Skip to content

SHA-256 Hash Generator & Prüfsummen-Tool

SHA-256-Hashes online kostenlos generieren. Text oder Dateien im Browser hashen, Prüfsummen verifizieren und 64-Zeichen-Hex-Ausgabe kopieren. Ohne Anmeldung; Daten verlassen die Seite nicht.

Kein Tracking Läuft im Browser Kostenlos
Alles Hashing wird lokal in deinem Browser durchgeführt. Keine Daten werden an einen Server übermittelt.
Algorithmus
Überprüft auf SHA-256-Korrektheit anhand von NIST FIPS 180-4-Testvektoren — Go Tools Engineering Team · May 28, 2026

Was ist SHA-256?

SHA-256 (Secure Hash Algorithm, 256-Bit) ist die am weitesten verbreitete kryptografische Hash-Funktion der SHA-2-Familie, von der U.S. National Security Agency entworfen und 2001 vom NIST als Teil von FIPS 180-2 veröffentlicht. Sie nimmt eine beliebige Eingabe — Text, Datei oder Byte-Stream — und erzeugt einen festen 256-Bit-(64-Hexadezimalzeichen-)Fingerprint, der die Eingabe mit kryptografischer Gewissheit eindeutig identifiziert.

SHA-256 hat seit der Veröffentlichung allen Kollisionsangriffen standgehalten. Die NIST-FIPS-180-4-Spezifikation ist weiterhin aktuell; sie ist für die Verwendung durch die U.S.-Bundesregierung, PCI DSS, FIPS 140-3 und die Internet-Standards der IETF zugelassen. Sie bildet die Grundlage für TLS-Zertifikate, Gits modernes Objekt-ID-Format (seit Git 2.29), Bitcoin-Transaktions-IDs und Proof-of-Work, JWT-Signaturverifizierung sowie die Integritätsspalte jedes großen Paketmanagers (npm, pip, cargo, apt).

Dieses Tool berechnet SHA-256 vollständig in deinem Browser mit crypto.subtle.digest('SHA-256', ...) aus der Web Crypto API. Keine Bytes werden hochgeladen; kein Server ist beteiligt. Der Hash, den du siehst, ist exakt das, was sha256sum, OpenSSLs dgst -sha256 oder Pythons hashlib.sha256() erzeugen würden.

Wann SHA-256 verwenden: Dateiintegritätsverifizierung, Content-Addressed Storage, digitale Signatur-Workflows, Zertifikats-Fingerprinting, Cache-Busting via Content-Hashing, Deduplizierung. Wann SHA-256 nicht verwenden: Passwortspeicherung (bcrypt, scrypt oder Argon2 verwenden — SHA-256 ist viel zu schnell), HMAC ohne die korrekte Konstruktion (dedizierte HMAC-Bibliothek verwenden) oder als allgemeine Zufalls-ID (stattdessen UUID verwenden).

Zum Vergleich: SHA-256 erzeugt 64 Hex-Zeichen gegenüber MD5s 32 (seit 2004 gebrochen), SHA-1s 40 (seit 2017 gebrochen), SHA-384s 96 und SHA-512s 128. Die 256-Bit-Ausgabe bietet 128 Bit Kollisionsresistenz — weit jenseits jedes absehbaren rechnerischen Angriffs.

// Hash text using Web Crypto API (SHA-256)
async function sha256(text) {
  const data = new TextEncoder().encode(text);
  const hash = await crypto.subtle.digest('SHA-256', data);
  return Array.from(new Uint8Array(hash))
    .map(b => b.toString(16).padStart(2, '0'))
    .join('');
}

await sha256('Hello, World!');
// → 'dffd6021bb2bd5b0af676290809ec3a53191dd81c7f70a4b28688a362182986f'

SHA-256-Beispiele

Ubuntu-ISO-Download verifizieren

ubuntu-24.04.iso

Spiele die heruntergeladene ISO in den Reiter "Datei" ein; das Tool berechnet SHA-256 in Blöcken und zeigt den Fortschritt für große Dateien an. Vergleiche den resultierenden Hash mit der SHA256SUMS-Datei, die Ubuntu auf releases.ubuntu.com veröffentlicht. Eine Übereinstimmung bestätigt, dass der Download bitidentisch mit dem von Canonical signierten ist — die Standard-Integritätsprüfung für jede Linux-Distribution.

TLS-Zertifikat fingerprinting

-----BEGIN CERTIFICATE-----MIIDXTCCAkWg...

Füge einen PEM-kodierten Zertifikatskörper ein. Der SHA-256-Fingerprint ist das, was in Browser-Zertifikatsinfoboxen und in HTTP Public Key Pinning-Headern erscheint. Moderne Browser zeigen dies als 32 Hex-Bytes getrennt durch Doppelpunkte; dieses Tool gibt dir die zusammenhängende 64-Zeichen-Form, die die meisten APIs und Konfigurationsdateien erwarten.

