Tilbake til bloggen/Utviklerverktøy

Hashfunksjoner forklart: MD5, SHA-1, SHA-256 og videre

15. mars 2026· 24 min lesetid· Utviklerverktøy

Hashfunksjoner finnes overalt i programvareutvikling, selv om du kanskje ikke er klar over det. Hver gang du laster ned en fil og sjekker sjekksummen, logger inn på en nettside, gjør en Git-commit, eller miner Bitcoin (okay, kanskje ikke det siste), gjør hashfunksjoner det tunge arbeidet bak kulissene.

La oss forstå hva de er, hvordan de skiller seg, og når du bør bruke hvilken.

Hva er en hashfunksjon?

En hashfunksjon tar en vilkårlig input — et enkelt tegn, en roman, en 4 GB videofil — og produserer en output med fast størrelse kalt en "hash" eller "digest". Tenk på det som et fingeravtrykk for data. Uansett hvor stor eller liten inputen er, er outputen alltid like lang.

Her er hva som gjør hashfunksjoner spesielle:

  • Deterministisk: Samme input gir alltid samme output. hash("hello") vil returnere samme verdi hver eneste gang, på enhver maskin, i ethvert programmeringsspråk.
  • Enveis: Du kan ikke reversere inputen fra outputen. Gitt en hash, finnes det ingen måte å finne ut hva som produserte den (annet enn å gjette). Det er dette som gjør dem nyttige for lagring av passord.
  • Skredeffekt: Endre én bit i inputen, og outputen endres dramatisk. For eksempel er SHA-256-hashene til "hello" og "Hello" helt forskjellige strenger.
  • Kollisjonsresistens: Det bør være praktisk umulig å finne to forskjellige inputer som produserer samme hash-output. Jo sterkere algoritmen er, desto vanskeligere er kollisjoner å finne.

La oss se det i aksjon:

plaintext

Helt forskjellige outputer fra inputer som bare skiller seg med ett tegn — en liten "h" versus en stor "H". Det er skredeffekten i aksjon.

Hvordan hashfunksjoner fungerer under panseret

Selv om matematikken bak hashfunksjoner er kompleks, er den generelle prosessen grei. De fleste hashfunksjoner følger disse stegene:

1. Utfylling (Padding): Inputmeldingen fylles ut slik at lengden blir et multiplum av en fast blokkstørrelse (f.eks. 512 bit for SHA-256). Dette sikrer at algoritmen kan behandle dataene i ensartede blokker.

2. Blokkdeling: Den utfylte meldingen deles inn i blokker med fast størrelse.

3. Komprimeringsrunder: Hver blokk behandles gjennom flere runder med bitvise operasjoner — XOR, AND, OR, bitskift og modulær addisjon. Disse operasjonene blander bitene grundig slik at hver utgangsbit avhenger av hver inngangsbit.

4. Kjetting: Outputen fra behandling av én blokk mates inn i behandlingen av neste blokk. Derfor kaskaderer selv en liten endring tidlig i inputen gjennom hver påfølgende blokk.

5. Endelig digest: Etter at alle blokker er behandlet, sendes den interne tilstanden ut som den endelige hashverdien.

Nøkkelinnsikten er at disse operasjonene er lette å beregne fremover, men praktisk umulige å reversere. Du kan ikke "avblande" bitene for å gjenopprette den opprinnelige inputen.

MD5: Den pensjonerte veteranen

MD5 ble designet av Ronald Rivest i 1991 og produserer en 128-bit hash (32 hex-tegn). Det var standarden i flere tiår — du så MD5-sjekksummer ved siden av hver filnedlasting på internett.

Imidlertid anses MD5 nå som kryptografisk knekket. Forskere har demonstrert praktiske kollisjonsangrep — det vil si at de kan lage to forskjellige filer som produserer samme MD5-hash. I 2008 brukte forskere en MD5-kollisjon til å opprette et falskt SSL-sertifikat, noe som beviste at dette ikke bare var en teoretisk svakhet.

