Werden meine Dateien beim Hashen hochgeladen?

Nein, deine Dateien werden nicht hochgeladen. Die Hashing-Pipeline läuft komplett lokal in einem Web-Worker, keine Bytes wandern an einen Server. Du kannst das in den Browser-DevTools verifizieren — der Network-Tab bleibt leer, sobald die Tool-Seite geladen ist. Dieselbe Architektur wie bei den anderen pure-client-Tools auf dieser Seite.

Warum funktionieren bei euch Dateien über 2 GB, anderswo nicht?

Die Standard-Browser-API für Hashing ([SubtleCrypto.digest](https://developer.mozilla.org/en-US/docs/Web/API/SubtleCrypto/digest)) verlangt einen einzelnen ArrayBuffer als Eingabe — kein Streaming. Firefox lehnt deshalb ArrayBuffer über 2 GB mit einem TypeError ab; das ist auf GitHub vielfach als Crash dokumentiert. Wir umgehen das, indem wir Datei-Bytes via [`File.stream()`](https://developer.mozilla.org/en-US/docs/Web/API/Blob/stream) in 64-KB-Chunks lesen und an eine inkrementelle [WASM](https://developer.mozilla.org/en-US/docs/WebAssembly)-Hashing-Schicht übergeben. So liegen nie alle Bytes gleichzeitig im RAM.

Welcher Algorithmus passt für welchen Zweck?

SHA-256 ist der De-facto-Standard für Software-Distribution — wenn ein Anbieter genau einen Hash veröffentlicht, ist es meistens dieser. SHA-512 wird oft bei Linux-Distributionen und Behörden-Downloads verwendet, weil längere Digests weniger Kollisionsraum lassen. BLAKE3 ist eine moderne Alternative — schneller als SHA-256 und kryptografisch sicher, aber jüngerer Standard. SHA-1 und MD5 sind für reine Integrität-Checks (z. B. Git-Objects oder Cache-Hashes) noch okay, für Sicherheits-relevante Prüfungen werden sie aber nicht mehr empfohlen — das Tool blendet diesen Hinweis sichtbar ein.

Was tun, wenn die Prüfsumme nicht übereinstimmt?

Erst die häufigsten Ursachen ausschließen, bevor du Manipulation vermutest. Der Banner zeigt 'Hash stimmt nicht überein' und darunter eine Diff-Ansicht: erwarteter und berechneter Wert nebeneinander, jede abweichende Stelle markiert. Häufiger als Manipulation sind Übertragungsfehler, falsch kopierte Hashes (Whitespace, Case-Abweichungen — die wir intern normalisieren), oder ein veröffentlichter Hash, der zur falschen Datei-Version gehört. Vergleiche den erwarteten Hash mit einer unabhängigen Quelle (Release-Notes, signierte Mailing-List-Einträge), bevor du auf Manipulation schließt.

Was ist eine Prüfsummen-Datei (.sha256, .md5)?

Eine Prüfsummen-Datei (auch Sidecar-Datei genannt) ist eine kleine Text-Datei, die einen Hash plus optional einen Datei-Namen enthält — typische Endungen sind .sha256, .sha256sum, .sha512, .sha1, .md5, .md5sum, .blake3. Distributoren liefern sie oft neben dem Download. Lege eine solche Datei einfach in das Sidecar-Feld; Hash und Algorithmus werden aus der Datei-Endung automatisch erkannt — du musst nichts manuell eintippen. Unterstützt werden das GNU-coreutils-Format (` `), das OpenSSL-Binary-Mode-Format (` * `) und reine Hash-only-Dateien.

Wie groß darf eine Datei sein?

Theoretisch begrenzt nur dein Festplatten- bzw. Datei-Lesepfad. Real haben wir den Streaming-Pfad bis zu 4 GB getestet; größer geht prinzipiell, wird aber lange dauern und bei Browser-Tab-Speicher-Druck riskant. Der Memory-Footprint bleibt klein, weil die Datei chunked gelesen wird — der Browser-Tab-Crash, den manche andere Tools bei großen Dateien zeigen, sollte hier nicht auftreten.

Spielt Groß- und Kleinschreibung beim Hash-Vergleich eine Rolle?

In der Regel nein. Hash-Werte sind reine Hex-Zahlen — `ABC123` und `abc123` repräsentieren denselben Wert. Manche Server (z. B. ältere ColdFusion-Stacks) liefern Hashes in Großbuchstaben, GNU-coreutils liefert klein. Ein naiver String-Vergleich würde dann fälschlich 'unterschiedlich' melden. Die Vergleichsfunktion trimmt Whitespace und normalisiert die Schreibweise auf klein, bevor sie auf Gleichheit prüft.

Wofür ist der CSV-Export gut?

Wenn du einen Ordner mit vielen Dateien hashed, fällt eine Tabelle pro Datei mit Datei-Name, Größe und allen ausgewählten Hash-Werten an. Der CSV-Export schreibt diese Tabelle in eine Datei mit UTF-8-BOM (öffnet sich sauber in Excel), RFC-4180-konformem Quoting und einer Spalte pro Algorithmus. Use-Case: Audit-Trails für Backup-Routinen, Distributoren-Manifest-Generierung oder einfach 'ich will alle SHA-256-Werte für meinen Foto-Ordner archivieren'.

