SHA-256 वास्तव में क्या है

Cuadernos Lacre · कॉन्सेप्ट · 19 मई, 2026
https://solo2.net/hi/notebooks/articulos/what-sha-256-actually-is.html

एक गणितीय छाप जो चौंसठ वर्णों में समा जाती है और मूल पाठ की एक भी कॉमा बदलने पर पूरी तरह बदल जाती है। हम इसे डिजिटल लाख की मुहर क्यों कहते हैं।

---

तकनीकी नाम के पीछे का सरल विचार

कल्पना करें कि एक मशीन है जिसमें एक स्लॉट और एक स्क्रीन है। स्लॉट के माध्यम से आप एक पाठ डालते हैं: एक शब्द, एक वाक्य, एक पूरा उपन्यास। स्क्रीन पर, कुछ क्षण बाद, ठीक चौंसठ वर्णों का एक क्रम दिखाई देता है। उस क्रम को, पेशेवर पाठक के लिए हम hash या क्रिप्टोग्राफिक सारांश कहते हैं; सामान्य पाठक के लिए, हम इसे अभी के लिए पाठ की गणितीय छाप कह सकते हैं, जैसे कि फिंगरप्रिंट किसी व्यक्ति की पहचान होती है।

यदि आप एक ही पाठ को दो बार डालते हैं, तो मशीन दोनों बार एक ही छाप दिखाती है। यदि आप थोड़ा अलग पाठ डालते हैं — एक बदली हुई कॉमा, एक बड़ा अक्षर जो छोटा हो जाता है — तो मशीन पहली वाली से पूरी तरह अलग छाप दिखाती है। मिलती-जुलती नहीं: अलग। ये दो गुण एक साथ — नियतत्ववाद (determinism) और संवेदनशीलता — सरल विचार हैं। SHA-256 की बाकी सभी चीजें वह मशीनरी हैं जो इन्हें सही ढंग से लागू करती हैं।

शुरुआत में ही यह कहना उचित है कि मशीन क्या नहीं करती है। यह पाठ को एन्क्रिप्ट नहीं करती है। इसे छिपाती नहीं है। इसे सहेजती नहीं है। मशीन पाठ को देखती है, छाप की गणना करती है, और पाठ को भूल जाती है। छाप से उस पाठ को फिर से बनाना संभव नहीं है जिसने इसे उत्पन्न किया था; यह केवल एक पाठ की जांच करने की अनुमति देती है कि वह मूल से मेल खाता है या नहीं। इसीलिए हम कहते हैं कि यह एक एकतरफा सारांश है: इसमें जाया जा सकता है, वापस नहीं आया जा सकता।

Hash एन्क्रिप्शन के समान नहीं है

भ्रम अक्सर होता है और इसे स्पष्ट करना उचित है: एन्क्रिप्शन और हैशिंग अलग-अलग ऑपरेशन हैं। एन्क्रिप्शन में पाठ को इस तरह से बदलना शामिल है कि केवल कुंजी का स्वामी ही उसे उसके मूल रूप में वापस ला सके। हैशिंग में पाठ की एक छाप बनाना शामिल है जिससे मूल पाठ को कभी भी पुनर्प्राप्त नहीं किया जा सकता, न तो कुंजी के साथ और न ही बिना कुंजी के। पहला डिज़ाइन द्वारा प्रतिवर्ती (reversible) है; दूसरा डिज़ाइन द्वारा अपरिवर्तनीय (irreversible) है।