Fortsatt greit for: filintegritetssjekker (verifisere at en nedlasting fullførtes korrekt), sjekksummer for deduplisering, ikke-sikkerhetsrelaterte hashtabeller og rask datafingeravtrykk der sikkerhet ikke er en bekymring.

Aldri bruk til: passordlagring, digitale signaturer, sikkerhetssertifikater, eller noe der noen bevisst kan lage kollisjoner.

SHA-1: Også pensjonert

SHA-1 ble designet av NSA og publisert i 1995. Den produserer en 160-bit hash (40 hex-tegn). I årevis var den standarden i SSL-sertifikater, PGP-signaturer og versjonskontrollsystemer.

Den ble utfaset etter at Google demonstrerte et praktisk kollisjonsangrep i 2017 (det berømte SHAttered-angrepet). De laget to forskjellige PDF-filer med samme SHA-1-hash. Angrepet krevde 9 223 372 036 854 775 808 SHA-1-beregninger — enormt, men gjennomførbart med moderne skyressurser.

Git bruker fortsatt SHA-1 internt for commit-hasher, men går over til SHA-256. Nettlesere og sertifikatmyndigheter sluttet å akseptere SHA-1-sertifikater for flere år siden. Hvis du ser SHA-1 brukt for sikkerhet i noen kodebase i dag, bør det flagges og migreres.

SHA-256 og SHA-512: Dagens standarder

Disse tilhører SHA-2-familien, designet av NSA og publisert i 2001. Det er dette du bør bruke i dag til de fleste formål.

  • SHA-256: 256-bit output (64 hex-tegn). Brukes i Bitcoin, TLS-sertifikater og de fleste sikkerhetsapplikasjoner. Det er den perfekte balansen mellom sikkerhet og ytelse. Hele Bitcoins proof-of-work-system er bygget på dobbel SHA-256-hashing.
  • SHA-512: 512-bit output (128 hex-tegn). Større output betyr mer kollisjonsresistens. Interessant nok er SHA-512 ofte raskere enn SHA-256 på 64-bit prosessorer fordi den opererer nativt på 64-bit ord, mens SHA-256 bruker 32-bit ord.
  • SHA-384 og SHA-512/256: Dette er avkortede varianter av SHA-512. SHA-384 gir deg en 384-bit output, mens SHA-512/256 gir en 256-bit output men med ytelsesfordelene til SHA-512s 64-bit operasjoner.

Rask sammenligning:

plaintext

SHA-3: Neste generasjon

SHA-3 ble standardisert i 2015 etter en offentlig konkurranse arrangert av NIST. I motsetning til SHA-2, som bruker en Merkle-Damgard-konstruksjon, er SHA-3 basert på Keccak-svampkonstruksjonen — et fundamentalt annerledes design.

Hvorfor betyr dette noe? Hvis et matematisk gjennombrudd noen gang kompromitterer SHA-2s designtilnærming, vil SHA-3 ikke bli påvirket fordi den fungerer helt annerledes. Det er en forsikringspolise for det kryptografiske miljøet.

SHA-3 kommer i de samme outputstørrelsene — SHA3-256, SHA3-384, SHA3-512 — og introduserer også SHAKE128 og SHAKE256, som er "utvidbare outputfunksjoner" som kan produsere en hash av hvilken som helst ønsket lengde.

I praksis er SHA-2 fortsatt mer utbredt og raskere på de fleste maskinvare. Adopsjon av SHA-3 vokser, men det er mer en reservestandard enn en erstatning.

Bruksområder i den virkelige verden

Git-versjonskontroll: Hver commit, hvert tre og hver blob i Git identifiseres av sin SHA-1-hash. Når du kjører git commit, hasher Git innholdet i endringene dine, trestrukturen, foreldrecommitens hash, forfatterinformasjonen din og tidsstempelet. Derfor ser commit-hasher ut som a1b2c3d4e5f6... — de er bokstavelig talt SHA-1-digester.

Bitcoin-mining: Minere konkurrerer om å finne en nonce-verdi som, kombinert med blokkdataene og hashet med dobbel SHA-256, produserer en hash under en målterskel. Vanskeligheten med å finne denne hashen er det som sikrer hele nettverket. I 2024 beregner Bitcoin-nettverket omtrent 500 kvintillioner SHA-256-hasher per sekund.