Bestätigt ein passender Hash, dass die Datei sicher ist?

Nein — und das ist der wichtigste Punkt überhaupt. Ein passender Hash bestätigt nur, dass die Datei seit der Veröffentlichung des Hashes unverändert ist. Wenn aber der Anbieter selbst manipuliert wurde (z. B. eine kompromittierte Server-Infrastruktur), liefert auch der korrekte Hash kein Vertrauen — der Angreifer hätte Datei und Hash gleichzeitig getauscht. Vergleiche den Hash deshalb mit einer **unabhängigen** Quelle (Release-Notes, signierte Mailing-List-Einträge, offizieller Paket-Manager), nicht nur mit dem Wert, der direkt neben dem Download steht.

Datei-Hash-Prüfer — SHA-256, SHA-512, MD5, BLAKE3

Wie prüft das Tool die Datei-Integrität?

Eine kryptografische Hashfunktion bildet jede Eingabe — egal ob 12 Bytes oder 12 Gigabyte — auf einen kurzen, festen Hex-Wert ab. Ändert sich auch nur ein einzelnes Byte in der Eingabe, ändert sich der Hash mit hoher Wahrscheinlichkeit komplett. Das macht Hashes zur Standard-Methode für Datei-Integrität: ein Anbieter veröffentlicht den Hash einer Datei, du berechnest ihn lokal nach dem Download, und wenn beide Werte gleich sind, ist die Datei seit der Veröffentlichung unverändert.

Wir berechnen im Browser über eine inkrementelle WASM-beschleunigte Hashing-Schicht. Inkrementell heißt: die Datei wird nicht erst komplett in den RAM geladen, sondern in 64-KB-Chunks via File.stream() gelesen und Stück für Stück durch den Hasher gefüttert. Erst am Ende kommt ein einziger Hex-Wert raus. Genau diese Pipeline ist es, die Dateien über 2 GB zulässt — die Standard-Browser-API für Hashing schafft das nicht.

Was bedeuten SHA-256, SHA-512, MD5, SHA-1 und BLAKE3?

SHA-2 ist die Familie von kryptografischen Hash-Funktionen, die das US-amerikanische NIST im Standard FIPS 180-4 spezifiziert. SHA-256 produziert einen 256-bit-Digest (64 Hex-Zeichen) und ist heute der De-facto-Standard für Software-Releases, Linux-ISO-Downloads, Container-Images und Block-Chains. SHA-512 ist die längere Variante mit 512-bit-Digest (128 Hex-Zeichen) — denselben mathematischen Aufbau, größerer Output-Raum.

SHA-1 (160 Bit, 40 Hex-Zeichen) und MD5 (128 Bit, 32 Hex-Zeichen) sind ältere Algorithmen. MD5 ist 2004 als kryptografisch gebrochen erklärt worden, SHA-1 2017. Für reine Integrität-Checks (Git-Objects, Cache-Schlüssel, Datei-Versionierung) sind beide weiter okay, für Sicherheits-relevante Prüfungen — also überall, wo ein Angreifer eine alternative Datei mit demselben Hash erzeugen können müsste — nicht mehr.

BLAKE3 ist ein moderner Hash-Standard von 2020. Er produziert einen 256-bit-Digest wie SHA-256, ist aber deutlich schneller, kryptografisch sicher und parallelisierbar. Adoptiert wird er zunehmend in Build-Tools und Content-Addressable-Stores. Für Distributoren-Downloads ist er noch nicht De-facto-Standard, aber relevant — wir bieten ihn an, wer ihn braucht.

Wann ist welcher Algorithmus die richtige Wahl?

Wenn der Anbieter einen einzelnen Hash veröffentlicht und keine Algorithmus-Angabe dabei steht, geh von der Hex-Länge aus: 32 Zeichen sind MD5, 40 sind SHA-1, 64 sind SHA-256 (oder seltener BLAKE3 — bei einer Sidecar-Datei oder einer Distributoren-Notiz steht das meistens dabei), 128 sind SHA-512. Das Tool erkennt die Länge automatisch und schlägt den passenden Algorithmus vor; bei 64 Zeichen kommt ein SHA-256/BLAKE3-Toggle, weil beide auf 64 Zeichen abbilden.

Beim Generieren ist die Empfehlung pragmatisch: SHA-256 ist überall ausreichend für moderne Integrität-Prüfung. Wer Audit-Compliance fährt oder mit Behörden zu tun hat, ergänzt SHA-512. BLAKE3 lohnt sich, wenn die Empfänger-Seite auch BLAKE3 versteht (sonst ist der schnellere Hash-Wert nutzlos). MD5 und SHA-1 generieren wir nur, wenn die Empfänger-Seite es explizit verlangt — z. B. ältere CI-Pipelines oder Legacy-Manifest-Formate.

