O SHA-256 \u00e9, hoje, a fun\u00e7\u00e3o de hash criptogr\u00e1fica mais usada do mundo. Sustenta os certificados que protegem os sites, confirma que o software descarregado n\u00e3o foi adulterado e est\u00e1 no cora\u00e7\u00e3o da rede Bitcoin. Quando se fala de “o hash de um ficheiro” num contexto moderno e seguro, \u00e9 quase sempre SHA-256 que est\u00e1 em causa. Este artigo explica onde se situa, como se comporta e onde aparece no dia a dia.<\/p>\n
A sigla SHA significa Secure Hash Algorithm, e existem v\u00e1rias gera\u00e7\u00f5es. O SHA-1, com 160 bits de sa\u00edda, foi o cavalo de batalha da web durante anos, at\u00e9 a nossa investiga\u00e7\u00e3o SHAttered demonstrar a primeira colis\u00e3o pr\u00e1tica de SHA-1<\/a> em 2017. O SHA-256 pertence \u00e0 gera\u00e7\u00e3o seguinte, conhecida como SHA-2, normalizada pelo NIST em 2001.<\/p>\n A fam\u00edlia SHA-2 n\u00e3o \u00e9 uma \u00fanica fun\u00e7\u00e3o, mas um conjunto que partilha a mesma estrutura base e difere sobretudo no tamanho do resumo. Os membros mais comuns s\u00e3o o SHA-224, o SHA-256, o SHA-384 e o SHA-512, sendo o n\u00famero o comprimento da sa\u00edda em bits. O SHA-256 \u00e9 o ponto de equil\u00edbrio que a maioria dos sistemas escolheu: um resumo suficientemente largo para ser seguro a longo prazo, sem o peso de c\u00e1lculo dos membros maiores.<\/p>\n \u00c9 importante n\u00e3o confundir o SHA-2 com o SHA-3. Apesar do nome sequencial, o SHA-3 n\u00e3o \u00e9 uma vers\u00e3o melhorada do SHA-2, mas um desenho interno completamente diferente, normalizado mais tarde como reserva. Os dois coexistem deliberadamente, para que uma eventual fraqueza num n\u00e3o comprometa o outro.<\/p>\n Independentemente do tamanho da entrada, o SHA-256 devolve sempre 256 bits. Isso traduz-se, em representa\u00e7\u00e3o hexadecimal, em exatamente 64 caracteres. Tanto o hash de uma \u00fanica letra como o de um ficheiro de v\u00eddeo de v\u00e1rios gigabytes ocupam o mesmo comprimento fixo.<\/p>\n O espa\u00e7o de 256 bits \u00e9 dif\u00edcil de apreender por intui\u00e7\u00e3o. O n\u00famero de resumos poss\u00edveis \u00e9 2 elevado a 256, um valor t\u00e3o grande que excede largamente qualquer contagem f\u00edsica com sentido no universo observ\u00e1vel. \u00c9 esta escala que torna invi\u00e1vel, na pr\u00e1tica, percorrer todas as sa\u00eddas poss\u00edveis \u00e0 procura de uma correspond\u00eancia. A seguran\u00e7a do SHA-256 n\u00e3o vem de algum segredo escondido na fun\u00e7\u00e3o, que \u00e9 p\u00fablica e bem conhecida, mas precisamente da dimens\u00e3o deste espa\u00e7o e da forma como mistura a entrada.<\/p>\n Mais \u00fatil do que decorar a mec\u00e2nica interna \u00e9 compreender as propriedades observ\u00e1veis da fun\u00e7\u00e3o. S\u00e3o estas que importam quando se decide onde a usar.<\/p>\n A mesma entrada produz sempre a mesma sa\u00edda, em qualquer m\u00e1quina, em qualquer momento. Esta previsibilidade \u00e9 o que permite usar um hash como identificador est\u00e1vel: se o resumo bate certo, os dados s\u00e3o os mesmos; se n\u00e3o bate, algo mudou.