SHA-256

SHA-256 ist eine kryptografische Hashfunktion, die das US-amerikanische National Institute of Standards and Technology (NIST) 2001 als Teil der SHA-2-Familie (FIPS PUB 180-4) veröffentlichte. Sie nimmt Input beliebiger Länge und erzeugt einen 256-Bit-Output fester Länge (32 Byte, 64 Hex-Zeichen).

Die Funktion ist deterministisch (gleicher Input erzeugt stets gleichen Output), einweg (es ist rechnerisch nicht durchführbar, aus dem Output den Input abzuleiten) und kollisionsresistent (es ist rechnerisch nicht durchführbar, zwei verschiedene Inputs zu finden, die denselben Output erzeugen). Stand 2026 wurde kein praktischer Angriff auf die Kollisionsresistenz von SHA-256 demonstriert.

Wo SHA-256 auftaucht: TLS-Zertifikatssignaturen, JWT-Signaturen (HS256, RS256, ES256 – die 256 steht für SHA-256), Bitcoin-Block-Hashes (doppelt angewandt), HMAC-SHA256-Nachrichtenauthentifizierung, Gits kommendes SHA-256-Objektformat und praktisch jeder moderne Integritätsprüfungs-Stack.

Berechnen Sie SHA-256-Hashes mit unserem Hash-Generator, der im Hintergrund die Web-Crypto-API des Browsers (crypto.subtle.digest) nutzt.

Wofür SHA-256 nicht gedacht ist – und der Passwort-Fehler: SHA-256 ist bewusst schnell. Eine moderne GPU berechnet Milliarden SHA-256-Hashes pro Sekunde, was zur Überprüfung der Dateiintegrität hervorragend, zum Hashen von Passwörtern aber eine Katastrophe ist. Ein Angreifer, der eine Datenbank mit reinen SHA-256-Passwort-Hashes stiehlt, kann die meisten schwachen Passwörter per Brute Force in Stunden wiederherstellen. Passwort-Hashing erfordert eine bewusst langsame Funktion mit einem Salt je Nutzer – bcrypt, scrypt, Argon2 –, die den Kostenfaktor so einstellt, dass jeder Hash ~100 ms statt ~100 ns dauert. Nutzerpasswörter als bloßes SHA256(password) zu speichern, ist einer der am beständigsten ausgenutzten Fehler in Breach-Meldungen. Wenn Sie sich nur eines merken: SHA-256 für Integrität, Argon2id für Passwörter.

Double-SHA-256, Length Extension und der HMAC-Fix: SHA-256 erbt die Merkle-Damgård-Konstruktion von SHA-1 und MD5, was bedeutet, dass es für Length-Extension-Angriffe anfällig ist – gegeben H(secret || message) kann ein Angreifer H(secret || message || padding || extra) berechnen, ohne das Geheimnis zu kennen. Aus diesem Grund wurden naive “signiere den Body mit SHA256(key + body)”-APIs aus den frühen 2010er-Jahren allesamt durch HMAC-SHA256 ersetzt, das die Konstruktion mit zwei verschlüsselten Hashes umhüllt und nicht length-extendable ist. Bitcoins “Double-SHA-256” (SHA256(SHA256(x))) ist eine andere Gegenmaßnahme gegen dieselbe Angriffsfamilie und hat nichts mit HMAC zu tun. Verwandt: JWS, Signatur, SHA-256 vs. MD5. Referenz: NIST FIPS 180-4 — Secure Hash Standard.

Durchgerechnetes Beispiel

Der SHA-256-Hash der leeren Zeichenkette ist die bekannte Konstante e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855. Der Hash des einzelnen Bytes "a" ist ca978112ca1bbdcafac231b39a23dc4da786eff8147c4e72b9807785afee48bb. Ändern Sie ein Bit – etwa zu "b" – und der Hash wird zu 3e23e8160039594a33894f6564e1b1348bbd7a0088d42c4acb73eeaed59c009d, ohne erkennbaren Bezug zum vorherigen Output. Das ist die “Avalanche”-Eigenschaft in Aktion: jedes Input-Bit beeinflusst etwa die Hälfte der Output-Bits. Um einen 1-GB-Download zu verifizieren, vergleichen Sie dessen SHA-256 (eine 64-Zeichen-Hex-Zeichenkette, die der Anbieter veröffentlicht) mit Ihrem lokal berechneten. Stimmen sie überein, ist die Datei mit einer von Gewissheit nicht zu unterscheidenden Wahrscheinlichkeit Bit für Bit identisch (die Kollisionswahrscheinlichkeit beträgt 2⁻¹²⁸, geringer als zufällig dasselbe Atom aus dem beobachtbaren Universum zu greifen).

Wann und warum es zählt

SHA-256 ist das Integritätsprimitiv für nahezu alles, dem Sie im modernen Internet vertrauen. TLS-Zertifikatsketten werden mit RSA/ECDSA über SHA-256-Digests signiert; JWTs verwenden standardmäßig HMAC-SHA256; Docker-Image-Digests, Gits nächste Generation von Objekt-IDs, Apples Code-Signing und Bitcoins gesamte Blockchain hashen alle durch SHA-256. Drei Fehlermodi sind wissenswert: das Ersetzen durch SHA-1 oder MD5 (beide bei der Kollisionsresistenz gebrochen – SHA-1-Kollisionen wurden 2017 demonstriert), die direkte Verwendung von SHA-256 für Passwörter statt Argon2id (siehe oben) und das Vertrauen darauf, dass abgeschnittenes SHA-256 unter 128 Bit kollisionsresistent sei (die Geburtstagsgrenze eines 96-Bit-Präfixes liegt nur bei 2⁴⁸ – in Reichweite eines entschlossenen Angreifers). Referenz: NIST CSRC — Hash Functions.