{"id":151,"date":"2026-06-19T12:57:43","date_gmt":"2026-06-19T12:57:43","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/19\/sha-256-vs-sha-3\/"},"modified":"2026-06-19T12:59:10","modified_gmt":"2026-06-19T12:59:10","slug":"sha-256-vs-sha-3","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/19\/sha-256-vs-sha-3\/","title":{"rendered":"SHA-256 vs SHA-3: 2373 vs 686 MB\/s, Qual Escolher [2026]"},"content":{"rendered":"\n

SHA-256 e SHA-3 s\u00e3o os dois algoritmos de hash criptogr\u00e1fico mais discutidos em 2026. Um tem 3,4 vezes mais velocidade em servidores modernos. O outro foi criado precisamente para sobreviver a falhas estruturais do rival. Escolher errado em sistemas de produ\u00e7\u00e3o significa comprometer desempenho ou abrir brechas de seguran\u00e7a que custam dezenas de milhares de euros em auditorias e corre\u00e7\u00f5es.<\/p>\n\n\n\n

Benchmarks publicados por Sylvain Kerkour em 2024 mostram SHA-256 a atingir 2373 MB\/s<\/strong> em mensagens de 1 MB num AMD EPYC 4245P (Zen 5), enquanto SHA3-256 fica nos 686 MB\/s<\/strong> na mesma m\u00e1quina. Noutro teste em ARM Graviton 4 da Amazon, a diferen\u00e7a mant\u00e9m-se: 1744 MB\/s contra 510 MB\/s. Falamos de uma lacuna de desempenho de 3,4 vezes, relevante em qualquer sistema que processe ficheiros grandes, assine muitos documentos por segundo ou execute pipelines de dados intensivos.<\/p>\n\n\n\n

Mas a hist\u00f3ria n\u00e3o termina nos benchmarks. SHA-3 introduziu uma arquitetura radicalmente diferente, resist\u00eancia a ataques de extens\u00e3o de comprimento, e variantes de sa\u00edda flex\u00edvel (SHAKE128, SHAKE256) que SHA-256 simplesmente n\u00e3o oferece. Este guia compara os dois algoritmos com dados reais, exemplos de c\u00f3digo, casos de uso concretos e uma recomenda\u00e7\u00e3o clara para cada cen\u00e1rio.<\/p>\n\n\n\n

SHA-256 vs SHA-3: Especifica\u00e7\u00f5es T\u00e9cnicas Completas<\/h2>\n\n\n\n

Antes de entrar nos casos de uso, \u00e9 fundamental perceber as diferen\u00e7as estruturais entre os dois algoritmos. A tabela abaixo resume as especifica\u00e7\u00f5es t\u00e9cnicas que determinam desempenho, seguran\u00e7a e compatibilidade.<\/p>\n\n\n\n

Caracter\u00edstica<\/th>SHA-256<\/th>SHA3-256<\/th><\/tr><\/thead>
Standard NIST<\/td>FIPS 180-4<\/td>FIPS 202<\/td><\/tr>
Ano de Padroniza\u00e7\u00e3o<\/td>2001<\/td>2015<\/td><\/tr>
Constru\u00e7\u00e3o Interna<\/td>Merkle-Damg\u00e5rd<\/td>Keccak Sponge<\/td><\/tr>
Tamanho do Digest<\/td>256 bits (32 bytes)<\/td>256 bits (32 bytes)<\/td><\/tr>
Estado Interno<\/td>256 bits<\/td>1600 bits<\/td><\/tr>
Bitrate (SHA3-256)<\/td>N\/A<\/td>1088 bits<\/td><\/tr>
Capacidade (SHA3-256)<\/td>N\/A<\/td>512 bits<\/td><\/tr>
N\u00famero de Rondas<\/td>64<\/td>24 (Keccak-f[1600])<\/td><\/tr>
Velocidade x86-64 (1 MB)<\/td>2373 MB\/s<\/td>686 MB\/s<\/td><\/tr>
Velocidade ARM64 (1 MB)<\/td>1744 MB\/s<\/td>510 MB\/s<\/td><\/tr>
Resist\u00eancia Extens\u00e3o de Comprimento<\/td>N\u00e3o<\/td>Sim<\/td><\/tr>
Acelera\u00e7\u00e3o SHA-NI (Intel\/AMD)<\/td>Sim<\/td>N\u00e3o<\/td><\/tr>
Variantes XOF Dispon\u00edveis<\/td>N\u00e3o<\/td>SHAKE128, SHAKE256<\/td><\/tr>
Vulnerabilidades Conhecidas (2026)<\/td>Nenhuma pr\u00e1tica<\/td>Nenhuma<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Origens: Por Que o SHA-3 Existe Se o SHA-256 Funciona<\/h2>\n\n\n\n