इसका व्यावहारिक परिणाम महत्वपूर्ण है। जब कोई एप्लिकेशन कहता है «हम आपका पासवर्ड एन्क्रिप्टेड रखते हैं», तो कोई है जिसके पास उसे डिक्रिप्ट करने की कुंजी है — किसी भी मामले में एप्लिकेशन स्वयं। जब कोई एप्लिकेशन कहता है «हम आपका पासवर्ड हैश रखते हैं», तो एप्लिकेशन स्वयं भी मूल पासवर्ड नहीं पढ़ सकता चाहे वह चाहे; वह केवल यह जांच सकता है कि आप जो लिखते हैं वह फिर से वही छाप उत्पन्न करता है या नहीं। दूसरा मॉडल, यदि सही तरीके से किया जाए, तो पासवर्ड स्टोर करने के लिए पहले वाले की तुलना में कहीं अधिक बेहतर है। बाद में हम देखेंगे कि क्यों «सही तरीके से किए जाने» के लिए केवल SHA-256 से अधिक की आवश्यकता होती है।

वे चार गुण जो क्रिप्टोग्राफिक हैश को उपयोगी बनाते हैं

एक हैश फंक्शन जो क्रिप्टोग्राफिक विशेषण के योग्य है, चार गुणों को पूरा करता है:

1. नियतत्ववाद (Determinism)। समान इनपुट हमेशा समान छाप उत्पन्न करता है।
2. एवलांच प्रभाव (Avalanche effect)। इनपुट में एक छोटा सा बदलाव पूरी तरह से अलग छाप उत्पन्न करता है, जिसमें पिछले वाले से कोई स्पष्ट समानता नहीं होती।
3. प्रतिलोमन प्रतिरोध (Resistance to inversion)। एक छाप को देखते हुए, उस पाठ को खोजना कम्प्यूटेशनल रूप से व्यवहार्य नहीं है जिसने इसे उत्पन्न किया था।
4. टकराव प्रतिरोध (Collision resistance)। दो अलग-अलग पाठ खोजना कम्प्यूटेशनल रूप से व्यवहार्य नहीं है जो समान छाप उत्पन्न करते हों।

«कम्प्यूटेशनल रूप से व्यवहार्य नहीं» का मतलब यह नहीं है कि «यह गणितीय रूप से असंभव है»। इसका मतलब यह है कि इसे प्राप्त करने में लगने वाला समय, ऊर्जा और धन की लागत उचित रूप से उपलब्ध कुल कंप्यूटिंग क्षमता के परिमाण से कई गुना अधिक है। SHA-256 के लिए, वह सीमा हजारों ट्रिलियन वर्षों में मापी जाती है, यहाँ तक कि विशेष हार्डवेयर के साथ सबसे आशावादी दृष्टिकोणों के लिए भी। जो पाठक के व्यावहारिक उद्देश्यों के लिए «नहीं किया जा सकता» के समान है।

SHA-256, विशेष रूप से

नाम सब कुछ बताता है। SHA का अर्थ है Secure Hash Algorithm: सुरक्षित हैश एल्गोरिदम। संख्या 256 बिट्स में छाप के आकार को दर्शाती है: दो सौ छप्पन बिट्स, यानी बत्तीस बाइट्स, जो हेक्साडेसिमल में दिखाने पर वे चौंसठ वर्ण होते हैं जिन्हें पाठक पहले से पहचानता है। मानक को अमेरिकी NIST द्वारा प्रकाशित किया गया था, वह संस्था जो इस प्रकार के कार्यों को मानकीकृत करती है, 2001 में SHA-2 परिवार के हिस्से के रूप में; मानक का वर्तमान संस्करण, FIPS 180-4, 2015 का है।

आयामों पर एक पल के लिए विचार करना उचित है। दो सौ छप्पन बिट्स दो की घात दो सौ छप्पन अलग-अलग मानों की अनुमति देते हैं: अठहत्तर दशमलव अंकों वाली एक संख्या, जो अवलोकन योग्य ब्रह्मांड में परमाणुओं की अनुमानित संख्या से कई गुना अधिक है। दुनिया का हर पाठ — हर किताब, हर ईमेल, हर संदेश — इन मानों में से किसी एक पर गिरता है। संयोग से दो अलग-अलग पाठों के मेल खाने की संभावना व्यावहारिक रूप से शून्य के बराबर है।

