SHA-256ハッシュジェネレーター&チェックサムツール
SHA-256ハッシュをオンラインで無料生成。テキストやファイルをブラウザ上でハッシュ化し、チェックサムを検証して64文字の16進数出力をコピー。登録不要、データはページ外に出ません。
SHA-256とは?
SHA-256(Secure Hash Algorithm、256ビット)はSHA-2ファミリーで最も広く展開されている暗号学的ハッシュ関数で、米国国家安全保障局(NSA)が設計しNISTが2001年にFIPS 180-2の一部として公開しました。テキスト・ファイル・バイトストリームなど任意の入力を受け取り、暗号強度の確実性で入力を一意に識別する固定256ビット(64文字16進数)フィンガープリントを生成します。
SHA-256は公開以来すべての衝突攻撃に対して耐性を示しています。NIST FIPS 180-4仕様は現在も有効で、米国連邦政府・PCI DSS・FIPS 140-3・IETFのインターネット標準での使用が承認されています。TLS証明書(ブラウザが証明書情報ダイアログに表示するフィンガープリント)・GitのモダンなオブジェクトIDフォーマット(Git 2.29以降のSHA-256モード)・Bitcoinのトランザクションと採掘証明・JWT署名検証(JWS HS256・RS256・ES256ファミリー)・主要なパッケージマネージャー(npm・pip・cargo・apt)の整合性カラムを支えています。
このツールはWeb Crypto APIの crypto.subtle.digest('SHA-256', ...) を使用して、ブラウザがTLSハンドシェイクで内部的に使用するものと同じプリミティブでブラウザ内でSHA-256を計算します。バイトはアップロードされず、サーバーは関与しません。表示されるハッシュはsha256sum・OpenSSLのdgst -sha256・Pythonのhashlib.sha256()が生成するものと同一です。
SHA-256を使うべき場合:ファイル整合性検証・コンテンツアドレッサブルストレージ・デジタル署名ワークフロー・証明書フィンガープリント確認・コンテンツハッシュによるキャッシュバスティング・重複排除。SHA-256を使うべきでない場合:パスワード保存(SHA-256は高速すぎるためbcrypt・scrypt・Argon2を使用)・適切な構造なしのHMAC(専用HMACライブラリを使用)・汎用ランダムIDとして(代わりに UUID を使用)。
比較:SHA-256は64文字 vs MD5の32文字(2004年以降破綻)・SHA-1の40文字(2017年以降破綻)・SHA-384の96文字・SHA-512の128文字。256ビット出力は128ビットの衝突耐性を提供し、予見可能な計算的攻撃を大幅に超えています。
// Hash text using Web Crypto API (SHA-256)
async function sha256(text) {
const data = new TextEncoder().encode(text);
const hash = await crypto.subtle.digest('SHA-256', data);
return Array.from(new Uint8Array(hash))
.map(b => b.toString(16).padStart(2, '0'))
.join('');
}
await sha256('Hello, World!');
// → 'dffd6021bb2bd5b0af676290809ec3a53191dd81c7f70a4b28688a362182986f' SHA-256の使用例
Ubuntu ISOダウンロードの検証
ubuntu-24.04.iso
ダウンロードしたISOを「ファイル」タブにドロップすると、ツールはチャンクでSHA-256を計算し大きなファイルの進捗を表示します。結果のハッシュをUbuntuがreleases.ubuntu.comで公開するSHA256SUMSファイルと比較してください。一致すればダウンロードがCanonicalの署名したものとビット単位で同一であることを確認できます。これがLinuxディストリビューションの標準的な整合性チェックです。
TLS証明書のフィンガープリント確認
-----BEGIN CERTIFICATE-----MIIDXTCCAkWg...