SHA-256 foi publicado pela NSA em 2001 e padronizado no FIPS 180-4<\/a>. Faz parte da fam\u00edlia SHA-2 e usa a constru\u00e7\u00e3o Merkle-Damg\u00e5rd: a mensagem \u00e9 dividida em blocos de 512 bits, cada bloco \u00e9 processado sequencialmente e o resultado encadeia no bloco seguinte. \u00c9 um design s\u00f3lido, testado por 25 anos, e a raz\u00e3o pela qual Bitcoin, TLS, GPG e o kernel Linux o usam como hash prim\u00e1rio.<\/p>\n\n\n\n

O problema surgiu em 2004-2005. Investigadores descobriram fraquezas te\u00f3ricas em MD5 e SHA-1, ambos Merkle-Damg\u00e5rd. SHA-256 continuava seguro, mas a comunidade criptogr\u00e1fica ficou nervosa: toda a fam\u00edlia SHA-2 partilha a mesma estrutura matem\u00e1tica de base. Se surgisse um ataque gen\u00e9rico contra Merkle-Damg\u00e5rd suficientemente poderoso, SHA-256 e SHA-512 cairiam juntos.<\/p>\n\n\n\n

Em 2007, o NIST lan\u00e7ou uma competi\u00e7\u00e3o p\u00fablica para criar um novo padr\u00e3o de hash radicalmente diferente, sem rela\u00e7\u00e3o estrutural com SHA-2. Participaram 64 candidatos. Em outubro de 2012, o NIST anunciou o vencedor: Keccak, proposto por Guido Bertoni, Joan Daemen, Micha\u00ebl Peeters e Gilles Van Assche. Em agosto de 2015, o algoritmo foi padronizado como SHA-3 no FIPS 202<\/a>.<\/p>\n\n\n\n

A ideia central era simples: mesmo que SHA-256 seja comprometido no futuro, SHA-3 usa uma arquitetura diferente e continuaria seguro. Diversidade estrutural como estrat\u00e9gia de defesa.<\/p>\n\n\n\n

Merkle-Damg\u00e5rd vs Keccak Sponge: A Diferen\u00e7a Que Importa<\/h2>\n\n\n\n

Perceber as duas constru\u00e7\u00f5es explica quase todas as diferen\u00e7as pr\u00e1ticas entre SHA-256 e SHA-3.<\/p>\n\n\n\n

Constru\u00e7\u00e3o Merkle-Damg\u00e5rd (SHA-256)<\/h3>\n\n\n\n

SHA-256 processa dados em modo de pipeline linear. A mensagem \u00e9 dividida em blocos de 512 bits. Cada bloco \u00e9 combinado com o estado atual de 256 bits atrav\u00e9s de uma fun\u00e7\u00e3o de compress\u00e3o, produzindo um novo estado de 256 bits. O digest final \u00e9 o estado ap\u00f3s o \u00faltimo bloco. O resultado de cada bloco alimenta diretamente o pr\u00f3ximo, criando uma cadeia que n\u00e3o pode ser paralelizada por bloco.<\/p>\n\n\n\n

Esta linearidade tem um efeito colateral: ataques de extens\u00e3o de comprimento. Se um atacante conhece SHA256(segredo || mensagem)<\/code> e o comprimento de segredo || mensagem<\/code>, pode calcular SHA256(segredo || mensagem || dados_adicionais)<\/code> sem conhecer o segredo. Este comportamento deriva diretamente da exposi\u00e7\u00e3o do estado interno Merkle-Damg\u00e5rd no digest final.<\/p>\n\n\n\n

