¿Qué diferencia hay entre formato JWK y PEM?

**PEM** es el formato clásico de OpenSSL: un blob base64 entre líneas `-----BEGIN-----` / `-----END-----`. Nativo para nginx, Apache, OpenSSL CLI y la mayoría de utilidades Unix. **JWK (JSON Web Key)** es el formato nativo JSON definido por el RFC 7517 y usado en todas partes en OAuth 2.0 y OpenID Connect, incluidos los endpoints JWKS. Mismo material de clave, dos presentaciones. La mayoría de librerías modernas de auth (`jose` en Node, `PyJWT`, `go-jose`, Microsoft.IdentityModel) aceptan ambos; algunos SDK heredados solo aceptan PEM. Te damos los dos porque normalmente necesitas PEM para el servidor que firma y JWK para el documento JWKS que recuperan otros servicios.

¿Qué es el header "kid" y por qué importa?

El **kid (key id)** es una etiqueta corta en el header del JWT que dice al verificador qué clave pública usar cuando el emisor rota entre varias. Un endpoint JWKS suele devolver varias claves (la actual más la recién retirada durante una ventana de rotación), cada una con un kid único. El verificador lee `header.kid` del JWT entrante, encuentra la clave pública coincidente en el JWKS y usa esa. Sin kid, la rotación es dolorosa: el verificador tiene que probar todas las claves publicadas. Auto-generamos un kid de 12 caracteres en base64url para cada par y ponemos el mismo kid en el JWK y en el header del JWT de muestra para que la cadena sea consistente desde el principio.

¿Por qué RS256 es la opción más común?

**RS256 = RSA-SHA256**, firmas RSA-PKCS#1 v1.5 sobre un hash SHA-256. Es el **default para Auth0, Okta, Keycloak, AWS Cognito, Azure AD, Google Identity Platform** y aproximadamente cualquier proveedor OAuth en el que te hayas logueado. El motivo es histórico (RSA lleva dos décadas siendo el algoritmo de clave pública por defecto) y práctico (todas las librerías de JWT en todas las plataformas lo soportan bien, incluso las muy antiguas). No es el más pequeño, no es el más rápido y PKCS#1 v1.5 ya no se considera la opción criptográficamente más limpia, pero es la apuesta más segura por compatibilidad. Si no tienes restricciones, usa RS256.

¿Cuándo debería elegir ES256 frente a RS256?

**ES256 = ECDSA en P-256 con SHA-256**. Las firmas y las claves son mucho más pequeñas: una clave pública ES256 son aproximadamente **91 bytes** frente a una clave RS256 de 2048 bits con unos **294 bytes**, y una firma ES256 son **64 bytes** frente a los **256 bytes** de RS256. Eso se traduce en tokens **cientos de bytes más cortos**, lo que importa en redes móviles, IoT y cookies (donde los límites de tamaño aprietan). La verificación también es más rápida en la mayoría de CPUs. Compromiso: ECDSA necesita un **buen generador de números aleatorios** al firmar (un RNG roto puede filtrar la clave privada, el famoso incidente de la Sony PS3). En servidores Node modernos no es un riesgo real, pero es el motivo por el que las casas más prudentes siguen prefiriendo RSA.

¿Cuál es la diferencia entre PS256 y RS256?

Ambos usan claves RSA y producen seguridad de 256 bits. La diferencia está en el esquema de padding. **RS256** usa **PKCS#1 v1.5**, un padding determinista de 1998 muy conocido pero con un largo historial de problemas de implementación (ataques de Bleichenbacher contra TLS, oráculos de firma). **PS256** usa **RSA-PSS** (Probabilistic Signature Scheme), el padding moderno estandarizado en PKCS#1 v2.1, que tiene una **reducción de seguridad demostrable** y usa aleatoriedad al firmar, por lo que dos firmas del mismo mensaje difieren. **PS256 es criptográficamente más limpio** y es lo que recomienda NIST para protocolos nuevos basados en RSA. La pega: algunos verificadores más antiguos no implementan PS256. Si controlas ambos extremos, usa PS256. Si tienes que interoperar con el ecosistema general, RS256.

¿Por qué llaman a EdDSA la elección moderna?

**EdDSA (Ed25519 en el contexto JWS)** lo diseñó un equipo liderado por Daniel Bernstein para arreglar los foot-guns que han atormentado a ECDSA: es **determinista** (no requiere RNG al firmar, así que no hay riesgo de fuga estilo Sony), tiene las **claves y firmas más pequeñas de cualquier algoritmo común** (clave pública de 32 bytes, firma de 64), es **el más rápido** firmando y verificando en hardware estándar y es **constant-time por construcción** (sin canales laterales de timing fáciles). El proyecto OpenSSH se movió a él como default en 2014; TLS 1.3 lo adoptó; la spec JWS lo añadió en el RFC 8037. El único motivo por el que no es el default universal es la edad de las librerías: muchas librerías JWT antiguas aún no lo soportan. Para sistemas nuevos con dependencias modernas (Node 14+, Go 1.13+, Python reciente, .NET reciente), elige EdDSA.

