Hash Doğrulama Nedir? MD5 SHA-1 SHA-256 Adli Bilişimde Hangi Algoritma
Hash = veri parmak izi. MD5 (128 bit) deprecated, SHA-1 (160 bit) deprecated, SHA-256 (256 bit) modern standart, SHA-3 yeni nesil. NIST FIPS 180-4. SHA-256 + MD5 ikili teyit.
Hash doğrulama, bir veri parçasının kriptografik parmak izi olan sabit uzunluklu çıktısının (digest) hesaplanıp karşılaştırılması yoluyla bütünlüğü kanıtlama yöntemidir. MD5 (128 bit) ve SHA-1 (160 bit) çarpışma saldırıları nedeniyle deprecated kabul edilir; SHA-256 NIST FIPS 180-4 ile tanımlı modern standarttır. Adli bilişim pratiği SHA-256 ile birlikte MD5'in çift teyit olarak hesaplanmasıdır.
TL;DR
- Hash = sabit uzunluklu kriptografik veri parmak izi.
- MD5 (128 bit) ve SHA-1 (160 bit) çarpışmaya açık, deprecated.
- SHA-256 (256 bit, FIPS 180-4) günümüz adli bilişim standardı.
- SHA-3 (Keccak) yeni nesil, henüz adli bilişimde yaygın değil.
- En iyi pratik: SHA-256 + MD5 ikili teyit, ISO/IEC 27037 uyumlu.
Detaylı cevap
Hash nasıl çalışır?
Kriptografik hash fonksiyonu, herhangi uzunlukta girdiyi sabit uzunlukta çıktıya dönüştüren tek yönlü matematiksel fonksiyondur. Üç temel özellik beklenir:
- Preimage resistance: hash'ten girdiye geri dönülememesi.
- Second preimage resistance: aynı hash'i üreten ikinci girdinin pratik olarak bulunamaması.
- Collision resistance: rastgele iki girdinin aynı hash üretme olasılığının yok sayılabilir olması.
Bir bit değişse bile çıktı kökten farklılaşır (avalanche etkisi).
Algoritma karşılaştırması
| Algoritma | Çıktı boyu | Durum | Tipik kullanım |
|---|---|---|---|
| MD5 | 128 bit | Deprecated (1996 zayıflık, 2004 çarpışma) | Hızlı bütünlük, ikincil teyit |
| SHA-1 | 160 bit | Deprecated (2017 SHAttered çarpışma) | Eski sistem uyum |
| SHA-256 | 256 bit | Aktif standart | Adli bilişim, imza, TLS |
| SHA-384 | 384 bit | Aktif | Yüksek güvenlik |
| SHA-512 | 512 bit | Aktif | 64-bit sistemlerde hızlı |
| SHA-3 (256) | 256 bit | Yeni nesil (FIPS 202) | Geleceğe hazırlık |
| BLAKE3 | Değişken | Performans odaklı | Yedekleme, dağıtık sistemler |
NIST FIPS rehberi
NIST FIPS 180-4, SHA ailesinin (SHA-1, SHA-224, SHA-256, SHA-384, SHA-512) resmi spesifikasyonudur. NIST SP 800-131A, hangi algoritmaların hangi tarihten itibaren yasaklı sayıldığını listeler. 2030 yılına kadar SHA-1'in tüm kullanımlarının terk edilmesi planlanmıştır. SHA-3 (Keccak) ise FIPS 202 kapsamında ayrı bir aile olarak tanımlıdır.
Adli bilişimde neden çift hash?
ISO/IEC 27037'nin delil bütünlüğü gereksinimini tek hash karşılar; ancak çift hash savunulabilirliği güçlendirir. MD5 ile SHA-256'nın aynı anda çarpışmaya zorlanması (chosen-prefix collision) pratik olarak fizibil değildir. Bu yüzden imaj alma araçları (FTK Imager, dd, X-Ways) varsayılan olarak iki hash birden hesaplar. Süreç detayları için ISO/IEC 27037 ne için kullanılır yazımıza bakılabilir.
Pratik kullanım: dd ve sha256sum
Linux ortamında klasik akış:
dd if=/dev/sdb of=imaj.dd bs=4M status=progresssha256sum imaj.dd > imaj.dd.sha256md5sum imaj.dd > imaj.dd.md5- Saklama öncesi ve sonrası hash karşılaştırılır.