कोड में यह कैसा दिखता है

हम इसे लाख की मुहर क्यों कहते हैं

पंद्रहवीं से उन्नीसवीं शताब्दी के यूरोपीय पत्राचार में, लाख (सीलिंग वैक्स) पत्र को बंद करता था। पिघले हुए मोम की एक बूंद, उस पर दबाई गई मुहर, और पत्र पर एक अनूठी छाप बन जाती थी। यह सामग्री को किसी दृढ़ व्यक्ति से सुरक्षित नहीं रखता था — कागज को रोशनी के सामने पढ़ा जा सकता था, लाख को तोड़ा जा सकता था — लेकिन यह इसका प्रमाण देता था। मुहर में कोई भी बदलाव कागज खोलने से पहले ही प्राप्तकर्ता को दिखाई दे जाता था। लाख नुकसान को रोकता नहीं था; यह उसकी घोषणा करता था।

प्रत्येक Cuaderno के मुख्य भाग का SHA-256 डिजिटल संस्करण में वही कार्य करता है। यदि लेख प्रकाशित होने और आपके द्वारा इसे पढ़ने के बीच लेख का एक भी शब्द बदल जाता है, तो पाठ के नीचे की हेक्साडेसिमल मुहर आपके सामने मौजूद पाठ के SHA-256 से मेल नहीं खाएगी। कोड की पाँच पंक्तियों वाला कोई भी पाठक इसकी जाँच कर सकता है। मुहर के बिना प्रकाशन अपने इतिहास को फिर से नहीं लिख सकता। यह नुकसान से बचाता नहीं है; यह इसे सत्यापन योग्य बनाता है।

हैश क्या नहीं है

कभी-कभी SHA-256 से चार ऐसे उपयोगों की अपेक्षा की जाती है जो इसके नहीं हैं:

1. एन्क्रिप्ट करना। हैश सारांश प्रस्तुत करता है; यह छिपाता नहीं है। यदि आप चाहते हैं कि पाठ पढ़ने योग्य न हो, तो आपको उसे एन्क्रिप्ट करने की आवश्यकता है, हैश करने की नहीं।
2. लेखक को प्रमाणित करना। हैश यह नहीं बताता कि पाठ किसने लिखा है, केवल यह कि कौन सा पाठ हैश किया गया था। लेखकत्व जोड़ने के लिए हैश के ऊपर एक क्रिप्टोग्राफिक हस्ताक्षर की आवश्यकता होती है, न कि केवल हैश की।
3. पासवर्ड स्टोर करना। यहाँ एक जाल है जिसे समझना उचित है। SHA-256 को बहुत तेज़ होने के लिए डिज़ाइन किया गया है — जो कई चीजों के लिए अच्छा है, लेकिन इसके लिए बुरा है। विशेष हार्डवेयर वाला एक हमलावर आपके पासवर्ड को खोजने के लिए SHA-256 हैश के विरुद्ध प्रति सेकंड अरबों पासवर्ड आज़मा सकता है। पासवर्ड सहेजने के लिए जानबूझकर धीमे की-डेरिवेशन फंक्शन जैसे कि Argon2, scrypt या bcrypt का उपयोग किया जाना चाहिए, जो एक नमक (salt - प्रति उपयोगकर्ता अद्वितीय यादृच्छिक डेटा, जो दो व्यक्तियों को एक ही पासवर्ड होने पर समान हैश होने से रोकता है) के साथ संयुक्त हो।
4. लेखक की पहचान के रूप में हैश को पढ़ना। यह पहचानकर्ता नहीं है। हैश सामग्री की पहचान करता है। यदि दो लोग SHA-256 के साथ नमस्ते शब्द को हैश करते हैं, तो दोनों को एक ही सारांश मिलता है — और यह मुख्य गुण है, कोई दोष नहीं: यदि वे अलग-अलग सारांश होते, तो हम प्रकाशित और प्राप्त के बीच मेल की जांच नहीं कर पाते।

