Skip to content

Gerador de Hash SHA-256 e Ferramenta de Checksum

Gere hashes SHA-256 online gratuitamente. Faça hash de texto ou arquivos no navegador, verifique checksums e copie saída hex de 64 caracteres. Sem cadastro; dados nunca saem da página.

Sem rastreamento Roda no navegador Grátis
Todo o hashing é realizado localmente no seu navegador. Nenhum dado é transmitido a qualquer servidor.
Algoritmo
Revisado para correção de SHA-256 contra vetores de teste NIST FIPS 180-4 — Go Tools Engineering Team · May 28, 2026

O que é SHA-256?

SHA-256 (Secure Hash Algorithm, 256 bits) é a função de hash criptográfica mais amplamente implantada da família SHA-2, projetada pela Agência de Segurança Nacional dos EUA e publicada pelo NIST em 2001 como parte do FIPS 180-2. Recebe qualquer entrada — texto, arquivo ou fluxo de bytes — e produz uma impressão digital fixa de 256 bits (64 caracteres hexadecimais) que identifica a entrada com certeza criptográfica.

SHA-256 resistiu a todos os ataques de colisão desde a publicação. A especificação NIST FIPS 180-4 permanece atual; é aprovada para uso pelo governo federal dos EUA, PCI DSS, FIPS 140-3 e padrões da Internet do IETF. Sustenta certificados TLS (a impressão digital que os navegadores mostram nos diálogos de certificado), o formato moderno de ID de objeto do Git (desde o Git 2.29 no modo SHA-256), IDs de transação do Bitcoin e prova de trabalho, verificação de assinatura JWT (família JWS HS256, RS256, ES256) e a coluna de integridade de todos os principais gerenciadores de pacotes (npm, pip, cargo, apt).

Esta ferramenta calcula SHA-256 inteiramente no seu navegador usando crypto.subtle.digest('SHA-256', ...) da Web Crypto API — o mesmo primitivo que os navegadores usam internamente para handshakes TLS. Nenhum byte é enviado; nenhum servidor está envolvido. O hash que você vê é exatamente o que sha256sum, dgst -sha256 do OpenSSL ou hashlib.sha256() do Python produziria.

Quando usar SHA-256: verificação de integridade de arquivos, armazenamento endereçável por conteúdo, fluxos de trabalho de assinatura digital, impressão digital de certificados, cache busting via hash de conteúdo, deduplicação. Quando não usar SHA-256: armazenamento de senhas (use bcrypt, scrypt ou Argon2 — SHA-256 é rápido demais para defesa de senhas), HMAC sem a construção adequada (use uma biblioteca HMAC dedicada) ou como ID aleatório de uso geral (use UUID).

Para comparação: SHA-256 produz 64 hex vs. 32 do MD5 (quebrado desde 2004), 40 do SHA-1 (quebrado desde 2017), 96 do SHA-384 e 128 do SHA-512. A saída de 256 bits fornece 128 bits de resistência a colisões — muito além de qualquer ataque computacional previsível.

// Hash text using Web Crypto API (SHA-256)
async function sha256(text) {
  const data = new TextEncoder().encode(text);
  const hash = await crypto.subtle.digest('SHA-256', data);
  return Array.from(new Uint8Array(hash))
    .map(b => b.toString(16).padStart(2, '0'))
    .join('');
}

await sha256('Hello, World!');
// → 'dffd6021bb2bd5b0af676290809ec3a53191dd81c7f70a4b28688a362182986f'

Exemplos de SHA-256

Verificar download de ISO do Ubuntu

ubuntu-24.04.iso

Solte a ISO baixada na aba Arquivo; a ferramenta calcula SHA-256 em partes, exibindo o progresso para arquivos grandes. Compare o hash resultante com o arquivo SHA256SUMS que o Ubuntu publica em releases.ubuntu.com. Uma correspondência confirma que o download é bit-idêntico ao que a Canonical assinou — a verificação de integridade padrão para qualquer distribuição Linux.

Obter impressão digital de certificado TLS

-----BEGIN CERTIFICATE-----MIIDXTCCAkWg...

