaben dieselbe Hash-Ausgabe erzeugen. Da Hash-Funktionen einen unendlichen Eingaberaum auf eine Ausgabe fester Größe abbilden, müssen Kollisionen mathematisch existieren, doch bei einer guten Hash-Funktion sollten sie in der Praxis unmöglich zu finden sein. Wenn Kollisionen absichtlich konstruiert werden können (wie bei MD5 und SHA-1), könnte ein Angreifer eine legitime Datei durch eine bösartige ersetzen und dabei denselben Hash beibehalten, was Integritätsprüfungen und digitale Signaturen untergräbt.

Über Hash-Generator (SHA-1, SHA-256, SHA-384, SHA-512)

Hash-Funktionen werden in moderner Software überall verwendet. Passwortspeichersysteme hashen Benutzerpasswörter mit einem zusätzlichen Salt, sodass selbst bei gestohlener Datenbank die Klartextpasswörter unbekannt bleiben. Werkzeuge zur Dateiintegrität verteilen SHA-256-Prüfsummen neben Downloads, damit Nutzer überprüfen können, dass eine Datei beim Transport nicht manipuliert wurde. Git verwendet SHA-1 (und migriert zu SHA-256), um jeden Commit, Baum und Blob eines Repositorys zu adressieren. Digitale Zertifikate, TLS-Handshakes, HMAC-Authentifizierungstokens und Code-Signing-Pipelines hängen alle von SHA-2-Hashes ab. Content-Delivery-Netzwerke verwenden Hashes als Cache-Schlüssel, und Blockchains nutzen sie für den Arbeitsnachweis.

Dieses Tool berechnet SHA-1-, SHA-256-, SHA-384- und SHA-512-Hashes direkt in deinem Browser über die Web-Crypto-API, eine native Browser-Schnittstelle, die auf der kryptografischen Bibliothek des Betriebssystems aufsetzt. Da die gesamte Berechnung auf deinem Gerät stattfindet, werden dein Eingabetext oder deine Datei nie auf einen Server hochgeladen, sodass das Tool sicher mit vertraulichen Dokumenten, Produktions-Zugangsdaten oder privaten Schlüsseln verwendet werden kann. Die Ergebnisse werden in Kleinbuchstaben-Hexadezimal angezeigt, dem häufigsten Format, und lassen sich mit einem Klick kopieren.

Die Wahl des richtigen Algorithmus ist wichtig. SHA-1 gilt hinsichtlich der Kollisionsresistenz als kryptografisch gebrochen (zwei verschiedene Eingaben lassen sich so konstruieren, dass sie denselben SHA-1-Hash erzeugen) und sollte nur für die Interoperabilität mit Altsystemen verwendet werden, nicht für neue Sicherheitsanwendungen. SHA-256 ist der aktuelle Arbeitsstandard, weit verbreitet unterstützt und für die überwiegende Mehrheit der Anwendungsfälle geeignet. SHA-384 und SHA-512 bieten größere Ausgabegrößen (und etwas stärkere Sicherheitsspielräume) auf Kosten etwas größerer Digests. Wenn du speziell Passwörter hashen musst, verwende stattdessen eine eigens dafür gebaute Passwort-Hash-Funktion wie bcrypt, scrypt oder Argon2: Kryptografische Hashes wie SHA-256 sind absichtlich schnell, was sie zu schlechten Optionen für die Passwortspeicherung macht.

Die SHA-Geschichte: von geheimen Anfängen zum globalen Standard

Die Secure-Hash-Algorithm-Familie wurde von der National Security Agency (NSA) der Vereinigten Staaten entwickelt und vom National Institute of Standards and Technology (NIST) standardisiert. Das ursprüngliche SHA (rückwirkend SHA-0 genannt) wurde 1993 veröffentlicht, doch die NSA zog es weniger als ein Jahr später zurück und berief sich offiziell auf einen Fehler, dessen Natur jedoch geheim blieb. SHA-1, sein Nachfolger, wurde 1995 veröffentlicht und wurde zu einem der am weitesten verbreiteten kryptografischen Algorithmen der Geschichte, eingebettet in alles von SSL-Zertifikaten bis zu Git-Repositorys.

Die SHA-2-Familie (SHA-256, SHA-384, SHA-512) wurde 2001 veröffentlicht, doch die Verbreitung verlief langsam, weil SHA-1 damals noch als sicher galt. Es bedurfte des theoretischen Bruchs von SHA-1 durch das Team von Wang Xiaoyun im Jahr 2005 und des praktischen SHAttered-Kollisionsangriffs 2017, um die Branche schließlich zu SHA-2 zu bewegen. Das NIST hat außerdem SHA-3 (2015) standardisiert, das auf einer völlig anderen internen Struktur beruht (der Keccak-Schwamm-Konstruktion) und als Reserve dient, falls eine grundlegende Schwäche in SHA-2 gefunden wird.

Ein faszinierendes Detail: Die Ausgabe von SHA-256 ist genau 256 Bit lang, eine so astronomisch große Zahl (etwa 10^77), dass die Anzahl möglicher SHA-256-Hashes die geschätzte Zahl der Atome im beobachtbaren Universum übersteigt. Deshalb gilt es selbst mit der gesamten Rechenleistung der Welt, die zusammenarbeitet, als praktisch unmöglich, eine bestimmte SHA-256-Eingabe allein aus ihrem Hash auf absehbare Zeit zu finden.

Werbung
Werbung
Werbung