Fildeduplisering: Skylagringstjenester som Dropbox hasher hver fil du laster opp. Hvis hashen matcher en eksisterende fil, lagrer de ikke et duplikat — de legger bare til en peker. Dette sparer enorme mengder lagringsplass.

Digitale signaturer: Når du signerer et dokument eller en programvareutgivelse, signerer du ikke hele filen. I stedet hashes filen, og hashen er det som signeres med din private nøkkel. Mottakeren hasher filen selv og verifiserer signaturen mot den hashen.

API-autentisering: HMAC (Hash-basert meldingsautentiseringskode) kombinerer en hemmelig nøkkel med en meldingshash for å verifisere både integriteten og autentisiteten til API-forespørsler. AWS, Stripe og de fleste store API-er bruker HMAC-SHA256 for forespørselssignering.

Vanlige feil utviklere gjør med hashing

Bruke hashfunksjoner for passord: Vanlig SHA-256 er for raskt for passordhashing. En angriper med en GPU kan beregne milliarder av SHA-256-hasher per sekund, noe som gjør brute-force-angrep trivielle. Bruk alltid spesialbygde passordhashingfunksjoner som bcrypt, scrypt eller Argon2, som er bevisst trege og minneintensive.

Ikke bruke salt: Hvis du hasher passord uten et salt (en tilfeldig verdi lagt til hvert passord før hashing), produserer identiske passord identiske hasher. En angriper med en forhåndsberegnet "regnbuetabell" kan slå opp vanlige passord umiddelbart. Legg alltid til et unikt, tilfeldig salt per bruker.

Sammenligne hasher på en tidsunsikker måte: Å bruke == for å sammenligne hasher i sikkerhetssensitiv kode kan lekke informasjon gjennom tidssidekanaler. En angriper kan måle hvor lang tid sammenligningen tar og utlede hashen tegn for tegn. Bruk konstanttids sammenligningsfunksjoner som crypto.timingSafeEqual() i Node.js eller hmac.compare_digest() i Python.

Avkorte hasher: Noen utviklere avkorter hasher for å spare plass (f.eks. lagre bare de første 16 tegnene av en SHA-256-hash). Dette reduserer kollisjonsresistensen dramatisk. En full SHA-256-hash har 2^256 mulige verdier; avkorting til 16 hex-tegn etterlater bare 2^64 — et tall som moderne maskinvare kan brute-force.

Hvilken hashfunksjon bør du bruke?

  • Filintegritet (ikke-sikkerhet): SHA-256 eller til og med MD5 er greit. Du sjekker for utilsiktet korrupsjon, ikke ondsinnet manipulering.
  • Passordlagring: Ingen av disse! Bruk bcrypt, scrypt eller Argon2 — de er bevisst trege, noe som gjør brute-force-angrep upraktiske. Vanlige hashfunksjoner er for raske til passordhashing.
  • Digitale signaturer og sertifikater: SHA-256 eller SHA-512.
  • HMAC (meldingsautentisering): SHA-256 eller SHA-512.
  • Git-stil innholdsadressering: SHA-256 (dit Git er på vei).
  • Fremtidssikring: Hvis du bygger et system som trenger å vare i tiår og vil ha en reserveplan i tilfelle SHA-2 noen gang kompromitteres, vurder SHA-3.
  • Sjekksummer i datapipelines: SHA-256 for dataintegritetskontroll mellom pipeline-stadier. CRC32 er raskere, men fanger bare opp tilfeldige feil, ikke bevisst manipulering.

Hashfunksjoner i kode: Praktiske eksempler

Okay, nok teori — la oss skrive litt kode. For ærlig talt, den beste måten å forstå hashing på er å bare... gjøre det. Her er hvordan du beregner hasher i språkene du sannsynligvis bruker hver dag.

