Skip to content

SHA-256 Hash Generator & Alat Checksum

Hasilkan hash SHA-256 online gratis. Hash teks atau file di browser Anda, verifikasi checksum, dan salin output hex 64 karakter. Tanpa pendaftaran; data tidak pernah meninggalkan halaman.

Tanpa Pelacakan Berjalan di Browser Gratis
Semua hashing dilakukan secara lokal di browser Anda. Tidak ada data yang dikirim ke server mana pun.
Algoritma
Ditinjau untuk kebenaran SHA-256 terhadap vektor uji NIST FIPS 180-4 — Go Tools Engineering Team · May 28, 2026

Apa Itu SHA-256?

SHA-256 (Secure Hash Algorithm, 256-bit) adalah fungsi hash kriptografis yang paling banyak diterapkan dalam keluarga SHA-2, dirancang oleh Badan Keamanan Nasional AS dan diterbitkan oleh NIST pada 2001 sebagai bagian dari FIPS 180-2. Ia mengambil input apa pun — teks, file, atau aliran byte — dan menghasilkan sidik jari tetap 256-bit (64 karakter heksadesimal) yang mengidentifikasi input dengan kepastian tingkat kriptografis.

SHA-256 telah menolak semua serangan tabrakan sejak publikasi. Spesifikasi NIST FIPS 180-4 tetap berlaku; disetujui untuk penggunaan oleh pemerintah federal AS, PCI DSS, FIPS 140-3, dan standar internet IETF. Ini mendukung sertifikat TLS (sidik jari yang ditampilkan browser dalam dialog sertifikat), format ID objek modern Git (sejak Git 2.29 dalam mode SHA-256), ID transaksi Bitcoin dan proof-of-work, verifikasi tanda tangan JWT (keluarga JWS HS256, RS256, ES256), dan kolom integritas setiap manajer paket utama (npm, pip, cargo, apt).

Alat ini menghitung SHA-256 sepenuhnya di browser Anda menggunakan crypto.subtle.digest('SHA-256', ...) dari Web Crypto API — primitif yang sama yang digunakan browser secara internal untuk TLS handshake. Tidak ada byte yang diunggah; tidak ada server yang terlibat. Hash yang Anda lihat persis sama dengan yang dihasilkan sha256sum, OpenSSL dgst -sha256, atau Python hashlib.sha256().

Kapan menggunakan SHA-256: verifikasi integritas file, penyimpanan yang dialamatkan berdasarkan konten, alur kerja tanda tangan digital, sidik jari sertifikat, cache-busting melalui hash konten, deduplikasi. Kapan tidak menggunakan SHA-256: penyimpanan kata sandi (gunakan bcrypt, scrypt, atau Argon2 — SHA-256 terlalu cepat untuk pertahanan kata sandi), HMAC tanpa konstruksi yang tepat, atau sebagai ID acak (gunakan UUID sebagai gantinya).

Untuk perbandingan: SHA-256 menghasilkan 64 karakter hex vs. MD5 32 (rusak sejak 2004), SHA-1 40 (rusak sejak 2017), SHA-384 96, dan SHA-512 128. Output 256-bit memberikan 128 bit ketahanan tabrakan — jauh melampaui serangan komputasi yang terbayangkan.

// Hash text using Web Crypto API (SHA-256)
async function sha256(text) {
  const data = new TextEncoder().encode(text);
  const hash = await crypto.subtle.digest('SHA-256', data);
  return Array.from(new Uint8Array(hash))
    .map(b => b.toString(16).padStart(2, '0'))
    .join('');
}

await sha256('Hello, World!');
// → 'dffd6021bb2bd5b0af676290809ec3a53191dd81c7f70a4b28688a362182986f'

Contoh SHA-256

Verifikasi unduhan ISO Ubuntu

ubuntu-24.04.iso

Masukkan ISO yang diunduh ke tab File; alat menghitung SHA-256 dalam potongan, menampilkan kemajuan untuk file besar. Bandingkan hash yang dihasilkan terhadap file SHA256SUMS yang Ubuntu terbitkan di releases.ubuntu.com. Kecocokan mengonfirmasi unduhan bit-identik dengan apa yang ditandatangani Canonical — pemeriksaan integritas standar untuk distribusi Linux mana pun.

Sidik jari sertifikat TLS

-----BEGIN CERTIFICATE-----MIIDXTCCAkWg...