Cole um corpo de certificado codificado em PEM (sem os marcadores BEGIN/END se sua cadeia de ferramentas espera hex DER bruto). A impressão digital SHA-256 é o que aparece nos diálogos de informação de certificado do navegador e nos cabeçalhos HTTP Public Key Pinning. Os navegadores modernos exibem isso como 32 bytes hex separados por dois pontos; esta ferramenta fornece a forma ininterrupta de 64 caracteres, que é o que a maioria das APIs e arquivos de configuração espera.

Gerar hash de conteúdo para cache busting

/* CSS file contents */

Um padrão comum em sites estáticos: faça hash do conteúdo de um arquivo CSS ou JS, acrescente os primeiros 8 caracteres do hash como string de consulta (?v=a1b2c3d4) ou sufixo de nome de arquivo (app.a1b2c3d4.css) e sirva com cabeçalho de cache de 1 ano. Quando o conteúdo muda, o hash muda, invalidando os caches deterministicamente. SHA-256 é bem adequado porque colisões são inviáveis na prática — mesmo truncado para 8 chars, uma colisão acidental é astronomicamente improvável para um único site.

Verificação de pré-imagem

password123
ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f

O hash SHA-256 de 'password123' é ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f. O ponto deste exemplo é o perigo: nunca use SHA-256 puro para armazenamento de senhas — é rápido demais (uma GPU moderna faz força bruta de bilhões por segundo). Para senhas, use bcrypt, scrypt ou Argon2 com parâmetros adequados de salt e custo. SHA-256 é para integridade, não para credenciais.

Como Gerar Hashes SHA-256

  1. 1

    Cole texto ou solte um arquivo

    Selecione a aba Texto e cole qualquer string na área de entrada, ou mude para a aba Arquivo e arraste um arquivo da sua área de trabalho para a zona de soltura. O seletor de algoritmo SHA-256 já está ativo. O hash é calculado conforme você digita — sem botão Gerar para clicar. Para arquivos, um indicador de progresso aparece para uploads grandes (>10 MB).

  2. 2

    Copie o hash de 64 caracteres

    Clique no botão Copiar ao lado da saída do hash. O valor hex completo de 64 caracteres vai para a sua área de transferência. Use o botão Maiúsculas/Minúsculas se o seu sistema downstream exigir um caso específico — o Git usa minúsculas, algumas ferramentas do Windows usam maiúsculas por padrão.

  3. 3

    Verifique com a aba Comparar

    Mude para a aba Comparar e cole dois hashes SHA-256 (por exemplo, o seu e o de um distribuidor). A ferramenta relata correspondência/não correspondência com comparação em tempo constante, para que o resultado não vaze informações de temporização. Útil para verificar arquivos ISO baixados, digests de imagens de contêineres ou impressões digitais de JARs assinados.

Detalhes Técnicos

Algoritmo: família SHA-2, construção Merkle-Damgård
SHA-256 processa a entrada em blocos de 512 bits, aplicando 64 rodadas de operações bitwise (rotações, XORs, adições módulo 2^32) com constantes derivadas das raízes cúbicas dos primeiros 64 números primos. O hash final é o estado interno após o último bloco. Implementação: FIPS 180-4 seções 4.2 e 6.2.
Saída: 256 bits, 64 caracteres hexadecimais
Sempre exatamente 64 caracteres no intervalo [0-9a-f] (minúsculas) ou [0-9A-F] (maiúsculas). Diferentes codificações (Base64, Base64URL) encurtam a string; esta ferramenta gera a forma hex canônica.
Desempenho: ~500 MB/s no navegador, ~2 GB/s nativo
A implementação SHA-256 da Web Crypto é C/Rust compilado rodando fora da VM JavaScript, sendo competitiva com ferramentas nativas. Taxa de hash típica no navegador: 300–800 MB/s. Um arquivo de 1 GB é processado em 1–3 segundos.
Padrões: FIPS 180-4, RFC 6234, NIST SP 800-107
Atualmente aprovado pelo NIST para todos os níveis de força de segurança até 2030 e além. Exigido pelo PCI DSS 4.0 para integridade de dados de titulares de cartão, pelo FedRAMP e por avaliações Common Criteria EAL2+.

