SHA-512 哈希生成器（512 位 SHA-2）

什么是 SHA-512？

// Hash text using Web Crypto API (SHA-512)
async function sha512(text) {
  const data = new TextEncoder().encode(text);
  const hash = await crypto.subtle.digest('SHA-512', data);
  return Array.from(new Uint8Array(hash))
    .map(b => b.toString(16).padStart(2, '0'))
    .join('');
}

await sha512('Hello, World!');
// → '374d794a95cdcfd8b35993185fef9ba368f160d8daf432d08ba9f1ed1e5abe6cc69291e0fa2fe0006a52570ef18c19def4e617c33ce52ef0a6e5fbe318cb0387'

SHA-512 示例

PBKDF2-SHA-512 passphrase for disk encryption

Apple HFS+ catalog node data

NIST SP 800-57 Part 1 Rev 5 — Recommendation for Key Management

POST /api/v3/ledger
Content-Type: application/json
{"amount":500000,"from":"acct-A","to":"acct-B"}

如何生成 SHA-512 哈希值

1. 1

   粘贴文本或拖入文件

   选择「文本」选项卡，将任意字符串粘贴到输入区域——128 字符 SHA-512 哈希值会随输入实时更新。对于文件，切换到「文件」选项卡，将任意文件拖入拖放区；浏览器使用 Web Crypto API 在本地对其进行哈希，不会上传。大文件（>10 MB）会显示进度指示器。算法选择器已设置为 SHA-512。

2. 2

   复制 128 字符哈希值

   点击哈希输出旁的「复制」按钮。完整的 128 字符小写十六进制字符串将复制到剪贴板——可直接粘贴到配置文件、清单或 API 调用中。如果目标系统需要大写十六进制（例如某些 Windows 工具或证书工具），可使用「大写」切换。

3. 3

   使用「对比」选项卡进行验证

   切换到「对比」选项卡，并排粘贴两个 SHA-512 哈希值。工具使用恒定时间比较报告匹配或不匹配，不会泄漏时序信息。适用于验证跨系统的 LUKS 密钥派生输出、核查 HMAC-SHA-512 摘要，或对照存储清单确认长期档案指纹。

技术细节

算法：1024 位块，80 轮，64 位字

SHA-512 以 1024 位（128 字节）块处理输入，使用 64 位旋转和移位的位运算（Ch、Maj、Σ0、Σ1 函数）应用 80 轮，常数由前 80 个素数的立方根派生。内部状态由八个 64 位字（512 位总计）组成。这与 SHA-384 结构相同——SHA-384 和 SHA-512 之间的唯一差异是初始化向量以及 SHA-512 保留全部 512 位输出。实现：FIPS 180-4 第 4.2.3 节和 6.4 节。

输出：512 位，128 个十六进制字符

始终恰好为 128 个字符，范围 [0-9a-f]（小写）或 [0-9A-F]（大写）。无论输入大小，输出长度固定。512 位是 SHA-2 家族中最长的输出，提供 256 位碰撞阻力——是数据必须在 2050 年以后保持防篡改性的标准推荐。

性能：在 64 位硬件上比 SHA-256 更快

在 x86-64 和 ARM64 CPU 上，SHA-512 使用原生 64 位操作处理 1024 位块，浏览器中（Web Crypto API）约达 600–1,000 MB/s，有硬件 SHA 扩展的原生工具约达 1–4 GB/s。SHA-256 使用 32 位操作处理 512 位块，约为 400–700 MB/s——尽管输出更小，速度反而更慢。在 32 位硬件上关系相反：64 位运算需要模拟，SHA-256 更快。

标准：FIPS 180-4、NIST SP 800-107、RFC 6234

在 FIPS 180-2（2001 年）中标准化，当前版本为 FIPS 180-4（2015 年）。根据 NIST SP 800-131A Rev 2，NIST 批准在 2030 年及以后的所有安全强度级别使用。在 RFC 6234（IETF 协议中的 SHA 算法）、RFC 5869（HKDF）和 RFC 2898（PBKDF2）中有引用。CNSA Suite 保留 SHA-512 用于长期安全；NIST IR 8105 推荐 SHA-512 用于需要后量子安全裕度的应用。

最佳实践

在需要超过 128 位碰撞阻力时优先使用 SHA-512

对于大多数日常用途——文件校验和、Git 对象、JWT 签名、TLS 证书指纹——SHA-256 是标准。以下情况升级到 SHA-512：(1) 数据必须在 20 年以上保持防篡改性，(2) 协议要求 256 位安全强度，或 (3) 你在 64 位硬件上，SHA-512 的性能优势消除了使用更强选项的任何障碍。在现代服务器和浏览器上，性能差异有利于 SHA-512，因此新的 64 位应用很少有理由不使用它。

使用 HMAC-SHA-512 进行带密钥消息认证

当你需要带密钥 MAC——认证 API 请求、签名令牌或用共享密钥验证消息完整性——请使用 HMAC-SHA-512 而非自定义构造。HMAC 将 SHA-512 包装在一个经过验证的构造中（RFC 2104），即使针对长度扩展攻击和相关密钥弱点也是安全的。避免将密钥直接与消息拼接（HASH(key || message)）——这对原始 SHA-512 存在长度扩展漏洞。使用经过充分测试的 HMAC 库：Node.js 的 crypto.createHmac('sha512', key)、Python 的 hmac.new(key, msg, 'sha512')，或 libsodium 的 crypto_auth_hmacsha512()。

使用 SHA-512/256 在兼顾 SHA-2 速度的同时获得长度扩展免疫性

如果你的使用场景需要长度扩展免疫性且要求 SHA-2 库兼容性（而非 SHA-3），可以考虑使用 SHA-512/256（FIPS 180-4 第 5.3.6 节）而非原始 SHA-256。SHA-512/256 使用 SHA-512 的快速 64 位运算，但通过独特的 IV 将输出截断为 256 位，使其具有长度扩展免疫性。它在 64 位硬件上比 SHA-256 更快，并提供与 SHA-256 相同的 128 位碰撞阻力，且具有更好的架构安全性。注意事项：其库支持不如 SHA-256 或 SHA-512 普遍——在围绕它设计之前请确认你的目标运行时实现了它。

在代码中验证 SHA-512 哈希值时使用恒定时间比较

在代码中比较两个 SHA-512 哈希值时，请使用恒定时间等值函数：Node.js 的 crypto.timingSafeEqual()、Python 的 hmac.compare_digest()、Go 的 subtle.ConstantTimeCompare()。简单的字符串等值比较（=== 或 ==）会泄漏时序信息——攻击者通过多次请求可以在约 1,024 次比较（128 字符 × 8 位）内逐字节重建预期哈希值。这对任何认证或 MAC 验证系统都是关键的纵深防御措施。本工具的「对比」选项卡已使用恒定时间比较。

SHA-512 常见问题