Datei-Hash-Rechner — Downloads mit MD5, SHA-1, SHA-256, SHA-512 überprüfen

Datei per Drag & Drop ablegen und sofort MD5-, SHA-1-, SHA-256- und SHA-512-Hashes berechnen. Vergleiche sie mit der von der Quelle veröffentlichten Prüfsumme, um sicherzustellen, dass dein Download nicht beschädigt oder manipuliert wurde. Dateien werden nie auf einen Server hochgeladen.

Vergleich der Hash-Algorithmen

Algorithmus Ausgabegröße Hex-Zeichen Typische Verwendung
MD5 128 Bit 32 Zeichen Nur für leichte Integritätsprüfungen — kryptografisch gebrochen, ungeeignet für Passwörter oder digitale Signaturen
SHA1 160 Bit 40 Zeichen Sicherer als MD5, aber Kollisionsangriffe sind nachgewiesen. Noch für nicht sicherheitskritische Zwecke wie Git-Commit-Hashes im Einsatz
SHA256 256 Bit 64 Zeichen Gilt aktuell als sicher — die Standardwahl zur Überprüfung der Integrität von Software-Downloads
SHA512 512 Bit 128 Zeichen Noch längere Ausgabe als SHA-256; kann auf 64-Bit-CPUs schneller sein

Tipps zur Überprüfung von Datei-Hashes

  • Wenn die Quelle nicht angibt, welcher Algorithmus verwendet wurde, füge den Hash einfach in das Vergleichsfeld ein — der passende Algorithmus wird automatisch erkannt.
  • Große Dateien (mehrere hundert MB oder mehr) beanspruchen viel Browser-Speicher, daher kann die Berechnung einige Sekunden bis eine Minute dauern. Lasse den Tab währenddessen geöffnet.
  • Die Hash-Überprüfung lohnt sich besonders bei wichtigen Dateien wie ISO-Images und Installationsprogrammen, bei denen Manipulation schwerwiegende Folgen haben könnte.
  • Für MD5 und SHA-1 sind Kollisionsangriffe nachgewiesen, daher eignen sie sich nicht zur Erkennung böswilliger Manipulation. Verwende für sicherheitsrelevante Prüfungen SHA-256 oder höher.

Häufig gestellte Fragen

Prüfe zunächst den offiziellen Hash auf Kopierfehler wie einen zusätzlichen Zeilenumbruch oder ein überflüssiges Leerzeichen. Stimmt er weiterhin nicht überein, könnte die Datei beschädigt oder manipuliert sein — lösche sie, ohne sie auszuführen, und lade sie erneut von der offiziellen Quelle herunter.

Verwende den von der Quelle veröffentlichten Algorithmus. Sind mehrere verfügbar, bevorzuge den sichereren SHA-256 oder SHA-512. MD5 und SHA-1 gelten kryptografisch nicht mehr als sicher und reichen nicht aus, um böswillige Manipulation zu erkennen.

Die Algorithmen sind identisch — nur die Eingabe unterscheidet sich (Binärdatei statt Textstring). Um einen Text-Hash zu berechnen, nutze unser Schwester-Tool, den Text-Hash-Rechner.

Ja, solange der Browser genügend Speicher zur Verfügung hat — die gesamte Datei wird auf einmal in den Speicher geladen, sodass Dateien im mehrstelligen Gigabyte-Bereich den Browser verlangsamen oder zum Absturz bringen können.
ツールくん

Übrigens – Warum offizielle Seiten Hash-Werte veröffentlichen

Vielleicht ist dir schon ein Hash-Wert wie „SHA256: a1b2c3..." neben einem Download-Link auf einer Software-Seite aufgefallen. Damit können Nutzer selbst überprüfen, dass die Datei genau der vom Herausgeber erstellten entspricht — ohne Beschädigung bei der Übertragung oder Manipulation auf einem Mirror-Server.

Das ist besonders wichtig bei ISO-Images von Linux-Distributionen, die oft von weltweit verteilten Mirror-Servern heruntergeladen werden. Neben gewöhnlichen Übertragungsfehlern besteht theoretisch das Risiko, dass ein Angreifer einen Mirror kompromittiert und eine manipulierte Kopie mit Schadsoftware verbreitet. Veröffentlicht die offizielle Seite eine signierte Hash-Liste (oft mit GPG-Signatur), können Nutzer die Sicherheit von jedem Mirror aus überprüfen, indem sie den Hash lokal berechnen und vergleichen.

Hash-Funktionen haben einen „Lawineneffekt": Ändert sich auch nur ein einziges Bit der Eingabe, entsteht eine völlig andere Ausgabe. So werden sowohl absichtliche Manipulation als auch subtile Beschädigung durch einen fehlerhaften Download zuverlässig erkannt. Selbst wenn zwei Dateien gleich groß sind, aber sich in nur einem Byte unterscheiden, ist der Hash vollkommen anders — das macht diese Methode weit zuverlässiger als der bloße Vergleich der Dateigröße.