Tempel badan sertifikat berformat PEM. Sidik jari SHA-256 adalah yang muncul di dialog info sertifikat browser dan dalam header HTTP Public Key Pinning. Browser modern menampilkan ini sebagai 32 byte hex yang dipisahkan titik dua; alat ini memberikan bentuk 64-karakter yang tidak terputus, yang diharapkan sebagian besar API dan file konfigurasi.

Buat hash konten untuk cache busting

/* Isi file CSS */

Pola situs statis yang umum: hash konten file CSS atau JS, tambahkan 8 karakter pertama hash sebagai string query (?v=a1b2c3d4) atau sufiks nama file (app.a1b2c3d4.css), dan sajikan dengan header cache 1 tahun. Ketika konten berubah, hash berubah, memperbarui cache secara deterministik. SHA-256 cocok karena tabrakan tidak layak secara praktis — bahkan dipotong menjadi 8 karakter, tabrakan tidak disengaja sangat tidak mungkin untuk satu situs.

Verifikasi pre-image

password123
ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f

Hash SHA-256 dari 'password123' adalah ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f. Poin contoh ini adalah bahayanya: jangan pernah gunakan SHA-256 biasa untuk penyimpanan kata sandi — itu terlalu cepat (GPU modern brute-force miliaran per detik). Untuk kata sandi, gunakan bcrypt, scrypt, atau Argon2 dengan salt dan parameter biaya yang tepat. SHA-256 adalah untuk integritas, bukan kredensial.

Cara Membuat Hash SHA-256

  1. 1

    Tempel teks atau masukkan file

    Pilih tab Teks dan tempel string apa pun ke area input, atau beralih ke tab File dan seret file dari desktop Anda ke dropzone. Pemilih algoritma SHA-256 sudah aktif. Hashing terjadi saat Anda mengetik — tidak perlu klik tombol Hasilkan. Untuk file, indikator kemajuan muncul selama unggahan besar (>10 MB).

  2. 2

    Salin hash 64 karakter

    Klik tombol Salin di samping output hash. Nilai hex 64 karakter penuh masuk ke clipboard Anda. Gunakan toggle Huruf Besar/Kecil jika sistem downstream Anda memerlukan kasus tertentu — Git menggunakan lowercase, beberapa alat Windows default ke uppercase.

  3. 3

    Verifikasi dengan tab Bandingkan

    Beralih ke tab Bandingkan dan tempel dua hash SHA-256 (misalnya, milik Anda dan milik penerbit). Alat melaporkan cocok/tidak cocok dengan perbandingan constant-time. Berguna untuk memverifikasi file ISO yang diunduh, digest image container, atau sidik jari JAR yang ditandatangani.

Detail Teknis

Algoritma: keluarga SHA-2, konstruksi Merkle-Damgård
SHA-256 memproses input dalam blok 512-bit, menerapkan 64 ronde operasi bitwise (rotasi, XOR, penambahan modulo 2^32) dengan konstanta yang diturunkan dari akar kubik 64 bilangan prima pertama. Hash akhir adalah status internal setelah blok terakhir. Implementasi: FIPS 180-4 bagian 4.2 dan 6.2.
Output: 256 bit, 64 karakter hex
Selalu persis 64 karakter dalam rentang [0-9a-f] (lowercase) atau [0-9A-F] (uppercase). Encoding berbeda (Base64, Base64URL) mempersingkat string; alat ini menghasilkan bentuk hex kanonik.
Performa: ~500 MB/s di browser, ~2 GB/s native
Implementasi SHA-256 Web Crypto adalah C/Rust yang dikompilasi yang berjalan di luar VM JS, sehingga kompetitif dengan alat native. Tingkat hash browser yang khas: 300-800 MB/s. File 1 GB di-hash dalam 1-3 detik.
Standar: FIPS 180-4, RFC 6234, NIST SP 800-107
Saat ini disetujui oleh NIST untuk semua tingkat kekuatan keamanan hingga 2030 dan seterusnya. Diwajibkan oleh PCI DSS 4.0 untuk integritas data kartu, oleh FedRAMP, dan oleh evaluasi Common Criteria EAL2+.

