Como gerar hashes seguros (MD5, SHA-1, SHA-256, SHA-512)

Por que isso importa

Você baixa uma ISO de 4 GB. O download “terminou bem”, mas houve um pico estranho no Wi-Fi. Um bit mudou? Calcule SHA-256 do arquivo e compare ao digest publicado. Se bater, está byte a byte idêntico; senão, baixe de novo. A mesma lógica sustenta armazenamento endereçável por conteúdo (objetos Git, IPFS), deduplicação em backup e detecção de adulteração em pipelines.

Três cenários reais

Engenheiro DevOps

Verificar artefato de release baixado

Solte o arquivo na ferramenta de hash e compare SHA-256 com a página de releases.

Confiança no binário

Designer de API

Chaves de cache estáveis para query

MD5 na string canônica da requisição para chave rápida de tamanho fixo.

Hits sem colisões esperadas

Perito forense

Registrar estado de arquivo probatório

SHA-512 sobre o arquivo apreendido no log do caso; qualquer mudança depois fica óbvia.

Cadeia de custódia

Passo a passo

Abra o gerador de hash.

Texto ou arquivo
Texto: cole string. Arquivo: solte do disco. O navegador faz hash localmente (dentro do limite de memória).
Escolha algoritmos
MD5 (rápido, quebrado para segurança), SHA-1 (depreciado), SHA-256 (padrão moderno), SHA-512 (digest maior, muitas vezes desnecessário).
Leia o digest
Hex por padrão. Alterne para Base64 se o destino exigir.
Compare com digest conhecido
Cole o valor esperado; a ferramenta destaca match ou divergência.
Copie e registre
Guarde digest junto de caminho e timestamp para verificação futura.

Uma string, quatro hashes

Entrada

The quick brown fox jumps over the lazy dog

Digests

MD5     : 9e107d9d372bb6826bd81d3542a419d6
SHA-1   : 2fd4e1c67a2d28fced849ee1bb76e7391b93eb12
SHA-256 : d7a8fbb307d7809469ca9abcb0082e4f8d5651e46d3cdb762d02d0bf37c9e592
SHA-512 : 07e547d9586f6a73f73fbac0435ed76951218fb7d0c8d788a309d785436bbb64...

Ferramenta de hash com linha de checkboxes de algoritmos e campo verificar — Calcule vários algoritmos ao mesmo tempo e verifique contra digest publicado numa só visão.

Dicas avançadas

Copie digest sempre de página TLS, não de repost em fórum — MITM pode trocar arquivo e hash.
SHA-256 como padrão. Suporte amplo, rápido em CPUs modernas, 64 caracteres hex cabem em URLs e logs.
Para senhas, bcrypt/scrypt/argon2, não SHA. SHA é rápido demais para senha — algoritmo lento é recurso.
Hash da forma canônica. Em JSON de request, normalize ordem de chaves primeiro (Formatador de texto) para chave de cache estável.

Armadilhas comuns

Erro comum

Dois arquivos com mesmo MD5 — devo me preocupar?

Para arquivos aleatórios, colisões MD5 ainda são raras computacionalmente. Em cenário adversarial (alguém pode forjar arquivo), MD5 está quebrado — use SHA-256.

Erro comum

Hashes diferentes por newline final

Veja hex ou compare tamanhos. Culpad comuns: \r\n vs \n. Normalize fins de linha antes se plataformas diferem.

Erro comum

SHA-512 de arquivo gigante trava o navegador

Web Worker ajuda, mas abas podem ficar lentas em multi-GB. Feche outras abas ou use CLI (sha256sum).

Quando esta não é a ferramenta certa

Cifrar arquivo — precisa de cipher e chave, não só hash.
Armazenar senha — KDF lenta com salt (bcrypt/scrypt/argon2), não SHA cru.
Digest autenticado de mensagem — combine com chave (HMAC). Veja Como calcular assinaturas HMAC.

FAQ

MD5 e SHA-1 são totalmente inseguros?