Boas Práticas

Sempre faça hash de bytes UTF-8, não de pontos de código Unicode
Diferentes codificações da mesma string produzem hashes diferentes. UTF-8 é o padrão de facto; esta ferramenta codifica a entrada como UTF-8 antes de fazer o hash. Se você precisar corresponder a uma ferramenta que usa UTF-16 (algumas APIs do Windows) ou Latin-1, você precisa pré-codificar externamente.
Use comparação em tempo constante ao verificar
Se você está comparando dois hashes no código, use uma verificação de igualdade em tempo constante (timingsafe_equal no Node.js, hmac.compare_digest no Python). === ou strcmp ingênuo vaza informações de temporização que podem ser exploradas para recuperar o hash. A aba Comparar desta ferramenta já usa comparação em tempo constante.
Truncar SHA-256 é aceitável para usos não relacionados à segurança
Para nomes de arquivos com cache busting ou IDs curtos de conteúdo, pegar os primeiros 8 ou 16 hex de um hash SHA-256 é adequado — a probabilidade de colisão ainda é astronomicamente baixa em escala de internet. Para uso criptográfico (assinaturas, impressões digitais), sempre mantenha os 64 chars completos.
Combine com salt para qualquer uso com chave
Se você está usando SHA-256 para derivar uma chave ou token de um segredo, sempre inclua um salt único por entrada. Sem salt, entradas idênticas produzem hashes idênticos — o que vaza informações. Melhor ainda: use HKDF (RFC 5869) ou HMAC-SHA-256 em vez de SHA-256 bruto para derivação de chave.

Perguntas Frequentes sobre SHA-256

O que é SHA-256 e como difere do MD5 ou SHA-1?
SHA-256 é uma função de hash criptográfica de 256 bits da família SHA-2, projetada pela NSA e padronizada pelo NIST no FIPS 180-4. Produz uma saída hexadecimal de 64 caracteres. Ao contrário do MD5 (128 bits, quebrado desde 2004) e SHA-1 (160 bits, quebrado desde 2017), SHA-256 permanece criptograficamente seguro: nenhuma colisão prática jamais foi encontrada. É o padrão atual da indústria para assinaturas digitais, impressões digitais de certificados, IDs de transações blockchain e verificação de integridade.
Qual é o tamanho de um hash SHA-256?
Sempre 64 caracteres hexadecimais (256 bits = 32 bytes, codificados como 2 hex por byte). O tamanho de saída é fixo independentemente do tamanho da entrada — uma entrada de 1 byte e uma de 10 GB produzem os mesmos 64 hex. Esse comprimento fixo é o que o torna útil como impressão digital.
SHA-256 é seguro para armazenamento de senhas?
Não. SHA-256 é rápido demais — uma GPU moderna pode calcular bilhões de hashes SHA-256 por segundo, o que é exatamente o que um atacante quer para força bruta de senhas. Use um hash de senha deliberadamente lento: bcrypt, scrypt ou Argon2id, cada um com salt adequado e um parâmetro de custo alto. SHA-256 é para integridade (verificar que os dados não foram adulterados), não para armazenar segredos.
SHA-256 pode ser revertido para encontrar a entrada original?
Não. SHA-256 é uma função unidirecional: dado um hash, não há algoritmo eficiente para recuperar a entrada. O único ataque geral é força bruta — tentar cada entrada possível e fazer hash de cada uma. Para entradas arbitrárias isso é computacionalmente inviável. A exceção: entradas curtas e previsíveis (senhas comuns, palavras simples) podem ser pesquisadas em rainbow tables, razão pela qual usar salt em senhas é importante.
Qual é a diferença entre SHA-256 e SHA-2?
SHA-2 é o nome da família; SHA-256 é um membro específico. A família SHA-2 também inclui SHA-512 (512 bits), SHA-384 (SHA-512 truncado), SHA-224 (SHA-256 truncado), SHA-512/224 e SHA-512/256. Todos compartilham a mesma construção Merkle-Damgård com diferentes tamanhos de palavra e regras de truncamento. SHA-256 é o membro mais amplamente implantado — é o padrão de TLS, JWT, Git e Bitcoin.
Meus dados são enviados a um servidor ao usar esta ferramenta?
Não. SHA-256 é calculado inteiramente no seu navegador usando a Web Crypto API (crypto.subtle.digest). Abra DevTools → aba Rede enquanto faz o hash — você verá zero requisições de saída. O arquivo que você soltar no modo Arquivo é lido com a API FileReader e processado localmente; os bytes nunca saem da sua máquina. Isso torna a ferramenta segura para fazer hash de documentos confidenciais, código proprietário ou checksums sensíveis.
Como verifico um checksum SHA-256 de um download?
1) Baixe o arquivo. 2) Abra esta ferramenta e clique na aba Arquivo. 3) Arraste o arquivo para a zona de soltura. 4) Aguarde o cálculo do hash (arquivos grandes levam alguns segundos). 5) Abra o arquivo SHA256SUMS publicado pelo distribuidor. 6) Cole ambos os hashes na aba Comparar — verde significa correspondência, vermelho significa que o arquivo está corrompido ou adulterado.
Por que minha saída SHA-256 difere de uma ferramenta de linha de comando?
Quase sempre é espaço em branco ou codificação. O comando shell `echo "hello" | sha256sum` inclui uma nova linha final (\n), então o hash é para "hello\n" e não para "hello". Use `echo -n "hello"` para removê-la. Outros problemas: terminações de linha do Windows (\r\n vs \n), BOM UTF-8 ou a diferença entre fazer hash de bytes UTF-8 vs bytes UTF-16. SHA-256 é extremamente sensível — um único byte muda toda a saída.
SHA-256 pode fazer hash de um arquivo vazio?
Sim. O SHA-256 de zero bytes é uma constante bem conhecida: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855. Isso é às vezes usado como valor sentinela ou como verificação rápida de que o pipeline de hashing está funcionando corretamente.
Devo usar SHA-256 ou SHA-512?
Use SHA-256 para a maioria dos casos — é mais rápido em hardware de 32 bits, universalmente suportado e fornece 128 bits de segurança contra colisões. Use SHA-512 quando estiver em hardware de 64 bits onde é realmente mais rápido, ou quando precisar especificamente de 256 bits de resistência a colisões para protocolos criptográficos que exigem. Para uso diário (checksums de arquivo, Git, TLS), SHA-256 é o padrão.

