Skip to content
Back to Blog
hashingfile-integrityhash-generatorhow-to

Como Verificar o Checksum de um Arquivo (SHA-256)

Baixou um ISO ou instalador e quer confirmar que não foi corrompido ou adulterado? Veja como gerar e comparar um checksum SHA-256 no Windows, Mac e Linux, via linha de comando ou arrastando e soltando no navegador.

SZ
Founder, Molixa
12 min read
Compartilhar
Como Verificar o Checksum de um Arquivo (SHA-256)
Table of contents8 sections

Para verificar a soma de verificação de um arquivo, você gera um hash SHA-256 do arquivo baixado e o compara caractere por caractere com a soma de verificação oficial publicada pelo editor. Se as duas strings coincidirem exatamente, o arquivo está intacto. Se mesmo um caractere for diferente, o arquivo está corrompido ou foi alterado. Este guia mostra como fazer isso no Windows, Mac e Linux pela linha de comando, e como fazer a mesma coisa sem usar terminais no seu navegador.

A maioria das pessoas aprende a verificar a soma de verificação de um arquivo da maneira mais difícil: um download falha silenciosamente, um instalador trava, e só então descobrem que o arquivo estava incompleto. Uma verificação de soma de verificação de dois segundos detecta isso antes de você executar o arquivo, além do caso mais assustador em que um espelho de download foi comprometido e o arquivo foi trocado por malware.

O que um Checksum Realmente Comprova (E o Que Não Comprova)#

Um checksum é uma impressão digital de tamanho fixo de um arquivo. Execute o mesmo arquivo duas vezes com o mesmo algoritmo de hash e você obterá a mesma string idêntica. Altere um único byte e a impressão digital inteira muda completamente. Esse é o mecanismo completo, e é o que torna os checksums úteis para detectar tanto corrupção acidental quanto adulteração deliberada.

Aqui está a parte que a maioria dos tutoriais pula, e é a parte que importa para sua segurança. Um checksum correspondente prova que o arquivo que você tem é idêntico byte a byte ao arquivo que o checksum publicado descreve. Não prova nada sobre se esse checksum de referência é confiável em primeiro lugar.

Ponto chave: um checksum apenas verifica integridade, não autenticidade, a menos que você confie na fonte do próprio checksum. Se um invasor puder substituir tanto o download quanto o checksum na mesma página, a correspondência entre eles não lhe diz nada.

Integridade versus autenticidade#

Essas duas palavras são usadas de forma intercambiável, mas não deveriam ser.

  • Integridade significa que o arquivo chegou exatamente como saiu do servidor, sem corrupção devido a uma conexão instável, um setor de disco defeituoso ou um espelho instável. Qualquer checksum, mesmo um MD5 antigo, verifica a integridade perfeitamente.
  • Autenticidade significa que o arquivo realmente veio do editor que você pensa, sem que uma versão maliciosa tenha sido substituída. Isso exige que o checksum venha de um canal que um invasor não possa controlar.

A conclusão prática: baixe o arquivo de um espelho de download, mas obtenha o checksum do site HTTPS principal do editor ou de um arquivo de checksum assinado. Se ambos estiverem no mesmo espelho não confiável, um hash correspondente é apenas uma ilusão de segurança.

Por que Checksums MD5 Ainda São Aceitáveis para Corrupção#

Você ainda verá checksums MD5 publicados junto com downloads, e fóruns estão cheios de pessoas insistindo que MD5 está "quebrado" e é inútil. Esse conselho está meio certo, e a metade errada confunde as pessoas constantemente.

O MD5 está criptograficamente quebrado em um sentido específico: um atacante habilidoso pode criar deliberadamente dois arquivos diferentes que produzem o mesmo hash MD5 (uma colisão). Isso quebra o MD5 para autenticidade. Mas o MD5 ainda é perfeitamente bom para detectar corrupção acidental. Um download truncado ou um bit invertido por um disco com falha não vai magicamente colidir com o hash original. Portanto, se um projeto publica apenas um checksum MD5 e você só quer confirmar que o download não quebrou, o MD5 resolve isso bem.

AlgoritmoSeguro para verificação de corrupçãoSeguro para adulteração/autenticidadeObservações
MD5SimNãoColisões são práticas; nunca confie para segurança
SHA-1SimNãoDescontinuado; colisões demonstradas desde 2017
SHA-256SimSimO padrão atual para verificação de lançamentos
SHA-512SimSimMesma família do SHA-256, resumo mais longo

A regra geral: se um download oferecer SHA-256, sempre prefira-o. Se oferecer apenas MD5 e você estiver verificando um download corrompido, o MD5 é aceitável. Nunca confie em MD5 ou SHA-1 para provar que um arquivo não foi adulterado.

Como Verificar um Checksum de Arquivo no Windows, Mac e Linux#

O comando varia conforme o sistema operacional, mas o fluxo de trabalho é idêntico em todos: gere o hash do arquivo baixado e compare com o valor publicado.