Windows tarafında PowerShell Get-FileHash -Algorithm SHA256 veya FTK Imager kullanılır.
Hash sürtüşme (collision) örnekleri
- 2008: MD5 ile sahte SSL sertifikası üretildi (Sotirov vd.).
- 2017: Google SHAttered ile SHA-1 üzerinde pratik çarpışma gösterildi.
- 2020: SHA-1 chosen-prefix saldırısı 45.000 USD'ye düştü.
- SHA-256 üzerinde pratik bir çarpışma 2026 itibarıyla bilinmemektedir.
Bu durum, eski yedekleme sistemlerinde yalnız MD5 kullanan kurumların yedek bütünlüğünü riske attığını gösterir. Modern yedekleme stratejisi için HDD vs SSD ömür karşılaştırma yazımız faydalı olabilir.
Donanım hızlandırma
Modern CPU'lar Intel SHA-NI veya ARMv8 SHA uzantıları ile SHA-256'yı yazılım hızının 3 ila 10 katı hesaplar. 2026 itibarıyla NVMe SSD'lerden imaj alırken SHA-256 darboğaz değildir; saniyede 2-4 GB hesaplanabilir.
Hash ile dijital imza farkı
Hash bütünlük sağlar, kimlik doğrulamaz. Hash'in bir özel anahtar ile şifrelenmesi dijital imzayı oluşturur (RSA, ECDSA, EdDSA). Adli bilişim raporları SHA-256 hash + dijital imza (PAdES, CAdES) ile yayınlanırsa hem bütünlük hem inkar edememe sağlanır.
Yedekleme ve fidye yazılımı senaryosu
Fidye yazılım sonrası yedeklerin temiz olduğu yalnız hash karşılaştırması ile kanıtlanır. Yedek alındığında SHA-256 değerleri ayrı bir sistemde saklanır. Restore sırasında değer tekrar hesaplanır ve karşılaştırılır. Fidye yazılım ilk 24 saat aksiyon çizelgesi bu doğrulama adımını zaman çizelgesine bağlar.
Synology NAS örneği
Synology, Btrfs üzerinde dosya başına sağlama toplamı tutar ve okuma sırasında doğrular; ancak bu adli bilişim hash'i değildir. Adli inceleme için cihazdan imaj alınır ve harici SHA-256 hesaplanır. Detay için Synology NAS çöktü veri kurtarma SHR yazısına bakabilirsiniz.
SSS
MD5 hâlâ kullanılabilir mi?
Kriptografik güvenlik için kullanılmamalıdır. Yalnız hızlı bütünlük teyidi ve SHA-256 ile birlikte ikincil doğrulama amacıyla kabul edilir. Yeni sistem tasarlanırken MD5 öncelik seçimi olmamalıdır.
SHA-1 ne zaman tamamen yasaklanacak?
NIST SP 800-131A SHA-1'in tüm dijital imza kullanımlarını yasakladı; 2030 yılına kadar tüm uygulamalardan tamamen kaldırılması planlanıyor. TLS sertifikalarında 2017'den beri kabul edilmemektedir.
Adli bilişimde SHA-256 yeterli mi?
Tek başına yasal olarak yeterlidir, ancak çift hash (SHA-256 + MD5) pratiği savunmada güçlü duruş sağlar. Yüksek kritiklikte SHA-512 veya SHA-3-256 ek olarak hesaplanabilir.
Hash sonucu farklı çıkarsa ne yapmalı?
Önce hesaplama yöntemi ve aracın doğruluğu test edilir (bilinen örnekle). Sonra orijinal medyanın değişip değişmediği kontrol edilir. Delil zinciri kırılmışsa imaj yeniden alınmalı ve durum tutanakla kayıt altına alınmalıdır.
DSET hash doğrulamayı raporunda nasıl sunar?
DSET adli bilişim raporları, alınan imajın SHA-256 ve MD5 değerlerini, hesaplama tarihini ve aracını, ISO/IEC 27037 uyumlu delil zinciri ekinde sunar. İletişim: Hacettepe Teknokent Beytepe, +90 536 662 38 09, [email protected].
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.