SHA-256 vs SHA-512の比較

SHA-256とSHA-512はどちらもSHA-2ファミリーのメンバーで、同じMerkle-Damgard設計を共有していますが、ワードサイズ、ラウンド数、パフォーマンス特性が異なります。どちらが普遍的に優れているわけではなく、プラットフォームと要件に依存します。

構造の違い:

SHA-256は32ビットワードで動作し、512ビットブロックを64ラウンドで処理します。SHA-512は64ビットワードで1024ビットブロックを80ラウンドで処理します。SHA-256は256ビット（32バイト）ダイジェスト、SHA-512は512ビット（64バイト）ダイジェストを生成します。

アーキテクチャ別のパフォーマンス:

64ビットプロセッサでは、SHA-512は通常SHA-256より高速です。64ビットの加算と回転が単一命令で実行されるためです。最新のx86-64 CPUではSHA-512が30〜50%高いスループットを達成します。しかし32ビットおよび組み込みプロセッサでは、SHA-512は約2〜3倍遅くなります。Intel SHA-NI拡張のあるプラットフォームでは、ハードウェアアクセラレーションされたSHA-256がソフトウェアSHA-512より大幅に高速になります。

セキュリティマージン:

SHA-256は128ビットの衝突耐性、SHA-512は256ビットの衝突耐性を提供します。どちらも現在の計算能力では攻撃不可能です。SHA-512の追加の衝突耐性は量子コンピューティングの進歩に対する理論的マージンを提供します。Groverのアルゴリズムを考慮すると、SHA-256の実効衝突耐性は約85ビットに低下しますが、SHA-512は約170ビットを維持します。

ダイジェストサイズの影響:

SHA-512の128文字の16進数出力はSHA-256の64文字の2倍です。ストレージ、帯域幅、URL長に影響します。SHA-512/256のような切り詰め版はSHA-512アルゴリズムを内部で実行しつつ256ビットのみを出力し、SHA-512の64ビットパフォーマンスと短いダイジェストを両立します。

推奨:

64ビットハードウェアのサーバーサイドアプリケーションにはSHA-512またはSHA-512/256が適しています。ブラウザベース、モバイル、組み込みアプリケーションにはハードウェアアクセラレーションのサポートが広いSHA-256が通常適切です。