PEM形式の証明書本文を貼り付けてください(ツールチェーンが生のDER 16進数を要求する場合はBEGIN/ENDマーカーなし)。SHA-256フィンガープリントはブラウザの証明書情報ダイアログと HTTP Public Key Pinningヘッダーに表示されるものです。現代のブラウザはコロン区切りの32バイト16進数で表示しますが、本ツールは途切れのない64文字形式を提供します。ほとんどのAPIと設定ファイルはこの形式を期待しています。
キャッシュバスティング用コンテンツハッシュの生成
/* CSS file contents */
静的サイトの一般的なパターン:CSSやJSファイルの内容をハッシュ化し、ハッシュの最初の8文字をクエリ文字列(?v=a1b2c3d4)またはファイル名サフィックス(app.a1b2c3d4.css)として追加し、1年間のキャッシュヘッダーで配信します。内容が変わるとハッシュも変わり、確定的にキャッシュを無効化します。SHA-256は実用上衝突が不可能なため最適で、8文字に切り捨てても1サイトでの偶発的な衝突は天文学的に低い確率です。
原像検索の検証
password123
ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f
「password123」のSHA-256ハッシュはef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94fです。この例のポイントは危険性の説明です。平文のSHA-256をパスワード保存に絶対に使用しないでください。現代のGPUは毎秒数十億のハッシュをブルートフォースできます。パスワードには適切なソルトとコストパラメータを持つbcrypt・scrypt・Argon2を使用してください。SHA-256は整合性確認のためのものであり、認証情報の保存には適しません。
SHA-256ハッシュの生成方法
- 1
テキストを貼り付けるかファイルをドロップ
「テキスト」タブを選択して入力欄に任意の文字列を貼り付けるか、「ファイル」タブに切り替えてデスクトップからドロップゾーンにファイルをドラッグしてください。SHA-256アルゴリズムピッカーがすでに有効になっています。入力しながらリアルタイムでハッシュ化されます。ファイルの場合、大きなアップロード(10 MB超)では進捗インジケーターが表示されます。
- 2
64文字のハッシュをコピー
ハッシュ出力の隣にある「コピー」ボタンをクリックしてください。64文字の16進数値全体がクリップボードにコピーされます。Gitは小文字、一部のWindowsツールは大文字をデフォルトとするため、下流システムが特定のケースを要求する場合は「大文字/小文字」トグルを使用してください。
- 3
「比較」タブで検証
「比較」タブに切り替えて2つのSHA-256ハッシュ(例:自分のものと公開元のもの)を貼り付けてください。定数時間比較でタイミング情報を漏洩せずに一致/不一致を報告します。ダウンロードしたISOファイル・コンテナイメージダイジェスト・署名付きJARフィンガープリントの検証に役立ちます。
技術仕様
- アルゴリズム:SHA-2ファミリー、Merkle-Damgård構造
- SHA-256は512ビットブロック単位で入力を処理し、最初の64素数の立方根から導出された定数で64ラウンドのビット演算(回転・XOR・2^32を法とした加算)を適用します。最終ハッシュは最後のブロック処理後の内部状態です。実装:FIPS 180-4セクション4.2および6.2。
- 出力:256ビット、64文字16進数
- 常に正確に[0-9a-f](小文字)または[0-9A-F](大文字)の範囲の64文字です。異なるエンコーディング(Base64、Base64URL)は文字列を短くします。本ツールは正規の16進数形式を出力します。
- パフォーマンス:ブラウザで約500 MB/s、ネイティブで約2 GB/s
- Web CryptoのSHA-256実装はJS VMの外で実行されるコンパイル済みC/Rustで、ネイティブツールと競争力があります。典型的なブラウザのハッシュレート:300〜800 MB/s。1 GBファイルのハッシュは1〜3秒です。
- 標準:FIPS 180-4、RFC 6234、NIST SP 800-107
- NISTにより2030年以降まですべてのセキュリティ強度レベルで承認済み。PCI DSS 4.0でカード会員データの整合性に必須、FedRAMP、Common Criteria EAL2+評価でも必要とされています。