<\/p>\n Alterar um \u00fanico bit da entrada faz mudar cerca de metade dos bits da sa\u00edda. O resultado \u00e9 que duas entradas quase iguais produzem resumos sem qualquer semelhan\u00e7a aparente. Esta propriedade garante que o hash n\u00e3o revela pistas sobre o grau de parecen\u00e7a entre duas entradas, e \u00e9 tamb\u00e9m o que torna in\u00fatil tentar “aproximar-se” de um resumo por tentativa e erro.<\/p>\n A partir de um resumo, n\u00e3o h\u00e1 forma vi\u00e1vel de descobrir uma entrada que o produza. O c\u00e1lculo \u00e9 f\u00e1cil num sentido, da entrada para a sa\u00edda, e impratic\u00e1vel no sentido inverso. \u00c9 por isto que os sistemas de palavras-passe podem guardar hashes em vez das palavras-passe em claro, embora, nesse caso espec\u00edfico, se prefiram fun\u00e7\u00f5es desenhadas para serem lentas.<\/p>\n Uma colis\u00e3o s\u00e3o duas entradas diferentes com o mesmo resumo. Como as sa\u00eddas t\u00eam tamanho fixo e as entradas s\u00e3o ilimitadas, as colis\u00f5es existem por for\u00e7a matem\u00e1tica. A promessa de seguran\u00e7a \u00e9 apenas que ningu\u00e9m as consiga encontrar dentro de um tempo de c\u00e1lculo razo\u00e1vel. Para o SHA-256, n\u00e3o se conhece qualquer ataque pr\u00e1tico que produza uma colis\u00e3o, e \u00e9 por isso que continua a ser considerado seguro, ao contr\u00e1rio do SHA-1.<\/p>\n O SHA-256 n\u00e3o processa a entrada de uma s\u00f3 vez, mas por blocos. Primeiro, a mensagem \u00e9 preenchida at\u00e9 atingir um m\u00faltiplo do tamanho de bloco. Depois, a fun\u00e7\u00e3o percorre um bloco de cada vez, misturando cada um num estado interno de tamanho fixo atrav\u00e9s de v\u00e1rias rondas de opera\u00e7\u00f5es aritm\u00e9ticas e ao n\u00edvel dos bits. Quando o \u00faltimo bloco \u00e9 processado, esse estado interno passa a ser o resumo final. Esta abordagem de preencher, misturar bloco a bloco e produzir uma sa\u00edda final \u00e9 comum \u00e0s fun\u00e7\u00f5es da linhagem MD5, SHA-1 e SHA-2. Os detalhes exatos do n\u00famero de rondas e das constantes envolvidas fazem parte da especifica\u00e7\u00e3o p\u00fablica, mas, para decidir onde usar a fun\u00e7\u00e3o, basta reter este padr\u00e3o geral.<\/p>\n O SHA-256 n\u00e3o \u00e9 um exerc\u00edcio abstrato. Corre, discretamente, por baixo de grande parte da computa\u00e7\u00e3o do dia a dia.<\/p>\n Quando um navegador estabelece uma liga\u00e7\u00e3o segura, valida o certificado do servidor, e esse certificado \u00e9 assinado sobre um resumo SHA-256 dos seus dados. A migra\u00e7\u00e3o de certificados SHA-1 para SHA-256, acelerada ap\u00f3s o SHAttered, foi uma das mudan\u00e7as mais vis\u00edveis na infraestrutura da web na \u00faltima d\u00e9cada. Hoje, praticamente todos os certificados de confian\u00e7a usam SHA-256 ou mais forte.<\/p>\n Os sistemas operativos e os gestores de pacotes verificam se um programa vem de quem diz vir e se n\u00e3o foi alterado. Esse processo combina o SHA-256 com chaves assim\u00e9tricas, num esquema descrito no artigo sobre assinaturas digitais<\/a>. O hash reduz o ficheiro a um resumo, e a assinatura cobre esse resumo.<\/p>\n A rede Bitcoin usa o SHA-256 de forma intensiva. A minera\u00e7\u00e3o consiste, na pr\u00e1tica, em procurar uma entrada cujo resumo SHA-256 cumpra uma certa condi\u00e7\u00e3o num\u00e9rica, uma tarefa que s\u00f3 se resolve por tentativa repetida. O efeito de avalanche e a resist\u00eancia da fun\u00e7\u00e3o s\u00e3o o que torna essa procura genuinamente custosa, e \u00e9 esse custo que protege a rede.