MD5 vs SHA-256: rozdiely a odporúčania

MD5 a SHA-256 sú dve kryptografické hashovacie funkcie. Produkujú otisk pevnej veľkosti zo vstupu ľubovoľnej veľkosti. Stretávame sa s nimi všade: overenie integrity súborov, podpisy, unikátne identifikátory, TLS certifikáty, blockchain. Ich bezpečnostný status je naopak veľmi odlišný: MD5 je prelomený od 2004 pre kryptografické použitia, SHA-256 zostáva bezpečný v 2026. Tento článok sumarizuje situáciu.

Pripomenutie hashovacích funkcií

Kryptografická hashovacia funkcia transformuje správu ľubovoľnej dĺžky na otisk pevnej veľkosti. Tri očakávané vlastnosti:

• Preimage odolnosť: daný hash, musí byť nevykonateľné nájsť pôvodnú správu.
• Druhá preimage odolnosť: daná správa, musí byť nevykonateľné nájsť inú, ktorá produkuje rovnaký hash.
• Kolízna odolnosť: musí byť nevykonateľné nájsť dve odlišné správy, ktoré produkujú rovnaký hash.

Funkcia sa nazýva prelomená, akonáhle jedna z týchto vlastností padne. Pre MD5 padla kolízna odolnosť v 2004.

MD5: 128 bitov, prelomený od 2004

MD5 (Message Digest 5) je funkcia navrhnutá Ronaldom Rivestom v 1991 a štandardizovaná RFC 1321. Produkuje 128bitový otisk (16 bajtov, 32 hexadecimálnych znakov).

V 2004 Wang a Yu publikovali útok produkujúci MD5 kolízie v niekoľkých hodinách na PC. Odvtedy cost generovania kolízie klesol na niekoľko sekúnd. V 2008 výskumníci vyrobili falošný MD5 podpísaný SSL certifikát uznaný ako validný všetkými prehliadačmi. V 2012 malware Flame použil MD5 kolíziu na podpis svojho spustiteľného súboru ako legitímnej Microsoft binárky.

Záver: MD5 už nesmie slúžiť, akonáhle môže útočník ovplyvniť vstup. Všetky kryptografické použitia (podpisy, integrita voči adversárovi, derivácia kľúča) sú vylúčené. Iba niekoľko použití bez nepriateľstva zostáva akceptovateľných, ako checksum sieťového prenosu alebo cache key: MD5 zostáva rýchly a nezámerná kolízia zostáva štatisticky nemožná.

SHA-256: 256 bitov, bezpečný v 2026

SHA-256 patrí do rodiny SHA-2 publikovanej NIST v 2001 a štandardizovanej FIPS 180-4. Produkuje 256bitový otisk (32 bajtov, 64 hexadecimálnych znakov).

Žiadny praktický útok nie je známy proti SHA-256. Najlepší teoretický kolízny útok sa týka 31 kôl zo 64, bez praktického dopadu. Cost hrubej sily na nájdenie kolízie je v ráde 2^128 operácií, mimo dosah akejkoľvek známej infraštruktúry.

SHA-256 sa používa v: TLS (X.509 certifikáty), Git (od SHA-256 transition), Bitcoin (proof of work), podpisoch Linux balíčkov, Windows Update, atď. Je to dnes defaultne odporúčaný hash pre väčšinu všeobecných kryptografických použití.

Praktické rozdiely

Dĺžka výstupu

MD5("hello")     = 5d41402abc4b2a76b9719d911017c592               (32 chars hex)
SHA-256("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824 (64 chars hex)

Rýchlosť

MD5 je približne 2 až 3krát rýchlejší ako SHA-256 na rovnakom stroji. Na modernom CPU MD5 spracováva niekoľko GB/s na jadro, SHA-256 je v ráde GB/s. Na novších CPU s rozšírením SHA-NI sa rozdiel výrazne znižuje.

Bezpečnosť

Je to jediný rozdiel, ktorý sa skutočne počíta: MD5 je prelomený pre kolízie, SHA-256 nie. Ak je v stávke bezpečnosť voči adversárovi, voľba je jasná.

Porovnávacia tabuľka

Prípady použitia

Kedy zostáva MD5 akceptovateľný

• Aplikačný cache key (Redis, memcached) bez bezpečnostného dopadu
• Detekcia duplikátov v nehostilnom datasete
• Checksum sieťového prenosu na detekciu nezámernej korupcie
• Otisk reťazca na rozdelenie (sharding) bez adversariálnej podmienky

Kedy sa SHA-256 vyžaduje

• Overenie integrity voči útočníkovi (podpísané downloady, balíčky)
• Digitálne podpisy, X.509 certifikáty
• Git identifikátory commitov a objektov
• Derivácia kľúčov (v kombinácii s HKDF)
• Akákoľvek aplikácia podliehajúca regulatornej požiadavke (PCI-DSS, ANSSI, FIPS)

Konkrétne príklady

V PHP sú obe funkcie dostupné cez funkciu hash():

// Otisk retazca
$md5    = hash('md5',     'hello world');
$sha256 = hash('sha256',  'hello world');

// Otisk suboru (streamovane citanie)
$md5File    = hash_file('md5',    '/path/to/file.iso');
$sha256File = hash_file('sha256', '/path/to/file.iso');

Tieto otisky môžete generovať priamo online naším generátorom textových hashov, hashovať súbor generátorom súborových hashov, alebo identifikovať neznámy typ hashu identifikátorom hashov.

Odporúčanie

Pravidlo 2026 je jednoduché: SHA-256 defaultne. MD5 sa už nesmie objaviť vo vašom kóde, akonáhle môže útočník ovplyvniť vstup, čo pokrýva takmer všetky serverové prípady. Vyšší výkon MD5 už neospravedlňuje jeho použitie, rozdiel sa stal zanedbateľným s SHA-NI akceleráciami prítomnými na moderných x86 a ARM CPU.

Často kladené otázky