About
Ansicht in Deutsch Auf Englisch wechseln

Datei-Hash-Rechner

Berechne MD5-, SHA-1-, SHA-256- und SHA-512-Hashes beliebiger Dateien — nützlich, um Downloads gegen eine veröffentlichte Prüfsumme zu verifizieren.

Dateien hier ablegen oder
  1. Eine oder mehrere Dateien in das gestrichelte Feld ziehen oder auf Durchsuchen klicken.
  2. Auf Alle hashen klicken — MD5, SHA-1, SHA-256 und SHA-512 werden für jede Datei berechnet.
  3. Einzelnen Hash einer Zeile kopieren oder die SHA-256 aller Dateien zusammen im SHA256SUMS-Format abgreifen.
  4. Eine veröffentlichte Prüfsumme in das Verify-Feld einfügen, um zu sehen, welche Datei (falls eine) passt.
Was macht es?

Das Tool liest deine Datei lokal und erzeugt vier branchenübliche Digests auf einmal — MD5, SHA-1, SHA-256 und SHA-512. Verwende SHA-256 für alles Neue; MD5 oder SHA-1 nur, wenn der Publisher, gegen den du verifizierst, sie noch veröffentlicht. Das Verify-Feld akzeptiert jede Hex-Zeichenkette und sagt dir, zu welchem der vier Algorithmen (falls überhaupt) sie passt, sodass du nicht im Voraus wissen musst, welchen ein Projekt verwendet hat.

Beispiel

Die Datei ubuntu-24.04.1-desktop-amd64.iso (6.114.656.256 Bytes) zu hashen ergibt:

MD5     e3a5c61d27d541e09ef0e894c514ad54
SHA-1   0bc9a82a4f7fc19f97cefc8a62e5ef10d2d65f80
SHA-256 c2e6f4dbefb08d47d3e3b41e4bcadce9dcebdf3a47f8c08390d6b8b10b35b1ab
SHA-512 bd4a8f30...d14e97c2 (128 hex chars)

Füge Ubuntus veröffentlichte SHA-256-Zeile aus SHA256SUMS in das Verify-Feld ein, und du solltest eine Übereinstimmung sehen.

Warum weicht mein SHA-256-Hash von dem ab, was der Server meldet?

Einige häufige Ursachen für Hash-Abweichungen und nennenswerte Grenzen:

  • Falsche Dateigrenze. archive.zip zu hashen ergibt einen anderen Digest als eine Datei darin. Publisher hashen meist das äußere Archiv.
  • Umschreibungen von Zeilenenden. Git auf Windows mit core.autocrlf=true wandelt \n beim Checkout in \r\n um, sodass die Datei im Arbeitsbaum nicht mehr dem Upstream-Hash entspricht. Mit core.autocrlf=false auschecken oder den rohen Blob herunterladen.
  • Hex vs. Base64. sha256sum gibt Hex aus. Manche S3-ETags oder signierte Manifeste liefern Base64. Eins dort einzufügen, wo das andere erwartet wird, schlägt immer fehl.
  • Speichergrenzen des Browsers. Die SHA-Familie liest die Datei vollständig in einen ArrayBuffer, sodass ein 4-GB-ISO den Speicher eines Mobilbrowsers sprengen kann. Auf dem Desktop probieren oder sha256sum auf der Kommandozeile für sehr große Dateien verwenden.
  • Vergleich über Algorithmen hinweg. Ein SHA-256 (64 Hex-Zeichen) ist nicht mit einem SHA-1 (40 Zeichen) vergleichbar. Gleiche die Algorithmuslänge ab, bevor du überhaupt auf den Inhalt schaust.
  • Nachgestellter Whitespace beim Einfügen. Ein Zeilenumbruch, der mit dem Hex-Digest kopiert wird, macht den String 65 statt 64 Zeichen lang. Vor dem Vergleichen trimmen.
Häufig gestellte Fragen

Was ist der Unterschied zwischen MD5, SHA-1, SHA-256 und SHA-512?

Sie unterscheiden sich in Ausgabelänge und Kollisionsresistenz. MD5 hat 128 Bit, SHA-1 160, SHA-256 256, SHA-512 512. MD5 und SHA-1 sind gegenüber gezielten Kollisionsangriffen gebrochen und sollten daher nicht für Signaturen oder Passwortspeicherung verwendet werden — für das Verifizieren eines zufällig korrupten Downloads sind sie aber noch in Ordnung. SHA-256 ist der moderne Standard, SHA-512 kommt dort zum Einsatz, wo ein längerer Digest benötigt wird.

Warum weicht mein SHA-256-Hash von dem ab, was der Server meldet?

Meistens eine von drei Ursachen: die Datei wurde beim Download verändert (ein CDN hat sie transcodiert, ein Antivirus hat einen Footer hinzugefügt oder Git hat unter Windows die Zeilenenden geändert); der Publisher hat das Archiv gehasht, du aber die extrahierte Datei (oder umgekehrt); oder du vergleichst Hex mit Base64. Berechne auf beiden Seiten mit dem gleichen Tool neu und prüfe zuerst die Dateigröße — wenn die Bytes abweichen, tut es der Hash auch.

Gibt es eine Dateigrößenbegrenzung?

Die Grenze ist der Speicher deines Browsers, nicht das Tool. Die SHA-Familie hier liest die ganze Datei in einen ArrayBuffer, um sie an die Web Crypto API zu übergeben — das liegt praktisch bei einigen GB auf den meisten Desktops und deutlich weniger auf Handys. MD5 wird in 4-MB-Stücken gestreamt und verträgt daher größere Dateien, aber der Gesamtablauf ist speicherbeschränkt.

Stimmt das mit sha256sum oder PowerShell Get-FileHash überein?

Ja. sha256sum file.iso auf Linux/macOS oder Get-FileHash -Algorithm SHA256 file.iso in PowerShell 5+ ergibt denselben kleinbuchstabigen Hex-Digest, den dieses Tool ausgibt. Bei einer Abweichung: prüfe, ob du dieselben Bytes hashst — PowerShell nimmt standardmäßig SHA-256, und sha1sum / md5sum existieren als Geschwister für die anderen Algorithmen.

Eignet sich dieses Tool zum Verifizieren von Linux-ISO-Downloads?

Ja, genau dafür ist es gedacht. Zieh die ISO hinein, warte bis SHA-256 fertig ist, und füge den erwarteten Wert aus der checksums-Datei der Distribution in das "Verify against a known hash"-Feld ein. Eine Übereinstimmung belegt, dass die Bytes auf der Platte mit denen identisch sind, die der Publisher signiert hat. Die checksums-Datei selbst, wenn möglich, immer per Signatur (GPG) gegenprüfen.

Speichert ihr die Dateien, die ich hier hashe?

Nein. Wir speichern weder die Datei, die du ablegst, noch behalten wir den erzeugten Hash. Alles wird verworfen, sobald du die Seite schließt oder aktualisierst — keine Logs, kein Eintrag dazu, was du gehasht hast. Du kannst eine sensible Datei mit gutem Gewissen einwerfen und es in den DevTools deines Browsers nachprüfen.