Passo 1: Encontre o checksum oficial#

Antes de fazer o hash, localize o checksum de referência do publicador. Procure por um arquivo SHA256SUMS, um arquivo .sha256 ao lado do download ou um hash na página de lançamento oficial. Confirme que é SHA-256 (uma string hexadecimal de 64 caracteres) e não MD5 (32 caracteres) ou SHA-1 (40 caracteres), pois você deve fazer o hash com o algoritmo correspondente.

Se o publicador oferecer uma assinatura GPG para o arquivo de checksum, verificá-la é o padrão ouro, pois confirma que a lista de checksum veio do verdadeiro publicador.

Passo 2: Gere o hash na sua máquina#

Abra um terminal na pasta que contém seu download e execute o comando para sua plataforma.

Windows (Prompt de Comando ou PowerShell):

certutil -hashfile seuarquivo.iso SHA256

O certutil já vem integrado ao Windows, então não é necessário instalar nada. Substitua SHA256 por MD5 ou SHA1 se for o que o publicador forneceu. Usuários do PowerShell também podem executar Get-FileHash seuarquivo.iso -Algorithm SHA256 para uma saída mais limpa.

macOS:

shasum -a 256 seuarquivo.dmg

A flag -a 256 seleciona SHA-256. Para MD5 no Mac, use o comando separado md5 seuarquivo.dmg. Ambos vêm com o macOS.

Linux:

sha256sum seuarquivo.iso

A maioria das distribuições inclui sha256sum, md5sum e sha1sum por padrão. Cada um imprime o hash seguido pelo nome do arquivo.

Passo 3: Compare os dois hashes#

Coloque o hash que sua máquina produziu ao lado do oficial. Eles são longos, então não tente ler a string inteira. Verifique os primeiros seis e os últimos seis caracteres e confirme se o comprimento corresponde. Se ambas as extremidades coincidirem, você quase certamente tem uma correspondência.

No Linux e Mac, você pode deixar o computador comparar por você. Se o publicador forneceu um arquivo SHA256SUMS, execute sha256sum -c SHA256SUMS (ou shasum -a 256 -c no Mac) na mesma pasta e ele imprimirá OK ou FALHOU por arquivo, eliminando qualquer chance de erro humano na leitura de um caractere.

Passo 4: Decida com base no resultado#

  • Hashes coincidem: o arquivo está intacto e idêntico à versão publicada. Se você também confia na origem do checksum, pode prosseguir com segurança.
  • Hashes não coincidem: pare. Não execute o arquivo. Baixe novamente de um mirror diferente e verifique novamente. Uma divergência persistente da fonte oficial é um sinal de alerta que vale a pena relatar ao projeto.

O Método Sem Terminal: Verifique uma Checksum no Seu Navegador#

Ferramentas de linha de comando são confiáveis, mas muitas pessoas não querem abrir um terminal, não têm permissões de administrador no computador do trabalho ou acham a sintaxe propensa a erros. Existe um caminho mais rápido que produz o mesmo resultado SHA-256.

Um gerador de hash SHA-256 gratuito baseado em navegador permite arrastar e soltar o arquivo e calcula o resumo diretamente no seu dispositivo usando a API Web Crypto integrada do navegador. Nada é enviado para lugar nenhum. O arquivo nunca sai do seu computador, o que é importante quando você está verificando um instalador sensível ou um documento confidencial.

O fluxo de trabalho são os mesmos três passos, sem digitar:

  1. Abra o gerador de hash e arraste o arquivo baixado para ele.
  2. Leia o resumo SHA-256 que ele produz.
  3. Cole a checksum oficial do editor no campo de comparação; a ferramenta informa instantaneamente se eles coincidem.

Esse último ponto evita que você cometa erros. Em vez de ficar olhando para duas strings de 64 caracteres, você cola o valor esperado e obtém um resultado claro de correspondência ou não correspondência, com os caracteres diferentes destacados. A mesma ferramenta pode alternar algoritmos, então um download mais antigo com apenas um hash MD5 também é coberto.

Dica: como o hash é executado localmente no seu navegador, isso também funciona offline depois que a página é carregada. Útil em uma máquina sem conexão com a internet ou em uma rede restrita.

Motivos Comuns para um Checksum Não Corresponder#

Uma incompatibilidade é alarmante, mas geralmente é algo corriqueiro. Verifique estes pontos antes de presumir o pior.

  • Algoritmo errado. Você usou SHA-256, mas o valor publicado é MD5, ou vice-versa. As strings nunca coincidem entre algoritmos diferentes, então verifique primeiro o comprimento do digest.
  • Download incompleto. A causa mais comum. Uma conexão interrompida resulta em um arquivo truncado. Baixe novamente e verifique.
  • Você fez o hash do arquivo errado. Uma cópia antiga com o mesmo nome, ou um instalador renomeado, gera hashes diferentes. Confirme que está apontando para o arquivo correto.
  • Espaços em branco ou diferença de maiúsculas/minúsculas na comparação. Um espaço extra ou diferença de capitalização pode parecer uma incompatibilidade ao colar. Hashes hexadecimais não diferenciam maiúsculas de minúsculas, então normalize ambos para minúsculas; uma boa ferramenta de comparação faz isso por você.
  • O publicador atualizou o arquivo. Alguns projetos reconstroem versões e atualizam checksums, então compare seu hash de referência com a versão exata que você baixou.