Node.js — Den innebygde crypto-modulen gjør dette veldig enkelt:

javascript

Og her er det kule — å hashe en fil er nesten det samme:

javascript

Python — Pythons hashlib er like enkelt. Jeg synes faktisk Python har det peneste API-et for dette:

python

Go — Gos standardbibliotek er utrolig godt designet for dette:

go

Java — Litt mer ordrik (fordi... Java), men fungerer utmerket:

java

Verifisere en filnedlasting: Dette er en av de mest praktiske bruksområdene for hashing. Si at du laster ned en Linux ISO og nettstedet sier SHA-256-sjekksummen skal være abc123.... Slik verifiserer du det:

bash

Jeg vet dette virker grunnleggende, men du ville bli overrasket over hvor mange utviklere hopper over dette steget. Én korrupt byte i en 4 GB nedlasting kan ødelegge hele ettermiddagen din.

Regnbuetabeller og hvorfor de er skremmende

Okay, her er delen som blåste meg i bakken da jeg først lærte om den. Forestill deg at noen forhåndsberegner hashen for hvert mulig passord opptil, la oss si, 8 tegn. Hver kombinasjon av bokstaver, tall og symboler. De lagrer alle disse hash-til-passord-tilordningene i en gigantisk oppslagstabell.

Det er en regnbuetabell. Og de er absolutt skremmende.

Her er hvorfor: hvis du lagret passord som vanlige SHA-256-hasher (uten salt), trenger en angriper som får tak i databasen din ikke å "knekke" noe. De slår bare opp hver hash i regnbuetabellen sin. Boom — umiddelbar passordgjenoppretting. Oppslaget tar mikrosekunder.

Hvor store er disse tabellene? En regnbuetabell som dekker alle alfanumeriske passord opptil 8 tegn kan være rundt 100-200 GB. Høres mye ut, men det får plass på en enkelt SSD. Nettsteder som CrackStation har tabeller med milliarder av forhåndsberegnede hasher, og de knekker vanlige passordhasher på sekunder gratis.

Og nå de gode nyhetene: salting slår regnbuetabeller fullstendig. Et salt er bare en tilfeldig streng du legger til passordet før hashing:

plaintext

Ser du hva som skjedde? Samme passord ("password123") produserer helt forskjellige hasher på grunn av de forskjellige saltene. En angriper måtte bygge en separat regnbuetabell for hvert mulig salt, noe som er beregningsmessig umulig.

Hvert moderne passordhashingbibliotek (bcrypt, Argon2, scrypt) håndterer salting automatisk. Hvis du noen gang er fristet til å lage din egen passordhashing — ikke gjør det. Seriøst. Bruk bcrypt og gå videre med livet ditt.

HMAC: Hashing med en hemmelighet

HMAC står for Hash-basert meldingsautentiseringskode, og ja, jeg vet det høres skremmende ut. Men bli med meg — det er egentlig et ganske enkelt konsept som du sannsynligvis allerede har brukt uten å vite det.

Vanlig hashing tar en melding og produserer en hash. HMAC tar en melding OG en hemmelig nøkkel, og produserer en hash. Den avgjørende forskjellen (ordspill tilsiktet) er at bare noen som kjenner den hemmelige nøkkelen kan produsere eller verifisere HMAC-en. Det beviser to ting samtidig: meldingen er ikke blitt tuklet med, OG den kom fra noen som kjenner hemmeligheten.

Hvor ser du dette i den virkelige verden? Webhook-signaturer. Når GitHub eller Stripe sender en webhook til serveren din, inkluderer de en HMAC-SHA256-signatur i headerne. Serveren din kan verifisere at webhooken faktisk kom fra GitHub (og ikke ble forfalsket av en tilfeldig angriper) ved å beregne HMAC-en selv og sammenligne.

Her er et praktisk eksempel på verifisering av en GitHub webhook-signatur i Node.js:

javascript

La du merke til timingSafeEqual-kallet? Det er avgjørende. En vanlig ===-sammenligning returnerer false så snart den finner det første tegnet som ikke matcher, noe som betyr at en angriper kan måle responstiden og utlede signaturen byte for byte. Tidssikker sammenligning tar alltid like lang tid uansett hvor avviket oppstår.