Content-Hash für Cache-Busting generieren

/* CSS-Dateiinhalt */

Ein gängiges Static-Site-Muster: Hashe den Inhalt einer CSS- oder JS-Datei, hänge die ersten 8 Zeichen des Hashes als Query-String (?v=a1b2c3d4) oder Dateinamen-Suffix (app.a1b2c3d4.css) an und serviere mit einem 1-Jahres-Cache-Header. Wenn sich der Inhalt ändert, ändert sich der Hash und bricht deterministisch Caches auf. SHA-256 eignet sich gut, da Kollisionen in der Praxis unmöglich sind.

Pre-Image-Lookup-Verifizierung

password123
ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f

SHA-256-Hash von 'password123' ist ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f. Der Punkt dieses Beispiels ist die Gefahr: Verwende niemals einfaches SHA-256 zur Passwortspeicherung — es ist viel zu schnell (eine moderne GPU brute-forced Milliarden pro Sekunde). Für Passwörter nutze bcrypt, scrypt oder Argon2 mit korrektem Salt und Kostenfaktor. SHA-256 ist für Integrität, nicht für Zugangsdaten.

SHA-256-Hashes generieren

  1. 1

    Text einfügen oder Datei einspielen

    Wähle den Reiter "Text" und füge einen beliebigen String in den Eingabebereich ein, oder wechsle zum Reiter "Datei" und ziehe eine Datei von deinem Desktop in die Drop-Zone. Der SHA-256-Algorithmus ist bereits aktiv. Hashing geschieht während der Eingabe — kein Klicken auf "Generieren" erforderlich. Für Dateien wird ein Fortschrittsanzeiger bei großen Uploads angezeigt (>10 MB).

  2. 2

    Den 64-Zeichen-Hash kopieren

    Klicke auf die Kopieren-Schaltfläche neben der Hash-Ausgabe. Der vollständige 64-Zeichen-Hex-Wert wird in die Zwischenablage kopiert. Nutze den Groß-/Kleinbuchstaben-Schalter, wenn dein System ein bestimmtes Format erfordert — Git nutzt Kleinbuchstaben, einige Windows-Tools verwenden standardmäßig Großbuchstaben.

  3. 3

    Mit dem Reiter "Vergleichen" verifizieren

    Wechsle zum Reiter "Vergleichen" und füge zwei SHA-256-Hashes ein (z. B. deinen und den eines Herausgebers). Das Tool meldet Übereinstimmung/Nichtübereinstimmung mit zeitkonstantem Vergleich. Nützlich zur Verifizierung heruntergeladener ISO-Dateien, Container-Image-Digests oder signierter JAR-Fingerprints.

Technische Details

Algorithmus: SHA-2-Familie, Merkle-Damgård-Konstruktion
SHA-256 verarbeitet Eingaben in 512-Bit-Blöcken und wendet 64 Runden bitweiser Operationen (Rotationen, XORs, Additionen modulo 2^32) mit Konstanten an, die aus den Kubikwurzeln der ersten 64 Primzahlen abgeleitet werden. Der endgültige Hash ist der interne Zustand nach dem letzten Block. Implementierung: FIPS 180-4, Abschnitte 4.2 und 6.2.
Ausgabe: 256 Bit, 64 Hex-Zeichen
Immer genau 64 Zeichen im Bereich [0-9a-f] (Kleinbuchstaben) oder [0-9A-F] (Großbuchstaben). Verschiedene Kodierungen (Base64, Base64URL) kürzen den String; dieses Tool gibt die kanonische Hex-Form aus.
Performance: ~500 MB/s im Browser, ~2 GB/s nativ
Web Cryptos SHA-256-Implementierung ist kompiliertes C/Rust, das außerhalb der JS-VM läuft, sodass es mit nativen Tools konkurrenzfähig ist. Typische Browser-Hash-Rate: 300–800 MB/s. Eine 1-GB-Datei wird in 1–3 Sekunden gehasht.
Standards: FIPS 180-4, RFC 6234, NIST SP 800-107
Derzeit von NIST für alle Sicherheitsstärken bis 2030 und darüber hinaus genehmigt. Von PCI DSS 4.0 für die Integrität von Karteninhaberdaten, von FedRAMP und von Common Criteria EAL2+-Bewertungen gefordert.