आपके दैनिक जीवन में SHA-256 कहाँ दिखाई देता है

भले ही आप इसे न देखें, SHA-256 आपके द्वारा इंटरनेट पर प्रतिदिन उपयोग की जाने वाली अधिकांश चीजों का आधार है। बिटकॉइन की ब्लॉकचेन प्रत्येक ब्लॉक के SHA-256 को अगले से जोड़कर बनाई गई है; किसी पिछले ब्लॉक को बदलने से बाद की पूरी श्रृंखला की पुनर्गणना करनी पड़ती है। Git, वह सिस्टम जिसके साथ दुनिया के आधे हिस्से का कोड वर्जन किया जाता है, अपनी पूरी सामग्री के SHA-256 (हाल के संस्करणों में) या उसके पूर्ववर्ती SHA-1 (पुराने संस्करणों में) द्वारा प्रत्येक कमिट की पहचान करता है। HTTPS प्रमाणपत्र जो वेबसाइट की पहचान सत्यापित करते हैं, जब आप प्रवेश करते हैं, तो उनके पास एक संबद्ध SHA-256 छाप होती है। सॉफ़्टवेयर डाउनलोड के साथ अक्सर डेवलपर द्वारा प्रकाशित SHA-256 होता है ताकि आप यह सत्यापित कर सकें कि फ़ाइल रास्ते में नहीं बदली गई है। और, जैसा कि हमने कहा है, प्रत्येक Cuaderno Lacre के नीचे।

पेशेवर पाठक के लिए

सिस्टम का निर्णय लेने या ऑडिट करने वालों के लिए चार परिचालन अनुस्मारक:

1. हैश एन्क्रिप्शन नहीं है। यदि कोई प्रदाता अपने तकनीकी दस्तावेजों में इन दो शब्दों को मिलाता है, तो यह पूछना उचित है कि उसका वास्तव में क्या मतलब है।
2. पासवर्ड स्टोर करने के लिए कभी भी केवल SHA-256 का उपयोग नहीं किया जाना चाहिए। SHA-256 इस कार्य के लिए बहुत तेज़ है (देखें हैश क्या नहीं है का बिंदु 3)। वर्तमान मानक Argon2id है: डिज़ाइन द्वारा धीमा, सर्वर की क्षमता के अनुसार विन्यास योग्य, प्रति उपयोगकर्ता अलग यादृच्छिक नमक के साथ संयुक्त।
3. दस्तावेजों की अखंडता के लिए — अनुबंध, फाइलें, अभिलेख — SHA-256 संदर्भ मानक बना हुआ है। यह वह है जिसका उपयोग यूरोपीय संघ में योग्य टाइम स्टैम्प प्रदाताओं द्वारा किया जाता है।
4. दीर्घकालिक (दशकों) संरक्षण के लिए SHA-256 के साथ SHA-3 या SHA-512 की गणना और संग्रह करना भी उचित है; क्रिप्टोग्राफिक विवेक सदियों पुराने अभिलेखों के लिए केवल एक फंक्शन पर भरोसा न करने की सलाह देता है।

कल्पना कीजिए कि आपने दुनिया का सबसे विस्तृत डोमिनो सर्किट बनाया है: हजारों गोटियां (fichas), दर्जनों शाखाएं, यांत्रिक पुल और रैंप जो पूरे कमरे में फैले हुए हैं, और हर एक टुकड़े को सावधानीपूर्वक लगाया गया है।

यदि आप पहली गोटी को हल्का सा धक्का देते हैं, तो पूरी श्रृंखला एक सटीक और दोहराव योग्य क्रम में गिरती है। वही सेटअप, वही शुरुआती धक्का → बार-बार गिराई गई गोटियों का बिल्कुल वही अंतिम पैटर्न।

यहाँ दिलचस्प बात यह है: शुरू करने से पहले एक ही गोटी को आधा सेंटीमीटर एक तरफ खिसका दें और फिर से धक्का दें। एक रैंप जिसे सक्रिय होना चाहिए था वह स्थिर रहता है, एक पुल नहीं गिरता, एक अलग शाखा सक्रिय हो जाती है। फर्श पर गोटियों का अंतिम पैटर्न पहले की तुलना में पूरी तरह से अपरिचित होगा।