ベストプラクティス
- 常にUTF-8バイトをハッシュ化する
- 同じ文字列の異なるエンコーディングは異なるハッシュを生成します。UTF-8がデファクト標準で、本ツールはハッシュ前に入力をUTF-8で符号化します。UTF-16(一部のWindows API)やLatin-1を使用するツールと一致させる必要がある場合は、外部で符号化してください。
- 検証時は定数時間比較を使用
- コードで2つのハッシュを比較する場合は、定数時間等値チェックを使用してください(Node.jsのtimingsafe_equal、Pythonのhmac.compare_digest)。素の===やstrcmpはタイミング情報を漏洩し、ハッシュの復元に悪用される可能性があります。本ツールの「比較」タブはすでに定数時間比較を使用しています。
- 非セキュリティ用途ではSHA-256の切り詰めは許容範囲
- キャッシュバスティングファイル名や短いコンテンツIDのために、SHA-256ハッシュの最初の8〜16文字を取ることは問題ありません。インターネット規模での衝突確率はまだ天文学的に低いです。暗号用途(署名・フィンガープリント)には常に64文字全体を保持してください。
- キー付き用途にはソルトを組み合わせる
- 秘密からキーまたはトークンを導出するためにSHA-256を使用する場合、入力ごとに固有のソルトを必ず含めてください。ソルトなしでは同一の入力が同一のハッシュを生成し、情報が漏洩します。より良い方法:生のSHA-256ではなく鍵導出にHKDF(RFC 5869)またはHMAC-SHA-256を使用してください。
SHA-256 よくある質問
SHA-256とは何ですか?MD5やSHA-1とどう違いますか?
SHA-256ハッシュの長さはどれくらいですか?
SHA-256はパスワード保存に安全ですか?
SHA-256から元の入力を逆算できますか?
SHA-256とSHA-2の違いは何ですか?
このツールを使うとデータはサーバーに送信されますか?
ダウンロードのSHA-256チェックサムを検証する方法は?
コマンドラインツールと出力が異なるのはなぜですか?
SHA-256は空ファイルをハッシュ化できますか?
SHA-256とSHA-512のどちらを使うべきですか?
関連ツール
すべてのツールを見る →JWT デコーダー — オンライン解析ツール
セキュリティツール
JWTトークンを無料のJWTデコーダーでオンラインデコード。ヘッダー、ペイロード、署名、有効期限、アルゴリズム、クレームを即座に検査できます。100%ブラウザ動作 — トークンはデバイスから外に出ません。登録不要、追跡なし。
MD5ハッシュジェネレーター&ファイルチェックサムツール
セキュリティツール
無料オンラインMD5ハッシュ生成ツール。ブラウザ上でMD5・SHA-256・SHA-1・SHA-512のハッシュ値を即座に生成。テキストやファイルのチェックサム検証・比較、ワンクリックコピー対応。登録不要でデータはサーバーに送信されません。
ランダムパスワード生成 — カスタマイズ可能&安全
セキュリティツール
無料のオンラインランダムパスワード生成ツール。ブラウザ上で安全な強力パスワードを即座に自動生成できます。長さや文字種のカスタマイズ、最大50個の一括生成に対応。エントロピー分析付き強度メーター搭載。データはサーバーに送信されません。
SHA-1ハッシュジェネレーター(160ビット・レガシー)
セキュリティツール
ブラウザ上でSHA-1ハッシュを生成。40文字の16進数出力、アップロード不要。Gitコミット確認・旧証明書フィンガープリント検証・移行監査向けレガシーツール。データはデバイス外に出ません。
SHA-3ハッシュジェネレーター(Keccak SHA3-256)
セキュリティツール
SHA-3ハッシュをオンラインで無料生成。NIST FIPS 202スポンジ構造 — SHA-2後継の標準。SHA3-256出力64文字16進数。ブラウザ完結型(遅延読み込みjs-sha3)、アップロードなし。
SHA-384ハッシュジェネレーター(TLS Suite Bハッシュ)
セキュリティツール
SHA-384ハッシュをオンラインで生成。96文字16進数出力、長さ拡張攻撃耐性、NSA Suite B準拠。AES-256-GCMとTLSで組み合わせて使用。すべてのハッシュ処理はWeb Crypto API経由でブラウザ内で完結。