Best Practices

Immer UTF-8-Bytes hashen, keine Unicode-Code-Points
Verschiedene Kodierungen derselben Zeichenkette erzeugen unterschiedliche Hashes. UTF-8 ist der De-facto-Standard; dieses Tool kodiert Eingaben als UTF-8 vor dem Hashen. Wenn du ein Tool abgleichen musst, das UTF-16 (einige Windows-APIs) oder Latin-1 verwendet, musst du extern vorkodieren.
Zeitkonstanten Vergleich bei der Verifizierung verwenden
Wenn du zwei Hashes im Code vergleichst, verwende eine zeitkonstante Gleichheitsprüfung (timingsafe_equal in Node.js, hmac.compare_digest in Python). Naives === oder strcmp gibt Timing-Informationen preis, die ausgenutzt werden können, um den Hash zu rekonstruieren. Der Reiter "Vergleichen" dieses Tools verwendet bereits zeitkonstanten Vergleich.
Kürzen von SHA-256 ist für nicht-sicherheitsbezogene Zwecke akzeptabel
Für Cache-Busting-Dateinamen oder kurze Content-IDs ist die Verwendung der ersten 8 oder 16 Hex-Zeichen eines SHA-256-Hashes in Ordnung — die Kollisionswahrscheinlichkeit ist bei Internet-Maßstab immer noch astronomisch gering. Für kryptografischen Einsatz (Signaturen, Fingerprints) behalte immer die vollen 64 Zeichen.
Mit einem Salt für jeden schlüsselbasierten Einsatz kombinieren
Wenn du SHA-256 verwendest, um einen Schlüssel oder Token aus einem Geheimnis abzuleiten, füge immer einen eindeutigen Salt pro Eingabe hinzu. Ohne Salt erzeugen identische Eingaben identische Hashes — was Informationen preisgibt. Besser: HKDF (RFC 5869) oder HMAC-SHA-256 anstelle von rohem SHA-256 für die Schlüsselableitung verwenden.

SHA-256 FAQ

Was ist SHA-256 und wie unterscheidet es sich von MD5 oder SHA-1?
SHA-256 ist eine 256-Bit-kryptografische Hash-Funktion der SHA-2-Familie, von der NSA entworfen und vom NIST in FIPS 180-4 standardisiert. Sie erzeugt eine 64-Zeichen-Hexadezimalausgabe. Im Gegensatz zu MD5 (128-Bit, seit 2004 gebrochen) und SHA-1 (160-Bit, seit 2017 gebrochen) bleibt SHA-256 kryptografisch sicher: es wurde noch nie eine praktische Kollision gefunden. Es ist der aktuelle Industriestandard für digitale Signaturen, Zertifikats-Fingerprints, Blockchain-Transaktions-IDs und Integritätsverifizierung.
Wie lang ist ein SHA-256-Hash?
Immer 64 hexadezimale Zeichen (256 Bit = 32 Bytes, kodiert als 2 Hex-Zeichen pro Byte). Die Ausgabelänge ist unabhängig von der Eingabegröße fest — eine 1-Byte-Eingabe und eine 10-GB-Eingabe erzeugen beide 64 Hex-Zeichen. Diese feste Länge macht ihn als Fingerprint nützlich.
Ist SHA-256 zur Passwortspeicherung geeignet?
Nein. SHA-256 ist zu schnell — eine moderne GPU kann Milliarden von SHA-256-Hashes pro Sekunde berechnen, was genau das ist, was ein Angreifer für Brute-Force-Angriffe auf Passwörter möchte. Verwende einen bewusst langsamen Passwort-Hash: bcrypt, scrypt oder Argon2id, jeweils mit korrektem Salt und hohem Kostenfaktor. SHA-256 dient der Integrität (Verifizierung, dass Daten nicht manipuliert wurden), nicht zur Speicherung von Geheimnissen.
Kann SHA-256 umgekehrt werden, um die ursprüngliche Eingabe zu finden?
Nein. SHA-256 ist eine Einwegfunktion: Gegeben einen Hash gibt es keinen effizienten Algorithmus, um die Eingabe wiederherzustellen. Der einzige allgemeine Angriff ist Brute-Force — alle möglichen Eingaben ausprobieren und jede hashen. Für beliebige Eingaben ist dies rechnerisch unmöglich. Die Ausnahme: kurze, vorhersagbare Eingaben (häufige Passwörter, einfache Wörter) können in Rainbow-Tables nachgeschlagen werden — deshalb ist das Salzen von Passwörtern wichtig.
Was ist der Unterschied zwischen SHA-256 und SHA-2?
SHA-2 ist der Familienname; SHA-256 ist ein spezifisches Mitglied. Die SHA-2-Familie umfasst auch SHA-512 (512-Bit), SHA-384 (gekürztes SHA-512), SHA-224 (gekürztes SHA-256), SHA-512/224 und SHA-512/256. Alle teilen dieselbe Merkle-Damgård-Konstruktion mit unterschiedlichen Wortgrößen und Kürzungsregeln. SHA-256 ist das am weitesten verbreitete Mitglied — es ist der Standard für TLS, JWT, Git und Bitcoin.
Werden meine Daten an einen Server gesendet?
Nein. SHA-256 wird vollständig in deinem Browser über die Web Crypto API (crypto.subtle.digest) berechnet. Öffne Entwicklertools → Netzwerk-Tab während des Hashens — du siehst null ausgehende Anfragen. Die Datei, die du im Datei-Modus einspielst, wird mit der FileReader API gelesen und lokal gehasht; die Bytes verlassen dein Gerät nie.
Wie verifiziere ich eine SHA-256-Prüfsumme eines Downloads?
1) Datei herunterladen. 2) Dieses Tool öffnen und auf den Reiter "Datei" klicken. 3) Die Datei in die Drop-Zone ziehen. 4) Auf die Hash-Berechnung warten (große Dateien dauern einige Sekunden). 5) Die veröffentlichte SHA256SUMS-Datei des Herausgebers öffnen. 6) Beide Hashes in den Reiter "Vergleichen" einfügen — grün bedeutet Übereinstimmung, rot bedeutet die Datei ist beschädigt oder manipuliert.
Warum unterscheidet sich meine SHA-256-Ausgabe von einem Kommandozeilen-Tool?
Fast immer Leerzeichen oder Kodierung. Der Shell-Befehl `echo "hello" | sha256sum` enthält ein abschließendes Zeilenumbruchzeichen (\n), sodass der Hash für "hello\n" und nicht für "hello" ist. Verwende `echo -n "hello"`, um es zu entfernen. Weitere Fallstricke: Windows-Zeilenenden (\r\n vs. \n), UTF-8-BOM oder der Unterschied zwischen UTF-8- und UTF-16-Bytes. SHA-256 ist extrem empfindlich — ein einzelnes Byte verändert die gesamte Ausgabe.
Kann SHA-256 eine leere Datei hashen?
Ja. Der SHA-256-Wert von null Bytes ist eine bekannte Konstante: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855. Dieser wird manchmal als Sentinel-Wert oder zur schnellen Überprüfung verwendet, dass die Hashing-Pipeline korrekt verdrahtet ist.
Soll ich SHA-256 oder SHA-512 verwenden?
Verwende SHA-256 für die meisten Fälle — es ist schneller auf 32-Bit-Hardware, allgegenwärtig unterstützt und bietet 128 Bit Kollisionsresistenz. Verwende SHA-512, wenn du auf 64-Bit-Hardware bist, wo es tatsächlich schneller ist, oder wenn du speziell 256 Bit Kollisionsresistenz für kryptografische Protokolle benötigst. Für den alltäglichen Einsatz (Dateiprüfsummen, Git, TLS) ist SHA-256 der Standard.