Constru\u00e7\u00e3o Keccak Sponge (SHA-3)<\/h3>\n\n\n\n

SHA-3 usa uma constru\u00e7\u00e3o totalmente diferente: a esponja. O estado interno tem 1600 bits divididos em duas zonas: bitrate (1088 bits para SHA3-256) e capacidade (512 bits). Durante a fase de absor\u00e7\u00e3o, os dados de entrada s\u00e3o processados em blocos do tamanho do bitrate, aplicando a permuta\u00e7\u00e3o Keccak-f[1600] de 24 rondas a cada itera\u00e7\u00e3o. Na fase de extra\u00e7\u00e3o (squeezing), os bits do digest s\u00e3o retirados do estado.<\/p>\n\n\n\n

A capacidade permanece completamente isolada da entrada. Um atacante externo nunca v\u00ea os 512 bits de capacidade, o que torna os ataques de extens\u00e3o de comprimento estruturalmente imposs\u00edveis. Para SHA3-256, a seguran\u00e7a de colis\u00e3o \u00e9 de 128 bits e a seguran\u00e7a de pr\u00e9-imagem de 256 bits.<\/p>\n\n\n\n

A diferen\u00e7a de tamanho do estado (1600 bits vs 256 bits internamente) tamb\u00e9m explica parte do custo computacional. Cada permuta\u00e7\u00e3o Keccak-f[1600] opera sobre uma matriz de 5\u00d75\u00d764 bits, com opera\u00e7\u00f5es XOR, rota\u00e7\u00f5es e transposi\u00e7\u00f5es. \u00c9 matematicamente mais elegante, mas mais lento em software sem acelera\u00e7\u00e3o dedicada.<\/p>\n\n\n\n

Benchmarks de Desempenho: 3 Fontes, Dados Reais<\/h2>\n\n\n\n

Os benchmarks s\u00e3o a raz\u00e3o pela qual a maioria dos programadores ainda escolhe SHA-256 como padr\u00e3o. Os dados abaixo v\u00eam de medi\u00e7\u00f5es publicadas em hardware atual.<\/p>\n\n\n\n

Plataforma<\/th>Tamanho da Mensagem<\/th>SHA-256 (MB\/s)<\/th>SHA3-256 (MB\/s)<\/th>Diferen\u00e7a<\/th><\/tr><\/thead>
AMD EPYC 4245P (Zen 5)<\/td>64 bytes<\/td>822<\/td>246<\/td>3,3x<\/td><\/tr>
AMD EPYC 4245P (Zen 5)<\/td>1 MB<\/td>2373<\/td>686<\/td>3,4x<\/td><\/tr>
ARM Graviton 4 (AWS)<\/td>64 KB<\/td>1742<\/td>508<\/td>3,4x<\/td><\/tr>
ARM Graviton 4 (AWS)<\/td>10 MB<\/td>1744<\/td>510<\/td>3,4x<\/td><\/tr>
Intel Skylake (AVX2)<\/td>Grande<\/td>~1800 MB\/s*<\/td>~475 MB\/s*<\/td>~3,8x<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

*Estimativa baseada em ciclos\/byte publicados pela Wikipedia: SHA3-256 AVX2 reporta 7,8 ciclos\/byte num Skylake a 3,5 GHz, equivalente a aproximadamente 449 MB\/s.<\/p>\n\n\n\n

A raz\u00e3o pela qual SHA-256 \u00e9 consistentemente 3 a 4 vezes mais r\u00e1pido resume-se a dois fatores. Primeiro, as CPUs Intel e AMD modernas incluem extens\u00f5es SHA-NI que aceleram SHA-256 em hardware, reduzindo o custo por bloco. N\u00e3o existe acelera\u00e7\u00e3o SHA-NI equivalente para Keccak em CPUs x86-64 convencionais. Segundo, o tamanho do bloco de absor\u00e7\u00e3o do SHA3-256 (1088 bits) exige permuta\u00e7\u00f5es Keccak-f[1600] mais frequentes para o mesmo volume de dados.<\/p>\n\n\n\n

ThePrimeagen, criador de conte\u00fado conhecido pelas suas an\u00e1lises de desempenho em Rust e C, tem destacado que em sistemas que processam streaming de dados em larga escala, a diferen\u00e7a de throughput de 3x n\u00e3o \u00e9 acad\u00e9mica. Um servidor que valida assinaturas de 100 GB por hora processa 30 GB por hora a menos com SHA-3, o que se traduz diretamente em custos de infraestrutura.<\/p>\n\n\n\n