Ytelsesmålinger for hashfunksjoner

Jeg forstår — ytelse betyr noe. Spesielt hvis du hasher millioner av filer i en build-pipeline eller behandler en datastrøm. Her er hvordan de viktigste hashfunksjonene presterer hastighetsmessig (grove benchmarks på moderne x86_64-maskinvare):

plaintext

Vent, fikk du med deg det? BLAKE3 er 10 ganger raskere enn SHA-256 samtidig som den er kryptografisk sikker. Det er ikke en skrivefeil.

BLAKE3 er det heteste nye i hashingverdenen, og med god grunn. Den er basert på BLAKE2-familien (som allerede utkonkurrerte SHA-3 i NIST-konkurransen) men redesignet for å utnytte SIMD-parallellisme og multitråding. Den kan hashe data med praktisk talt memcpy-hastighet.

Hvorfor bør du bry deg? Build-verktøy bryr seg. Veldig mye. Verktøy som Bazel, Buck og ulike innholdsadresserte lagringssystemer bruker en sjokkerende mengde tid på å hashe filer. Å bytte fra SHA-256 til BLAKE3 kan fremskynde avhengighetssjekking med en størrelsesorden. Rust-økosystemet har tatt i bruk BLAKE3 aggressivt, og den dukker opp flere og flere steder.

Likevel er SHA-256 og SHA-512 fortsatt riktig valg når du trenger bred kompatibilitet eller overholdelse av standarder som FIPS. Ikke alt støtter BLAKE3 ennå, og i mange brukstilfeller er ikke hashingshastigheten flaskehalsen uansett.

Blokkjede og Merkle-trær: Hashing i stor skala

Okay, nå blir det virkelig kult. Du vet hvordan Git kan fortelle deg nøyaktig hvilken fil som endret seg i et massivt repository? Og hvordan Bitcoin kan verifisere en transaksjon uten å laste ned hele blokkjeden? Hemmeligheten er en datastruktur kalt et Merkle-tre (oppkalt etter Ralph Merkle, som patenterte det i 1979).

Et Merkle-tre er i bunn og grunn et tre av hasher. Slik fungerer det — forestill deg at du har fire datablokker:

plaintext

Hver bladnode er hashen til en datablokk. Hver foreldrenode er hashen av sine to barn satt sammen. Rothashen (noen ganger kalt "Merkle-roten") er en enkelt hash som representerer ALLE dataene i treet.

Her er den virkelig elegante delen: hvis bare én bit i Data C endres, endres Hash(C), som betyr at Hash(CD) endres, som betyr at Root Hash endres. Du kan oppdage manipulering umiddelbart bare ved å sjekke roten.

Men det blir bedre. Si at du vil bevise at Data C er en del av treet uten å avsløre Data A, B eller D. Du trenger bare å oppgi: Data C, Hash(D) og Hash(AB). Verifikatoren kan rekonstruere stien opp til roten og sjekke at den stemmer. Dette kalles et "Merkle-bevis", og det er utrolig effektivt — for et tre med en million blader er beviset bare omtrent 20 hasher langt (log2 av 1 000 000).

Hvor brukes dette i praksis?

  • Git: Hele repositoriet ditt er et Merkle-tre. Commits peker på trær, trær peker på blobs, og alt identifiseres av sin SHA-1-hash. Derfor kan Git umiddelbart fortelle om noe har endret seg.
  • Bitcoin: Hver blokk inneholder en Merkle-rot av alle transaksjoner. Lette klienter (som mobile lommebøker) kan verifisere en bestemt transaksjon ved hjelp av et Merkle-bevis uten å laste ned hele blokken.
  • IPFS: Det interplanetariske filsystemet bryter filer inn i biter, bygger en Merkle DAG (rettet asyklisk graf) og bruker rothashen som filens innholdsidentifikator (CID).
  • Certificate Transparency: Googles Certificate Transparency-logger bruker Merkle-trær slik at hvem som helst effektivt kan verifisere om et sertifikat ble (eller ikke ble) logget.