Praktik Terbaik

Selalu hash byte UTF-8, bukan poin kode Unicode
Encoding yang berbeda dari string yang sama menghasilkan hash yang berbeda. UTF-8 adalah standar de facto; alat ini mengkodekan input sebagai UTF-8 sebelum hashing. Jika Anda perlu mencocokkan alat yang menggunakan UTF-16 (beberapa API Windows) atau Latin-1, Anda perlu pre-encode secara eksternal.
Gunakan perbandingan constant-time saat memverifikasi
Jika Anda membandingkan dua hash dalam kode, gunakan pemeriksaan kesetaraan constant-time (timingsafe_equal di Node.js, hmac.compare_digest di Python). === atau strcmp naif membocorkan informasi timing yang dapat dieksploitasi untuk memulihkan hash. Tab Bandingkan alat ini sudah menggunakan perbandingan constant-time.
Memotong SHA-256 dapat diterima untuk penggunaan non-keamanan
Untuk nama file cache-busting atau ID konten pendek, mengambil 8 atau 16 karakter hex pertama dari hash SHA-256 tidak masalah — probabilitas tabrakan masih sangat rendah pada skala internet. Untuk penggunaan kriptografis (tanda tangan, sidik jari), selalu pertahankan 64 karakter penuh.
Pasangkan dengan salt untuk penggunaan yang dikunci
Jika Anda menggunakan SHA-256 untuk menurunkan kunci atau token dari rahasia, selalu sertakan salt unik per input. Tanpa salt, input identik menghasilkan hash identik — yang membocorkan informasi. Lebih baik: gunakan HKDF (RFC 5869) atau HMAC-SHA-256 alih-alih SHA-256 mentah untuk derivasi kunci.

FAQ SHA-256

Apa itu SHA-256 dan bagaimana bedanya dari MD5 atau SHA-1?
SHA-256 adalah fungsi hash kriptografis 256-bit dalam keluarga SHA-2, dirancang oleh NSA dan distandarkan oleh NIST dalam FIPS 180-4. Ia menghasilkan output heksadesimal 64 karakter. Tidak seperti MD5 (128-bit, rusak sejak 2004) dan SHA-1 (160-bit, rusak sejak 2017), SHA-256 tetap aman secara kriptografis: tidak ada tabrakan praktis yang pernah ditemukan. Ini adalah standar industri saat ini untuk tanda tangan digital, sidik jari sertifikat, ID transaksi blockchain, dan verifikasi integritas.
Seberapa panjang hash SHA-256?
Selalu 64 karakter heksadesimal (256 bit = 32 byte, dikodekan sebagai 2 karakter hex per byte). Panjang output tetap terlepas dari ukuran input — input 1 byte dan input 10 GB keduanya menghasilkan 64 karakter hex. Panjang tetap inilah yang membuatnya berguna sebagai sidik jari.
Apakah SHA-256 aman untuk penyimpanan kata sandi?
Tidak. SHA-256 terlalu cepat — GPU modern dapat menghitung miliaran hash SHA-256 per detik, yang persis diinginkan penyerang untuk brute-forcing kata sandi. Gunakan hash kata sandi yang sengaja lambat: bcrypt, scrypt, atau Argon2id, masing-masing dengan salt yang tepat dan parameter biaya tinggi. SHA-256 adalah untuk integritas (memverifikasi data tidak dimanipulasi), bukan untuk menyimpan rahasia.
Bisakah SHA-256 dibalik untuk menemukan input asli?
Tidak. SHA-256 adalah fungsi satu arah: diberikan hash, tidak ada algoritma efisien untuk memulihkan input. Satu-satunya serangan umum adalah brute force — mencoba setiap kemungkinan input dan meng-hash masing-masing. Untuk input arbitrer ini secara komputasi tidak layak. Pengecualian: input pendek dan mudah ditebak (kata sandi umum, kata sederhana) dapat dicari dalam rainbow table, inilah mengapa pemberian salt pada kata sandi penting.
Apa perbedaan antara SHA-256 dan SHA-2?
SHA-2 adalah nama keluarga; SHA-256 adalah satu anggota spesifik. Keluarga SHA-2 juga mencakup SHA-512 (512-bit), SHA-384 (SHA-512 yang dipotong), SHA-224 (SHA-256 yang dipotong), SHA-512/224, dan SHA-512/256. Semua berbagi konstruksi Merkle-Damgård yang sama dengan ukuran kata dan aturan pemotongan yang berbeda. SHA-256 adalah anggota yang paling banyak diterapkan — itu yang digunakan TLS, JWT, Git, dan Bitcoin secara default.
Apakah data saya dikirim ke server saat menggunakan alat ini?
Tidak. SHA-256 dihitung sepenuhnya di browser Anda menggunakan Web Crypto API (crypto.subtle.digest). Buka DevTools → tab Network saat melakukan hashing — Anda akan melihat nol permintaan keluar. File yang Anda masukkan dalam mode File dibaca dengan FileReader API dan di-hash secara lokal; byte tidak pernah meninggalkan mesin Anda. Ini membuat alat aman untuk meng-hash dokumen rahasia, kode proprietari, atau checksum sensitif.
Bagaimana cara memverifikasi checksum SHA-256 dari unduhan?
1) Unduh file. 2) Buka alat ini dan klik tab File. 3) Seret file ke dropzone. 4) Tunggu hash dihitung (file besar butuh beberapa detik). 5) Buka file SHA256SUMS yang diterbitkan penerbit. 6) Tempel kedua hash ke tab Bandingkan — hijau berarti cocok, merah berarti file rusak atau dimanipulasi. Sebagian besar distribusi Linux, runtime bahasa (Python, Node.js), dan vendor perangkat lunak menerbitkan checksum SHA-256 bersama unduhan mereka.
Mengapa output SHA-256 saya berbeda dari alat baris perintah?
Hampir selalu karena spasi atau encoding. Perintah shell `echo "hello" | sha256sum` menyertakan baris baru (\n) di akhir, sehingga hash adalah untuk "hello\n" bukan "hello". Gunakan `echo -n "hello"` untuk menghapusnya. Gotcha lainnya: akhiran baris Windows (\r\n vs \n), UTF-8 BOM, atau perbedaan antara hashing byte UTF-8 vs byte UTF-16. SHA-256 sangat sensitif — satu byte mengubah seluruh output.
Bisakah SHA-256 meng-hash file kosong?
Ya. SHA-256 dari nol byte adalah konstanta yang terkenal: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855. Ini kadang digunakan sebagai nilai sentinel atau sebagai verifikasi cepat bahwa pipeline hashing terhubung dengan benar.
Haruskah saya menggunakan SHA-256 atau SHA-512?
Gunakan SHA-256 untuk sebagian besar kasus — lebih cepat pada hardware 32-bit, didukung universal, dan memberikan 128 bit keamanan terhadap tabrakan. Gunakan SHA-512 ketika Anda berada di hardware 64-bit di mana sebenarnya lebih cepat, atau ketika Anda secara khusus memerlukan 256 bit ketahanan tabrakan untuk protokol kriptografis yang membutuhkannya. Untuk penggunaan sehari-hari (checksum file, Git, TLS), SHA-256 adalah standar.