¿Qué tamaño de clave RSA elijo: 2048, 3072 o 4096?

**2048 bits es la respuesta correcta para casi todos**. NIST considera RSA de 2048 bits equivalente a **~112 bits de seguridad**, que es el suelo para claves que protegen datos hasta 2030. **3072 bits** lo sube a ~128 bits, el mismo nivel que P-256 / Ed25519. **4096 bits** ofrece ~152 bits de seguridad pero **firma aproximadamente 3-4 veces más lento** que 2048, lo que puede convertirse en una factura de CPU real en servidores de auth ocupados acuñando millones de tokens al día. Elige 2048 salvo que tengas un requisito de compliance que exija 3072+. Subir a 4096 solo retrasa el día en que migres a curvas elípticas, que es la respuesta real a largo plazo.

¿Cómo roto claves de firma JWT sin romper sesiones activas?

El patrón limpio de **rotación con dos claves**: (1) genera un par nuevo con un nuevo **kid**; (2) **publica ambas claves** en tu JWKS para que cualquier verificador vea la antigua y la nueva; (3) **espera a la propagación de caché** (la mayoría de verificadores cachean el JWKS de 1 a 24 horas); (4) **cambia el firmante** a la clave nueva; (5) **espera hasta que expire el token más longevo firmado con la clave antigua** (típicamente 1 hora para access tokens, más para refresh tokens); (6) **retira la clave antigua** del JWKS. Toda la secuencia lleva uno o dos días para access tokens típicos y una o dos semanas si también emites refresh tokens de larga duración. El header kid es lo que hace esto seguro: cada token lleva el id de la clave que lo firmó, así el verificador siempre sabe cuál usar.

¿Por qué generar claves en un servidor y no en el navegador?

**Puedes** generar pares en el navegador con la Web Crypto API y para pruebas puntuales vale. Pero para claves de producción lo ejecutamos en servidor por dos motivos prácticos. Primero, el **pool de entropía** en un servidor suele ser más sano que en el navegador de un visitante cualquiera, sobre todo en dispositivos con RNG débil (Android antiguo, algunos clientes embebidos). Segundo, server-side da una **ruta de código única y auditada** para cada algoritmo, incluyendo EdDSA y P-521, donde las implementaciones de navegador históricamente han ido por detrás. Las claves no salen de nuestra memoria después de enviarte la respuesta, no las logueamos, y la respuesta va cifrada por TLS hasta ti. Si quieres el aislamiento más fuerte posible, **ejecuta `openssl` en local** o `ssh-keygen -t ed25519` y sáltate cualquier herramienta web, incluida esta.

Generador de par de claves JWT - gratis

Qué es un par de claves JWT

Un JWT es un token de autenticación que tu servidor entrega a los usuarios logueados para que puedan demostrar quiénes son en cada petición posterior. El servidor firma el token con una clave privada, el cliente lo devuelve en cada petición y cualquier servicio que tenga la clave pública correspondiente puede verificar que la firma fue real y que el payload no se modificó por el camino.

Para que todo eso funcione necesitas un par de claves: una clave privada que vive en el servidor que firma y una clave pública que compartes (a menudo como un documento JWK publicado en `/.well-known/jwks.json`) para que los verificadores comprueben la firma sin ver nunca el secreto.

Esta herramienta genera ese par para cualquier algoritmo de firma moderno: RS256/RS384/RS512 (RSA clásico), PS256 (RSA-PSS, la variante RSA más segura), ES256/ES384/ES512 (curva elíptica) o EdDSA (Ed25519, el más pequeño y rápido). Obtienes las claves en formato PEM y JWK, más un JWT firmado de muestra que puedes decodificar al momento en el decodificador de JWT para ver el round trip completo. Generado en servidor con el módulo nativo `crypto` de Node, nunca almacenado.