Ferramentas relacionadas

Ver todas as ferramentas →

Decodificador JWT

Ferramentas de Segurança

Decodifique tokens JWT online com nosso decodificador JWT grátis. Inspecione cabeçalho, carga útil, assinatura, expiração e reivindicações. 100% navegador — seu token nunca sai do dispositivo. Sem cadastro, sem rastreio.

Gerador de Hash MD5 e Ferramenta de Checksum

Ferramentas de Segurança

Gere hashes MD5, SHA-256, SHA-1 e SHA-512 online gratuitamente. Faça hash de texto ou arquivos no navegador, verifique checksums e copie resultados. Sem cadastro necessário.

Gerador de Senhas Aleatórias — Forte e Seguro

Ferramentas de Segurança

Gere senhas aleatórias fortes instantaneamente — grátis, sem cadastro, 100% no navegador. Personalize comprimento e tipos de caracteres, gere em lote até 50. Medidor de força com análise de entropia.

Gerador de Hash SHA-1 (160 bits — Legado)

Ferramentas de Segurança

Gere hashes SHA-1 no navegador — saída hex de 40 caracteres, sem upload. Ferramenta legada para impressões digitais do Git, verificação de certificados antigos e auditorias de migração. Dados nunca saem do dispositivo.

Gerador de Hash SHA-3 (Keccak SHA3-256)

Ferramentas de Segurança

Gere hashes SHA-3 online gratuitamente. Construção sponge NIST FIPS 202 — o padrão pós-SHA-2. Saída SHA3-256 em 64 hex. Somente no navegador via js-sha3 carregado sob demanda; zero uploads.

Gerador de Hash SHA-384 (Hash Suite B para TLS)

Ferramentas de Segurança

Gere hashes SHA-384 online — saída hex de 96 caracteres, imune a extensão de comprimento, compatível com NSA Suite B. Combinado com AES-256-GCM em TLS. Todo o hashing é executado no navegador via Web Crypto API.