Karşılaştırma Yayın: 17 Temmuz 2026 7 dk okuma

MD5, SHA-1, SHA-256 Arasındaki Fark

Bir hash aracına baktığınızda karşınıza MD5, SHA-1, SHA-256, SHA-384, SHA-512 gibi beş farklı seçenek çıkar. Hepsi "aynı işi" yapıyor gibi görünür ama özet uzunluğu, hız ve en önemlisi güvenlik durumu birbirinden çok farklıdır. Bu rehberde beş algoritmayı yan yana koyup hangisini ne zaman seçmeniz gerektiğini gösteriyoruz.

MD5, SHA-1, SHA-256 arasındaki fark nedir?

Kısa cevap MD5 128 bit (32 hex karakter), SHA-1 160 bit (40 hex karakter), SHA-256 256 bit (64 hex karakter) özet üretir. MD5 ve SHA-1 kriptografik olarak kırılmıştır — gerçek çakışma (collision) örnekleri bulunmuştur — ve yalnızca kritik olmayan sağlama işlerinde kullanılmalıdır. SHA-256 ve SHA-512 ise günümüzde güvenli kabul edilir ve TLS sertifikaları, dijital imzalar gibi güvenlik gerektiren her yerde standarttır.

Aradaki fark sadece "uzunluk" değildir. MD5, 1992'de tasarlandığında bugünün donanım gücü ve saldırı teknikleri hesaba katılmamıştı; zamanla matematiksel zayıflıklar bulundu. SHA-256 ise çok daha karmaşık bir iç yapıya (64 tur sıkıştırma, 512 bitlik bloklar) sahip olduğu için hem daha uzun hem de kırılması çok daha zor bir özet üretir. Aşağıdaki tabloda aynı "Merhaba Dünya" metninin beş algoritmadaki hash'ini görebilirsiniz — kendi hash oluşturucumuzla doğrulanmıştır.

Beş algoritma tek tabloda

MD5, SHA-1, SHA-256, SHA-384, SHA-512 karşılaştırması
AlgoritmaBitHex karakterGüvenlik durumu
MD512832Kırık — çakışma bulundu (2004)
SHA-116040Kırık — gerçek çakışma bulundu (2017, SHAttered)
SHA-25625664Güvenli — genel amaçlı standart
SHA-38438496Güvenli — SHA-512'nin kısaltılmış hâli
SHA-512512128Güvenli — en yüksek özet uzunluğu

Kaynak: NIST FIPS 180-4 (SHA ailesi) · RFC 1321 (MD5) · CWI Amsterdam / Google "SHAttered" araştırması (SHA-1 çakışması, 2017).

"Merhaba Dünya" metninin örnek hash değerleri (hex, küçük harf)
AlgoritmaHash (ilk 24 karakter gösterilir)
MD52ef7bde608ce5404e97d5f04...
SHA-145807aacef420699719d5aa2...
SHA-2560a4d55a8d778e5022fab7019...
SHA-512374d794a95cdcfd8b35993185...

Kendi metniniz için tam hash değerlerini hash oluşturucuda görebilirsiniz; sonuçlar tarayıcınızda hesaplanır, hiçbir veri gönderilmez.

MD5: hızlı ama kırık

MD5 (Message Digest 5), 1992'de Ron Rivest tarafından tasarlanmış, 128 bit özet üreten bir hash algoritmasıdır. Uzun yıllar dosya sağlaması ve parola saklama için standart oldu. Ancak 2004 yılında araştırmacılar iki farklı girdinin aynı MD5 hash'ini ürettiği (çakışma/collision) pratik bir yöntem buldu. Bu, MD5'in artık güvenlik gerektiren hiçbir işte kullanılmaması gerektiği anlamına gelir.

MD5 hâlâ nerede kullanılabilir? Kriptografik güvenlik gerektirmeyen işlerde: dosya bozulma kontrolü (kasıtlı saldırı senaryosu yoksa), veri tekilleştirme, önbellek anahtarı üretimi. Parola, dijital imza veya güvenlik kararı gerektiren hiçbir yerde kullanılmamalıdır.

SHA-1: geçiş algoritması, artık güvensiz

SHA-1, NSA tarafından tasarlanıp 1995'te yayınlanan, 160 bit özet üreten bir algoritmadır. MD5'ten daha güvenli kabul edildi ve 2010'lara kadar TLS sertifikalarında yaygın kullanıldı. Ancak 2017'de Google ve CWI Amsterdam, "SHAttered" adlı araştırmayla aynı SHA-1 hash'ini üreten iki farklı PDF dosyası yayınlayarak çakışmayı pratikte kanıtladı. Bu tarihten sonra büyük tarayıcılar ve sertifika otoriteleri SHA-1'i kademeli olarak devre dışı bıraktı.

Benzersiz içgörü Git hâlâ commit ID'leri için SHA-1 kullanır — ama bu, Git'in güvensiz olduğu anlamına gelmez. Git'in kullanım senaryosunda amaç kötü niyetli bir çakışma üretmek değil, veri bütünlüğünü tesadüfi hatalara karşı korumaktır; bu yüzden SHA-1'in zayıflığı burada pratik bir risk oluşturmaz. Buna karşın bir TLS sertifikasında veya dijital imzada SHA-1 kullanmak ciddi bir güvenlik açığıdır — çünkü orada amaç, kötü niyetli bir tarafın sahte ama aynı hash'e sahip bir belge üretmesini engellemektir.

