Datei-Hash-Rechner — Downloads mit MD5, SHA-1, SHA-256, SHA-512 überprüfen
Datei per Drag & Drop ablegen und sofort MD5-, SHA-1-, SHA-256- und SHA-512-Hashes berechnen. Vergleiche sie mit der von der Quelle veröffentlichten Prüfsumme, um sicherzustellen, dass dein Download nicht beschädigt oder manipuliert wurde. Dateien werden nie auf einen Server hochgeladen.
Vergleich der Hash-Algorithmen
| Algorithmus | Ausgabegröße | Hex-Zeichen | Typische Verwendung |
|---|---|---|---|
| MD5 | 128 Bit | 32 Zeichen | Nur für leichte Integritätsprüfungen — kryptografisch gebrochen, ungeeignet für Passwörter oder digitale Signaturen |
| SHA1 | 160 Bit | 40 Zeichen | Sicherer als MD5, aber Kollisionsangriffe sind nachgewiesen. Noch für nicht sicherheitskritische Zwecke wie Git-Commit-Hashes im Einsatz |
| SHA256 | 256 Bit | 64 Zeichen | Gilt aktuell als sicher — die Standardwahl zur Überprüfung der Integrität von Software-Downloads |
| SHA512 | 512 Bit | 128 Zeichen | Noch längere Ausgabe als SHA-256; kann auf 64-Bit-CPUs schneller sein |
Tipps zur Überprüfung von Datei-Hashes
- Wenn die Quelle nicht angibt, welcher Algorithmus verwendet wurde, füge den Hash einfach in das Vergleichsfeld ein — der passende Algorithmus wird automatisch erkannt.
- Große Dateien (mehrere hundert MB oder mehr) beanspruchen viel Browser-Speicher, daher kann die Berechnung einige Sekunden bis eine Minute dauern. Lasse den Tab währenddessen geöffnet.
- Die Hash-Überprüfung lohnt sich besonders bei wichtigen Dateien wie ISO-Images und Installationsprogrammen, bei denen Manipulation schwerwiegende Folgen haben könnte.
- Für MD5 und SHA-1 sind Kollisionsangriffe nachgewiesen, daher eignen sie sich nicht zur Erkennung böswilliger Manipulation. Verwende für sicherheitsrelevante Prüfungen SHA-256 oder höher.
Häufig gestellte Fragen
Übrigens – Warum offizielle Seiten Hash-Werte veröffentlichen
Vielleicht ist dir schon ein Hash-Wert wie „SHA256: a1b2c3..." neben einem Download-Link auf einer Software-Seite aufgefallen. Damit können Nutzer selbst überprüfen, dass die Datei genau der vom Herausgeber erstellten entspricht — ohne Beschädigung bei der Übertragung oder Manipulation auf einem Mirror-Server.
Das ist besonders wichtig bei ISO-Images von Linux-Distributionen, die oft von weltweit verteilten Mirror-Servern heruntergeladen werden. Neben gewöhnlichen Übertragungsfehlern besteht theoretisch das Risiko, dass ein Angreifer einen Mirror kompromittiert und eine manipulierte Kopie mit Schadsoftware verbreitet. Veröffentlicht die offizielle Seite eine signierte Hash-Liste (oft mit GPG-Signatur), können Nutzer die Sicherheit von jedem Mirror aus überprüfen, indem sie den Hash lokal berechnen und vergleichen.
Hash-Funktionen haben einen „Lawineneffekt": Ändert sich auch nur ein einziges Bit der Eingabe, entsteht eine völlig andere Ausgabe. So werden sowohl absichtliche Manipulation als auch subtile Beschädigung durch einen fehlerhaften Download zuverlässig erkannt. Selbst wenn zwei Dateien gleich groß sind, aber sich in nur einem Byte unterscheiden, ist der Hash vollkommen anders — das macht diese Methode weit zuverlässiger als der bloße Vergleich der Dateigröße.