Fremtiden: Post-kvante hashfunksjoner

Du har kanskje hørt at kvantemaskiner kommer til å knekke all krypteringen vår. Og ja, det er delvis sant — RSA, ECC og Diffie-Hellman er alle ferdig når storskalerte kvantemaskiner ankommer. Shors algoritme kan faktorisere store tall og beregne diskrete logaritmer effektivt, noe som disse systemene er avhengige av.

Men her er de overraskende gode nyhetene: hashfunksjoner er faktisk ganske trygge mot kvantemaskiner. Den viktigste kvantetrusselen mot hashfunksjoner er Grovers algoritme, som kan søke i et ustrukturert rom kvadratisk raskere. I praksis betyr dette at den halverer sikkerhetsbitene — SHA-256 går fra 2^256 til 2^128 styrke mot kvanteangrep.

2^128 er fortsatt absolutt enormt. Det er omtrent antallet atomer i det observerbare universet opphøyd i annen. Ingen kommer til å brute-force det, kvantemaskin eller ikke.

Så mens NIST aktivt jobber med post-kvante kryptografistandarder (og ferdigstilte flere i 2024), er det hastende hovedsakelig rundt offentlig nøkkelkryptering og signaturer — ikke hashfunksjoner. Hvis du bruker SHA-256 i dag, kan du sove godt med vissheten om at kvantemaskiner ikke vil gjøre den ubrukelig.

Når det er sagt, hvis du er virkelig paranoid (og i kryptografi er paranoia en dyd), gir oppgradering til SHA-512 eller SHA3-256 en ekstra sikkerhetsmargin. Noen post-kvante signaturskjemaer som SPHINCS+ er faktisk bygget helt på hashfunksjoner, noe som er et fint tillitsvotum for deres kvanteresistens.

Hashkollisjoner: Bursdagsangrep forklart

La oss snakke om en av de mest uintuitive tingene i hele datavitenskapen: bursdagsangrepet. Det er oppkalt etter bursdagsparadokset, og det er grunnen til at hashfunksjoner må være større enn du intuitivt ville forventet.

Her er bursdagsparadokset: i et rom med bare 23 personer er det 50% sjanse for at to av dem deler bursdag. Ikke en bestemt bursdag — bare et hvilket som helst matchende par. Med 70 personer hopper sannsynligheten til 99,9%. De fleste gjetter at du trenger omtrent 183 personer (halvparten av 365), men det faktiske tallet er mye lavere fordi vi leter etter EN HVILKEN SOM HELST kollisjon, ikke en bestemt.

Nøyaktig samme matematikk gjelder for hashfunksjoner. Hvis en hashfunksjon produserer N mulige outputer, trenger du ikke beregne N hasher for å finne en kollisjon — du trenger bare omtrent kvadratroten av N.

For en 256-bit hash som SHA-256 finnes det 2^256 mulige outputer. Å finne en kollisjon krever omtrent 2^128 operasjoner (kvadratroten av 2^256). Det er fortsatt et umulig stort tall — men det er grunnen til at vi ikke bare kan bruke en 64-bit hash og kalle det en dag.

plaintext

Det er akkurat derfor MD5 (128-bit) kollapset. Kollisjonsresistensen var bare 2^64 fra starten av, og strukturelle svakheter i algoritmen brakte den ned enda mer. Forskere fant til slutt kollisjoner på sekunder på en vanlig bærbar.

Den praktiske konklusjonen? Bruk alltid minst en 256-bit hashfunksjon for alt sikkerhetsrelatert. SHA-256, SHA3-256 eller BLAKE3 er alle utmerkede valg. Og hvis noen foreslår å bruke en 64-bit eller 128-bit hash for sikkerhetsformål, vet du nå nøyaktig hvorfor det er en forferdelig idé.

Prøv det selv

Nysgjerrig på hashen til dataene dine? Bruk vår MD5-hashgenerator, SHA-256-hashgenerator eller SHA-512-hashgenerator. Lim inn tekst og se hvordan selv minimale endringer gir helt forskjellige hasher — det er den beste måten å bygge intuisjon for hvordan disse algoritmene oppfører seg.