Mehrere Algorithmen gleichzeitig zu hashen kostet pro Algo nur ~5–15 % zusätzliche Zeit, weil die Datei-Bytes nur einmal vom Disk-/Speicher-Pfad durchlaufen müssen — sinnvoll, wenn man unsicher ist, welchen der Empfänger erwartet.

Worin unterscheiden sich Generieren, Verifizieren und Vergleichen?

Generieren ist der „ich brauche neue Hash-Werte”-Modus. Eine oder mehrere Dateien rein, alle gewählten Algorithmen werden parallel berechnet, das Ergebnis ist eine Tabelle mit pro-Datei-Zeilen. Sinnvoll für Distributoren-Manifest-Erstellung, Backup-Audit-Listen oder einfach um SHA-256 für eine eigene Datei zu bekommen. Der CSV-Export schreibt die Tabelle in ein Format, das Excel sofort öffnet.

Verifizieren ist der „passt diese Datei zu diesem erwarteten Hash?”-Modus. Eine Datei plus ein erwarteter Wert (eingefügt oder per Sidecar-Drop) — das Tool berechnet, vergleicht und zeigt einen Match-Banner oder einen Mismatch-Banner mit Diff-Highlight. Genau der Use-Case, der hinter dem Begriff „Datei-Hash-Prüfer” steht und der bei der Konkurrenz oft nur zweitrangig oder gar nicht abgedeckt wird.

Vergleichen ist der „sind diese beiden Dateien wirklich identisch?”-Modus. Zwei Dateien rein, beide werden parallel über alle gewählten Algorithmen gehasht, das Ergebnis ist ein Banner („Identische Dateien” oder „Dateien unterscheiden sich”) plus eine Tabelle pro Algorithmus. Hilfreich nach Backup-Restore, Download-Wiederholung, Festplatten-Migration oder Cloud-Sync-Vergleichen.

Warum funktionieren so große Dateien hier, anderswo aber nicht?

Die Standard-Browser-API für Hashing erwartet die komplette Datei als ein einziges Speicher-Objekt. Auf Firefox lehnt diese API Eingaben über 2 GB mit einem TypeError ab — sehr konkret in Open-Source-Issue-Trackern dokumentiert, wo Backup-Tools oder Datei-Synchronisierer mit großen Mediendateien crashen. Andere Browser haben dasselbe Problem in unterschiedlicher Ausprägung, weil das gemeinsame Limit eines Browser-Tabs irgendwann erreicht ist.

Wir umgehen das mit einem WebAssembly-basierten Hasher, der inkrementell arbeitet: init() startet einen frischen Zustand, update(chunk) füttert ihn mit dem nächsten Datei-Chunk, digest() schließt ab und liefert den Hex-Wert. Der Lese-Pfad nutzt File.stream().getReader(), was Standard-Browser-API ist und Datei-Bytes streamweise ohne RAM-Komplettladung liefert. So bleibt der Speicherverbrauch konstant unter 100 MB, egal ob die Datei 100 MB oder 100 GB groß ist.

Wofür eignet sich das Tool — und wofür nicht?

Geeignet: Software-Download-Verifikation gegen veröffentlichte Hashes, Backup-Restore-Validierung, Distributor-Manifest-Generierung, Cloud-Sync-Verification, Forensik-Helper für „ist diese Datei wirklich die, die ich vor zwei Wochen hatte?”, schnelle Audit-Listen für Foto- oder Video-Ordner.

Ungeeignet: Authentifizierung (das ist HMAC + Schlüssel, nicht Datei-Hash), Passwort-Speicherung (das ist Argon2/bcrypt/scrypt), Schutz gegen einen kompromittierten Anbieter (siehe Disclaimer-Abschnitt unten), Alleiniger Sicherheits-Beweis bei MD5 oder SHA-1 (für Sicherheits-Prüfungen sind sie nicht mehr empfohlen).

Wichtiger Hinweis zur Hash-Prüfung: Ein passender Hash bestätigt nur, dass die Datei seit der Veröffentlichung des Hashes unverändert ist — er beweist nicht, dass die Quelle vertrauenswürdig ist. Vergleiche den Hash deshalb mit einer unabhängigen Quelle (Release-Notes, signierter Mailing-List-Eintrag, offizieller Paket-Manager), nicht nur mit dem Wert, der direkt neben dem Download steht.

Welche Tools passen dazu?

Aus dem kittokit-Ökosystem zum Themenfeld Datei-Verifikation und Daten-Integrität:

Hash-Generator — hashed Text statt Dateien. Sinnvoll für Passwort-Snippets, JWT-Secret-Tests oder API-Hashes.
JWT-Decoder — JSON Web Tokens dekodieren, hilfreich bei der Verifikation von signierten Tokens (komplementär zu Datei-Hashes).
UUID-Generator — eindeutige IDs erzeugen, nützlich beim Aufsetzen eigener Manifest-Dateien oder Test-Daten-Sets.

Datei-Hash-Prüfer

So funktioniert es

Modus wählen

Algorithmen anhaken

Datei(en) ablegen und starten

Datenschutz

Wie benutzt du dieses Tool?