Se você descartou todas essas possibilidades e o hash oficial ainda não corresponder, trate o download como não confiável. Essa é exatamente a situação que a verificação de checksum existe para detectar.

Onde a Verificação de Checksum se Encaixa em uma Rotina de Segurança#

Verificar um checksum é uma camada, não a defesa completa. Baixe de fontes oficiais via HTTPS para que a conexão em si seja autenticada, e prefira checksums assinados com GPG para qualquer coisa crítica de segurança, porque uma assinatura vincula o hash a uma chave verificável, não apenas a uma página web.

Depois que um arquivo é verificado e instalado, seus riscos restantes se concentram em senhas e contas. Se uma ferramenta que você instalou pedir para criar credenciais, teste-as em um verificador de força de senha e gere uma única com um gerador de senhas seguro para que uma instalação verificada não se torne o novo elo fraco.

Hashing também é útil além de downloads. O mesmo resumo SHA-256 que verifica uma ISO pode gerar uma impressão digital de um arquivo de configuração para detectar alterações posteriores, deduplicar documentos ou confirmar que um backup corresponde ao original.

Conclusão: Como Verificar o Checksum de um Arquivo do Jeito Certo#

Saber como verificar o checksum de um arquivo transforma um salto de fé em uma certeza de dois segundos. Gere o hash SHA-256 do seu download, compare com o valor oficial do editor e só prossiga se eles coincidirem exatamente. Use a linha de comando se você vive no terminal, ou arraste o arquivo para um gerador baseado em navegador se preferir pular a sintaxe.

O detalhe que separa uma verificação real de um placebo é de onde vem o checksum de referência. Compare o arquivo com um hash da fonte confiável do editor, servida via HTTPS e, idealmente, assinada, e você terá verificado tanto a integridade quanto a autenticidade. Compare com um hash no mesmo espelho suspeito do download e você não terá verificado nada que importa. Obtenha o checksum de uma fonte confiável, gere o seu com um gerador de hash SHA-256 gratuito, compare e pronto.

Perguntas Frequentes#

Qual é a diferença entre checksum e hash? No uso cotidiano, ambos significam a mesma coisa para verificação de arquivos: uma impressão digital de tamanho fixo calculada a partir do conteúdo de um arquivo. Tecnicamente, "checksum" é o termo mais amplo e inclui códigos simples de detecção de erros como CRC32, enquanto "hash" geralmente implica uma função criptográfica como SHA-256. Quando uma página de download diz "checksum", quase sempre se refere a um hash criptográfico como MD5, SHA-1 ou SHA-256.

Um checksum SHA-256 correspondente significa que o arquivo é seguro? Significa que o arquivo é idêntico byte a byte àquele descrito pelo checksum publicado. Isso garante que o arquivo não foi corrompido durante a transferência. Só garante que o arquivo é genuinamente do editor se você obteve o checksum de uma fonte que um invasor não poderia adulterar, como o site HTTPS do editor ou um arquivo de checksum assinado com GPG.

O MD5 é suficiente para verificar um download? Para detectar corrupção acidental, sim. Um download truncado ou danificado não produzirá acidentalmente o mesmo MD5 que o original. Para provar que um arquivo não foi deliberadamente adulterado, não, pois invasores podem criar colisões MD5. Se o editor oferecer SHA-256, use-o e reserve o MD5 apenas para verificações de corrupção simples.

Como verifico um checksum no Windows sem instalar nada? Use o comando certutil integrado: abra o Prompt de Comando na pasta do arquivo e execute certutil -hashfile seuarquivo.iso SHA256. Usuários do PowerShell podem executar Get-FileHash seuarquivo.iso -Algorithm SHA256 para uma saída mais limpa. Se preferir evitar o terminal, arraste o arquivo para um gerador de hash baseado em navegador que roda localmente na sua máquina.

Por que meus dois hashes parecem diferentes, mesmo tendo baixado o arquivo correto? Os culpados comuns são usar o algoritmo errado (comparando um hash SHA-256 com um valor MD5), um download incompleto ou diferenças de espaços em branco e capitalização ao colar os valores. Hashes hexadecimais não diferenciam maiúsculas de minúsculas, então normalize ambos para minúsculas. Se tudo corresponder e o hash ainda diferir da fonte oficial, baixe novamente de outro espelho e verifique outra vez.

Posso verificar um checksum offline? Sim. As ferramentas de linha de comando (certutil, shasum, sha256sum) rodam totalmente localmente, sem necessidade de internet. Um gerador baseado em navegador que usa a Web Crypto API também funciona offline depois que a página carregar, pois a hash é calculada no seu dispositivo, não em um servidor.

hashingfile-integrityhash-generatorhow-to

More from Molixa

Try Molixa Tools

50+ free AI tools for content creation, SEO, coding, and more. No signup, no watermark.

Explore all tools