Verwandte Werkzeuge

Alle Werkzeuge anzeigen →

JWT-Dekodierer

Sicherheitswerkzeuge

Dekodieren Sie JWT-Token online mit unserem kostenlosen JWT-Dekodierer. Inspizieren Sie sofort Header, Payload, Signatur, Ablauf und Claims. 100 % Browser — Ihr Token verlässt niemals Ihr Gerät. Keine Anmeldung, kein Tracking.

MD5-Hash-Generator & Datei-Prüfsummen-Tool

Sicherheitswerkzeuge

MD5-, SHA-256-, SHA-1- & SHA-512-Hashes online kostenlos generieren. Text oder Dateien im Browser hashen, Prüfsummen verifizieren und Ergebnisse kopieren. Ohne Anmeldung.

Zufallspasswort-Generator — Anpassbar, Stark & Sicher

Sicherheitswerkzeuge

Starke Zufallspasswörter sofort generieren — kostenlos, ohne Anmeldung, 100 % im Browser. Länge & Zeichentypen anpassen, bis zu 50 auf einmal. Stärkeanzeige mit Entropie-Analyse.

SHA-1 Hash Generator (160-Bit-Legacy)

Sicherheitswerkzeuge

SHA-1-Hashes im Browser generieren — 40-Zeichen-Hex-Ausgabe, ohne Upload. Legacy-Tool für Git-Fingerprints, alte Zertifikatsprüfungen und Migrationsaudits. Daten verlassen dein Gerät nicht.

SHA-3 Hash Generator (Keccak SHA3-256)

Sicherheitswerkzeuge

SHA-3-Hashes online kostenlos generieren. NIST FIPS 202-Schwamm-Konstruktion — der Post-SHA-2-Standard. SHA3-256-Ausgabe in 64 Hex-Zeichen. Browser-only via js-sha3; keine Uploads.

SHA-384 Hash Generator (TLS Suite B Hash)

Sicherheitswerkzeuge

SHA-384-Hashes online generieren — 96-Zeichen-Hex-Ausgabe, längenextensions-immun, NSA Suite B-konform. Mit AES-256-GCM in TLS kombiniert. Alles Hashing läuft im Browser via Web Crypto API.