Was ist SHA-256?

Eine kryptografische Hash-Funktion muss drei Eigenschaften erfüllen: Urbildresistenz (bei gegebenem Hash ist es nicht praktikabel, die ursprüngliche Eingabe zu finden), Zweit-Urbildresistenz (bei gegebener Eingabe ist es nicht praktikabel, eine andere Eingabe mit demselben Hash zu finden) und Kollisionsresistenz (es ist nicht praktikabel, zwei verschiedene Eingaben zu finden, die denselben Hash ergeben). SHA-256 erfüllt alle drei und ist seit seiner Veröffentlichung durch das NIST im Jahr 2001 ungebrochen.

SHA-256 erzeugt unabhängig von der Eingabegröße eine 256-Bit-Ausgabe – das Hashen eines einzelnen Zeichens und das Hashen einer Gigabyte-Datei liefern beide einen 32-Byte-Digest. Der Lawineneffekt stellt sicher, dass das Ändern auch nur eines Bits der Eingabe einen völlig anderen Hash ohne erkennbares Muster erzeugt. Das macht SHA-256 nützlich für Integritätsprüfungen: Speichere den Hash einer Datei und hash die Datei später erneut, um zu bestätigen, dass sie nicht verändert wurde.

SHA-256 ist kein Verschlüsselungsalgorithmus – Hashing ist eine Einwegoperation ohne entsprechende Entschlüsselung. Er dient als Baustein in vielen kryptografischen Konstruktionen: HMAC-SHA256 für Nachrichtenauthentifizierung, PBKDF2-SHA256 für Schlüsselableitung, Zertifikat-Fingerprints, Blockchain-Proof-of-Work und digitale Signaturverfahren. Seine breite Akzeptanz über Protokolle und Plattformen hinweg macht ihn zu einem der wichtigsten Primitive in der modernen Kryptografie.

Wie Vaulted SHA-256 verwendet

SHA-256 ist die Hash-Funktion, die Vaulteds Schlüsselableitungsprozess zugrunde liegt. Wenn eine Passphrase zum Schutz eines Geheimnisses verwendet wird, wendet PBKDF2 HMAC-SHA256 iterativ (100.000 Runden) an, um einen Wrapping-Schlüssel aus der Passphrase und einem zufälligen Salt abzuleiten. SHA-256 ist auch die Hash-Funktion im HMAC-Berechnung, die Statusseitentoken generiert – damit sichergestellt wird, dass nur der Ersteller des Geheimnisses auf dessen Statusseite zugreifen kann.