<\/p>\n Muitas p\u00e1ginas de descarga publicam o resumo SHA-256 ao lado do ficheiro. Depois de descarregar, qualquer pessoa pode calcular o hash localmente e compar\u00e1-lo com o valor publicado. Se coincidirem, o ficheiro chegou intacto; se n\u00e3o, foi corrompido ou trocado pelo caminho. \u00c9 a forma mais simples de verificar integridade sem precisar de uma assinatura completa.<\/p>\n A pergunta natural, depois de ver o SHA-1 cair, \u00e9 se o SHA-256 ter\u00e1 o mesmo destino. Por agora, a resposta \u00e9 que n\u00e3o h\u00e1 qualquer ataque pr\u00e1tico conhecido. O resumo mais largo, de 256 bits, e um desenho interno mais forte colocam-no muito al\u00e9m do que as t\u00e9cnicas que quebraram o SHA-1 conseguem alcan\u00e7ar.<\/p>\n Ainda assim, a hist\u00f3ria do SHA-1 ensina prud\u00eancia. As primitivas criptogr\u00e1ficas envelhecem, e um ataque hoje te\u00f3rico pode aproximar-se da pr\u00e1tica \u00e0 medida que a an\u00e1lise avan\u00e7a e o equipamento fica mais barato. \u00c9 por isso que o SHA-3 foi normalizado como alternativa de reserva e por que a orienta\u00e7\u00e3o respons\u00e1vel \u00e9 manter os sistemas capazes de mudar de fun\u00e7\u00e3o quando for preciso. Para situar o SHA-256 no conjunto maior das ferramentas criptogr\u00e1ficas, veja o artigo central de criptografia<\/a> e o texto geral sobre fun\u00e7\u00f5es de hash<\/a>.<\/p>\n O SHA-2 \u00e9 a fam\u00edlia, e o SHA-256 \u00e9 um dos seus membros, aquele que produz um resumo de 256 bits. Outros membros, como o SHA-512, partilham a mesma estrutura e diferem sobretudo no tamanho da sa\u00edda.<\/p>\n N\u00e3o. O SHA-256 \u00e9 uma fun\u00e7\u00e3o de sentido \u00fanico. A partir do resumo n\u00e3o h\u00e1 forma vi\u00e1vel de reconstruir a entrada. Quem afirma “desencriptar” um hash SHA-256 est\u00e1, na verdade, a comparar o resumo com uma lista de valores j\u00e1 calculados, n\u00e3o a inverter a fun\u00e7\u00e3o.<\/p>\n Por si s\u00f3, n\u00e3o \u00e9 a melhor escolha. \u00c9 r\u00e1pido demais, o que ajuda quem tenta adivinhar palavras-passe por tentativa. Para esse fim, usam-se fun\u00e7\u00f5es propositadamente lentas e com sal, como bcrypt, scrypt ou Argon2. O SHA-256 \u00e9 excelente para integridade e assinaturas, n\u00e3o para armazenar segredos de utilizadores diretamente.<\/p>\nO resumo de 256 bits<\/h2>\n
Como o SHA-256 se comporta<\/h2>\n
Determin\u00edstica<\/h3>\n
Efeito de avalanche<\/h3>\n
Resist\u00eancia \u00e0 pr\u00e9-imagem<\/h3>\n
Resist\u00eancia a colis\u00f5es<\/h3>\n
Como o resumo \u00e9 formado, em tra\u00e7os gerais<\/h3>\n
Onde o SHA-256 \u00e9 usado<\/h2>\n
Certificados TLS e HTTPS<\/h3>\n
Assinatura de software<\/h3>\n
Prova de trabalho da Bitcoin<\/h3>\n
Integridade de ficheiros<\/h3>\n
Por que o SHA-256 continua a resistir<\/h2>\n
Perguntas frequentes<\/h2>\n
Qual a diferen\u00e7a entre SHA-256 e SHA-2?<\/h3>\n
O SHA-256 pode ser invertido para recuperar os dados originais?<\/h3>\n
O SHA-256 \u00e9 seguro para guardar palavras-passe?<\/h3>\n