Alat Terkait

Lihat semua alat →

JWT Decoder

Alat Keamanan

Dekode token JWT online dengan dekoder JWT gratis kami. Periksa header, payload, tanda tangan, kedaluwarsa, dan klaim secara instan. 100% browser — token Anda tidak meninggalkan perangkat. Tanpa pendaftaran, tanpa pelacakan.

MD5 Hash Generator & Alat Checksum File

Alat Keamanan

Hasilkan hash MD5, SHA-256, SHA-1 & SHA-512 secara online gratis. Hash teks atau file di browser Anda, verifikasi checksum dan salin hasil. Tanpa pendaftaran.

Generator Kata Sandi Acak Online — Kuat, Aman & Gratis

Alat Keamanan

Buat kata sandi acak yang kuat secara instan — gratis, tanpa pendaftaran, 100% di browser. Sesuaikan panjang & karakter, batch hingga 50 dengan analisis entropi.

SHA-1 Hash Generator (160-bit, Algoritma Usang)

Alat Keamanan

Hasilkan hash SHA-1 di browser — output hex 40 karakter, tanpa unggah. Algoritma usang untuk sidik jari Git, cek sertifikat lama, dan audit migrasi. Data tidak pernah meninggalkan perangkat Anda.

SHA-3 Hash Generator (Keccak SHA3-256 NIST)

Alat Keamanan

Hasilkan hash SHA-3 online gratis. Konstruksi sponge NIST FIPS 202 — standar pasca-SHA-2. Output SHA3-256 dalam 64 karakter hex. Hanya browser melalui js-sha3 yang di-lazy-load; tanpa unggahan.

SHA-384 Hash Generator (Hash Suite B TLS)

Alat Keamanan

Hasilkan hash SHA-384 online — output hex 96 karakter, kebal ekstensi panjang, sesuai NSA Suite B. Dipasangkan dengan AES-256-GCM di TLS. Semua hashing berjalan di browser Anda melalui Web Crypto API.