Por outro lado, Fireship, que cobre criptografia aplicada para programadores, nota que para a maioria das aplica\u00e7\u00f5es web que processam autentica\u00e7\u00f5es individuais ou hashes de passwords, a diferen\u00e7a de velocidade entre SHA-256 e SHA3-256 \u00e9 literalmente impercept\u00edvel. O gargalo est\u00e1 na rede, na base de dados ou na l\u00f3gica de neg\u00f3cio, n\u00e3o no algoritmo de hash.<\/p>\n\n\n\n

Seguran\u00e7a: Onde Cada Algoritmo Ganha<\/h2>\n\n\n\n

Tanto SHA-256 como SHA-3 s\u00e3o considerados seguros em 2026. N\u00e3o existem ataques pr\u00e1ticos conhecidos contra nenhum dos dois. A compara\u00e7\u00e3o de seguran\u00e7a centra-se em propriedades de design que afetam casos de uso espec\u00edficos.<\/p>\n\n\n\n

Resist\u00eancia a Ataques de Extens\u00e3o de Comprimento<\/h3>\n\n\n\n

Esta \u00e9 a vulnerabilidade mais documentada na constru\u00e7\u00e3o Merkle-Damg\u00e5rd que afeta SHA-256. O ataque funciona assim: se um sistema usa SHA256(chave_secreta || dados)<\/code> como mecanismo de autentica\u00e7\u00e3o (em vez de HMAC), um atacante que conhe\u00e7a o hash resultante e o comprimento total da mensagem consegue calcular SHA256(chave_secreta || dados || dados_falsos)<\/code> sem saber a chave.<\/p>\n\n\n\n

Este padr\u00e3o afetou APIs de servi\u00e7os reais. A API original da Amazon S3 e v\u00e1rias APIs de e-commerce dos anos 2000 usavam constru\u00e7\u00f5es vulner\u00e1veis a este ataque. A solu\u00e7\u00e3o padr\u00e3o \u00e9 usar HMAC-SHA256 em vez de SHA256 diretamente, que elimina a vulnerabilidade pela forma como encadeia a chave. SHA3-256 \u00e9 imune por design.<\/p>\n\n\n\n

For\u00e7a de Colis\u00e3o e Pr\u00e9-Imagem<\/h3>\n\n\n\n

Ambos os algoritmos oferecem 128 bits de resist\u00eancia a colis\u00f5es e 256 bits de resist\u00eancia a pr\u00e9-imagem quando usados na variante de 256 bits. Em termos pr\u00e1ticos, n\u00e3o existe diferen\u00e7a mensur\u00e1vel de seguran\u00e7a para as aplica\u00e7\u00f5es actuais. Nenhum computador existente pode quebrar qualquer um dos dois por for\u00e7a bruta.<\/p>\n\n\n\n

O que distingue SHA-3 \u00e9 a independ\u00eancia estrutural de SHA-2. Se for descoberto um ataque matem\u00e1tico espec\u00edfico \u00e0 constru\u00e7\u00e3o Merkle-Damg\u00e5rd que afete SHA-256 e SHA-512, SHA-3 permanece seguro. Isto n\u00e3o \u00e9 uma amea\u00e7a imediata, mas \u00e9 a raz\u00e3o pela qual o NIST criou um segundo padr\u00e3o independente.<\/p>\n\n\n\n

SHAKE128 e SHAKE256: As Variantes XOF do SHA-3<\/h2>\n\n\n\n

SHA-3 n\u00e3o \u00e9 apenas SHA3-256 e SHA3-512. O FIPS 202 tamb\u00e9m define as fun\u00e7\u00f5es de sa\u00edda extens\u00edvel (XOF), que SHA-256 n\u00e3o tem equivalente.<\/p>\n\n\n\n

SHAKE128<\/strong> e SHAKE256<\/strong> s\u00e3o fun\u00e7\u00f5es que produzem tantos bytes de sa\u00edda quantos forem necess\u00e1rios. Em vez de um digest fixo de 256 bits, pode-se pedir 16 bytes, 64 bytes, ou 1 MB de sa\u00edda pseudo-aleat\u00f3ria determin\u00edstica derivada da mesma entrada. Esta propriedade \u00e9 extremamente \u00fatil em:<\/p>\n\n\n\n