Para usos não adversariais (cache, dedupe, ETags) ainda servem. Se um adversário pode escolher inputs, prefira SHA-256 ou mais forte.

Por que hashes em maiúsculas no Windows?

Caso cosmético. Compare hex ignorando maiúsculas/minúsculas.

O upload envia o arquivo?

Não. O navegador lê via File API e passa bytes por SubtleCrypto.digest(). Nada vai ao servidor.

Próximos passos

Assine com segredo compartilhado no gerador HMAC.
Decodifique Base64/Hex antes de hashear com Codificar/decodificar.
Verifique integridade ponta a ponta com Assinatura de parâmetros.

Por que isso importa

Três cenários reais

Engenheiro DevOps

Verificar artefato de release baixado

Solte o arquivo na ferramenta de hash e compare SHA-256 com a página de releases.

Confiança no binário

Designer de API

Chaves de cache estáveis para query

MD5 na string canônica da requisição para chave rápida de tamanho fixo.

Hits sem colisões esperadas

Perito forense

Registrar estado de arquivo probatório

SHA-512 sobre o arquivo apreendido no log do caso; qualquer mudança depois fica óbvia.

Cadeia de custódia

Passo a passo

Texto ou arquivo

Texto: cole string. Arquivo: solte do disco. O navegador faz hash localmente (dentro do limite de memória).

Escolha algoritmos

MD5 (rápido, quebrado para segurança), SHA-1 (depreciado), SHA-256 (padrão moderno), SHA-512 (digest maior, muitas vezes desnecessário).

Leia o digest

Hex por padrão. Alterne para Base64 se o destino exigir.

Compare com digest conhecido

Cole o valor esperado; a ferramenta destaca match ou divergência.

Copie e registre

Guarde digest junto de caminho e timestamp para verificação futura.

Uma string, quatro hashes

Entrada

The quick brown fox jumps over the lazy dog

Digests

MD5     : 9e107d9d372bb6826bd81d3542a419d6
SHA-1   : 2fd4e1c67a2d28fced849ee1bb76e7391b93eb12
SHA-256 : d7a8fbb307d7809469ca9abcb0082e4f8d5651e46d3cdb762d02d0bf37c9e592
SHA-512 : 07e547d9586f6a73f73fbac0435ed76951218fb7d0c8d788a309d785436bbb64...

Calcule vários algoritmos ao mesmo tempo e verifique contra digest publicado numa só visão.

Dicas avançadas

Copie digest sempre de página TLS, não de repost em fórum — MITM pode trocar arquivo e hash.

SHA-256 como padrão. Suporte amplo, rápido em CPUs modernas, 64 caracteres hex cabem em URLs e logs.

Para senhas, bcrypt/scrypt/argon2, não SHA. SHA é rápido demais para senha — algoritmo lento é recurso.

Hash da forma canônica. Em JSON de request, normalize ordem de chaves primeiro (Formatador de texto) para chave de cache estável.

Armadilhas comuns

Erro comum

Dois arquivos com mesmo MD5 — devo me preocupar?

Para arquivos aleatórios, colisões MD5 ainda são raras computacionalmente. Em cenário adversarial (alguém pode forjar arquivo), MD5 está quebrado — use SHA-256.

Erro comum

Hashes diferentes por newline final

Veja hex ou compare tamanhos. Culpad comuns: \r\n vs \n. Normalize fins de linha antes se plataformas diferem.

Erro comum

SHA-512 de arquivo gigante trava o navegador

Web Worker ajuda, mas abas podem ficar lentas em multi-GB. Feche outras abas ou use CLI (sha256sum).

FAQ

MD5 e SHA-1 são totalmente inseguros?

Para usos não adversariais (cache, dedupe, ETags) ainda servem. Se um adversário pode escolher inputs, prefira SHA-256 ou mais forte.

Por que hashes em maiúsculas no Windows?

Caso cosmético. Compare hex ignorando maiúsculas/minúsculas.

O upload envia o arquivo?

Não. O navegador lê via File API e passa bytes por SubtleCrypto.digest(). Nada vai ao servidor.