SHA-256 गणितीय रूप से यही सर्किट है। आपके द्वारा लिखा गया टेक्स्ट गोटियों की शुरुआती स्थिति है। एल्गोरिथ्म वह धक्का है जो इस झरने (cascade) को मुक्त करता है। और अंतिम परिणाम — जिसे हम हैश (hash) कहते हैं — वह फर्श की एक स्थिर फोटो है जब सब कुछ रुक जाता है। मूल टेक्स्ट का एक भी कोमा बदलें और फोटो मौलिक रूप से अलग होगी। इतना सरल, और इतना प्रभावशाली।

---

यदि आप इस लेख के नीचे वापस जाते हैं, तो आपको चौंसठ वर्णों की एक हेक्साडेसिमल मुहर दिखाई देगी। यह उस पाठ का SHA-256 है जिसे आपने अभी-अभी इस भाषा में पढ़ा है। यदि हम लेख का अनुवाद करते हैं, तो मुहर अलग होगी; यदि हिंदी संस्करण का एक भी शब्द बदलता है, तो हिंदी मुहर बदल जाएगी। मुहर सामग्री की रक्षा नहीं करती है — उसके लिए अन्य उपकरण हैं — बल्कि यह विशिष्ट रूप से उसकी पहचान करती है। और यह, भले ही मामूली लगे, यह सुनिश्चित करने के लिए पर्याप्त है कि संपादकीय श्रृंखला का कोई भी कदम जो कहा गया है उसे बिना ध्यान दिए नहीं बदल सकता। बाकी सब कुछ — एन्क्रिप्ट करना, हस्ताक्षर करना, पहचान करना — इसी सरल विचार पर बनाया गया है।

स्रोत और आगे पढ़ने के लिए

- NIST — FIPS PUB 180-4: Secure Hash Standard (SHS), अगस्त 2015। SHA-256 सहित SHA-2 परिवार का आधिकारिक विनिर्देश।
- RFC 6234 — US Secure Hash Algorithms (SHA and SHA-based HMAC and HKDF), IETF, मई 2011। कार्यान्वयनकर्ताओं के लिए मानक संस्करण।
- Ferguson, N.; Schneier, B.; Kohno, T. — Cryptography Engineering: Design Principles and Practical Applications (Wiley, 2010)। अध्याय 5 और 6 हैश फंक्शन और उनके वैध और अवैध उपयोगों को कवर करते हैं।
- Nakamoto, S. — Bitcoin: A Peer-to-Peer Electronic Cash System (2008)। निर्माण द्वारा अपरिवर्तनीय संरचना में ब्लॉक को जोड़ने के लिए SHA-256 के उपयोग का व्यावहारिक उदाहरण।
- विनियमन (EU) 910/2014 (eIDAS) — योग्य टाइम स्टैम्प प्रदाताओं का ढांचा। SHA-256 यूरोपीय संघ में जारी योग्य इलेक्ट्रॉनिक हस्ताक्षरों और मुहरों के लिए संदर्भ फंक्शन है।
- Zig में संदर्भ कार्यान्वयन: भाषा के आधिकारिक रिपॉजिटरी में std.crypto.hash.sha2.Sha256 (github.com/ziglang/zig → lib/std/crypto/sha2.zig)। यह वह अनुकूलित और ऑडिटेड संस्करण है जिसे वास्तव में Solo2 उपयोग करता है। परिशिष्ट के शैक्षिक कार्यान्वयन के साथ तुलना करने के लिए उपयोगी।

---

Cuadernos Lacre · Menzuri Gestión S.L. का एक प्रकाशन · R.Eugenio द्वारा लिखित · Solo2 की टीम द्वारा संपादित।
https://solo2.net/hi/notebooks/