SHA-256, SHA-384, SHA-512: günümüz standardı

Kısa cevap SHA-256, SHA-384 ve SHA-512, SHA-2 ailesinin üyeleridir ve NIST tarafından 2001'de yayınlanmıştır. Bugüne kadar pratik bir çakışma bulunamamıştır ve TLS/SSL sertifikaları, kod imzalama, blok zinciri (Bitcoin SHA-256 kullanır) gibi güvenlik kritik her yerde standart olarak kullanılırlar.

SHA-256 ile SHA-512 arasındaki fark yalnızca özet uzunluğu değildir: SHA-512, 64 bitlik iç işlemler kullandığı için 64 bit işlemcili modern bilgisayarlarda bazen SHA-256'dan daha hızlı çalışabilir — çoğu kullanıcı için bu fark gözle görülür değildir. SHA-384 ise SHA-512'nin farklı bir başlangıç değeriyle kısaltılmış (384 bit) hâlidir ve bazı sertifika sistemlerinde tercih edilir.

Beş algoritmayı aynı anda karşılaştırın

Metin veya dosyanızın MD5, SHA-1, SHA-256, SHA-384, SHA-512 özetini tek seferde hesaplayın ve yan yana karşılaştırın.

Hash Oluşturucuyu Aç →

Hangi algoritmayı seçmeliyim?

Karar basit bir kurala indirgenebilir: güvenlik önemliyse SHA-256 veya üstü, önemli değilse hız için MD5 de olur. Ayrıntılı seçim rehberi:

  • Parola/oturum güvenliği: Düz SHA-256/512 de yeterli değildir — bcrypt, scrypt veya Argon2 gibi özel olarak yavaşlatılmış parola hash'leri kullanılmalıdır.
  • Dosya bütünlüğü / checksum: SHA-256 iyi bir varsayılandır; kasıtlı saldırı riski yoksa MD5 de teknik olarak yeterlidir ama SHA-256 artık her yerde standart.
  • Webhook / API imzalama: Düz hash değil, HMAC-SHA256 kullanılmalıdır — gizli anahtar olmadan imza taklit edilemez.
  • Dijital imza / sertifika: SHA-256 minimum standarttır; bazı kurumsal sistemler SHA-384/512 ister.
  • Eski sistem uyumluluğu: MD5/SHA-1 yalnızca değiştiremediğiniz eski bir sistemle uyumluluk için kullanılmalı, yeni tasarımlarda tercih edilmemelidir.

MD5 ile SHA-256 aynı anda mı hesaplanmalı?

Dosya paylaşımı yapan siteler genelde hem MD5 hem SHA-256 yayınlar: MD5 hızlı bir ilk kontrol, SHA-256 ise güvenilir doğrulama sağlar. Bu araç da varsayılan olarak beş algoritmayı birlikte hesaplayarak hangi değeri karşılaştırmanız gerektiğine siz karar vermenizi sağlar.

Sık sorulan sorular

MD5 ile SHA-256 arasındaki fark nedir?
MD5, 128 bit özet üretir ve kriptografik olarak kırılmıştır. SHA-256 ise 256 bit özet üretir ve günümüzde güvenli kabul edilir. SHA-256 daha yavaştır ama çok daha güvenlidir; güvenlik gerektiren her işte SHA-256 tercih edilmelidir.
SHA-1 hâlâ güvenli mi?
Hayır. SHA-1, 2017'de "SHAttered" araştırmasıyla gerçek bir çakışma örneğiyle kırıldı. Tarayıcılar ve sertifika otoriteleri SHA-1'i TLS sertifikalarında reddeder. Yalnızca eski sistem uyumluluğu için kullanılmalıdır.
Hangi hash algoritmasını seçmeliyim?
Genel amaçlı ve güvenlik gerektiren işler için SHA-256 iyi bir varsayılandır. Daha uzun özet isteyen sistemlerde SHA-512 tercih edilir. MD5 ve SHA-1 yalnızca eski sistemlerle uyumluluk veya kriptografik olmayan hızlı checksum işlerinde kullanılmalıdır.
MD5 neden hâlâ kullanılıyor?
MD5 hızlı olması nedeniyle güvenlik kritik olmayan işlerde (dosya sağlaması, veri tekilleştirme, önbellek anahtarı) kullanılır. Parola saklama, dijital imza veya güvenlik kararı için MD5 kullanılmamalıdır.
SHA-256 ile SHA-512 arasında ne fark var?
SHA-256, 256 bit; SHA-512 ise 512 bit özet üretir. SHA-512, 64 bitlik iç işlemler kullandığı için 64 bit işlemcilerde bazen daha hızlı çalışabilir. Güvenlik açısından ikisi de sağlam kabul edilir; SHA-512 daha büyük bir güvenlik marjı sunar.

İlgili rehberler

Metodoloji & kaynaklar. Bu yazıdaki örnek hash değerleri, BirAraçta'nın açık hash oluşturucu aracıyla üretilmiş ve NIST/RFC referans test vektörleriyle doğrulanmıştır. Kaynaklar: NIST FIPS 180-4 (Secure Hash Standard) · RFC 1321 (MD5) · CWI Amsterdam & Google "SHAttered" araştırması (2017) · W3C Web Cryptography API. Son güncelleme: 17 Temmuz 2026. Yazı bilgilendirme amaçlıdır; kritik güvenlik sistemleri için bir güvenlik uzmanına danışmanızı öneririz.