Cómo usarlo

Elige un algoritmo. RS256 es el default para la mayoría de setups (Auth0, Okta, Keycloak y AWS Cognito lo usan por defecto). ES256 da tokens mucho más pequeños. EdDSA es el favorito moderno: claves más pequeñas, firma más rápida, implementación más simple.
Para la familia RSA (RS256, RS384, RS512, PS256): elige un tamaño de clave. 2048 bits es el default razonable. 3072 y 4096 bits son exponencialmente más lentos con ganancia de seguridad real insignificante.
Para la familia EC (ES256, ES384, ES512): la curva se elige automáticamente (P-256, P-384, P-521 respectivamente). Son las únicas que el RFC 7518 permite para cada algoritmo.
Para EdDSA: siempre usamos Ed25519, la curva estandarizada por el RFC 8037 para JWS. Aquí no hay nada que tocar.
Pulsa Generar. Devolvemos: la clave privada en PEM, la clave pública en PEM, la clave privada como JWK, la clave pública como JWK, más un JWT de muestra firmado con un payload diminuto (`sub: user-123`, válido durante 1 hora) para que verifiques end-to-end que las claves funcionan.
Guarda la clave privada ya. Nosotros no la almacenamos. Cerrar esta pestaña la pierde para siempre. Instálala en tu servidor de auth, en tu API gateway o donde acuñes tokens.
Publica la clave pública como documento JWKS en `https://tu-dominio.com/.well-known/jwks.json`. La mayoría de librerías (jose, jsonwebtoken, PyJWT, Microsoft.IdentityModel) pueden cachear esa URL automáticamente.
Pulsa Abrir en el decodificador junto al JWT de muestra para ver el header, el payload y la firma parseados en vivo en el decodificador de JWT. Confirma que el kid del header coincide con el JWK que has publicado.

Cuándo es útil

Seis situaciones comunes en las que un par de claves de firma JWT fresco compensa:

Montar un servicio de auth nuevo (Keycloak, Ory Hydra, Auth0 self-hosted, un servidor OAuth propio, un API gateway interno). Necesitas el par antes de poder acuñar un solo token.
Migrar de HS256 a RS256/ES256/EdDSA. HS256 usa un secreto compartido que obliga a cada verificador a tener el poder de firma. Los algoritmos asimétricos te dejan mantener la clave privada en el servidor de auth y entregar la pública libremente. Es el camino estándar de mejora para cualquier sistema que crezca más allá de un servicio.
Rotación de claves cada 3-12 meses como práctica de higiene de seguridad. Genera una clave nueva bajo un nuevo kid, publica ambas claves en tu JWKS, cambia el firmante a la nueva clave y retira la antigua tras el periodo de gracia.
Sospecha de compromiso de clave. Brecha en el servidor, commit accidental del PEM a un repo público, ex empleado con acceso a la clave. Genera un par nuevo, rota, revoca el kid antiguo en el JWKS, fuerza el logout de las sesiones activas.
Arquitecturas multi-emisor. Cada servicio acuña sus propios tokens; cada uno recibe su propio par para que los radios de impacto de un compromiso sean independientes.
Pruebas y demos. ¿Necesitas un JWT funcional para probar una librería de verificación? Genera un par, firma la muestra y tienes un ejemplo end-to-end real en un clic.

Herramientas relacionadas: decodificador JWT (decodifica e inspecciona cualquier JWT), generador de pares DKIM, verificación bcrypt, hash de contraseña, generador UUID.

Preguntas y respuestas

Un JWT (JSON Web Token) es un string compacto y seguro para URL formado por tres partes en base64 unidas por puntos: `header.payload.signature`. El header dice qué algoritmo firmó el token. El payload lleva los claims (quién es el usuario, cuándo expira el token, qué scopes tiene). La signature es la prueba de que el emisor acuñó realmente este header y payload exactos. Para firmar un JWT necesitas una clave privada. Para verificarlo sin filtrar el poder de firma, los demás necesitan la clave pública correspondiente. Los algoritmos simétricos (HS256, HS384, HS512) usan un único secreto compartido en su lugar, lo cual vale para un servicio autocontenido pero se rompe en cuanto un segundo servicio tiene que verificar tus tokens.

Qué es un par de claves JWT

Cómo usarlo

Elige un algoritmo. RS256 es el default para la mayoría de setups (Auth0, Okta, Keycloak y AWS Cognito lo usan por defecto). ES256 da tokens mucho más pequeños. EdDSA es el favorito moderno: claves más pequeñas, firma más rápida, implementación más simple.

Para la familia RSA (RS256, RS384, RS512, PS256): elige un tamaño de clave. 2048 bits es el default razonable. 3072 y 4096 bits son exponencialmente más lentos con ganancia de seguridad real insignificante.

Para la familia EC (ES256, ES384, ES512): la curva se elige automáticamente (P-256, P-384, P-521 respectivamente). Son las únicas que el RFC 7518 permite para cada algoritmo.

Para EdDSA: siempre usamos Ed25519, la curva estandarizada por el RFC 8037 para JWS. Aquí no hay nada que tocar.

Pulsa Generar. Devolvemos: la clave privada en PEM, la clave pública en PEM, la clave privada como JWK, la clave pública como JWK, más un JWT de muestra firmado con un payload diminuto (`sub: user-123`, válido durante 1 hora) para que verifiques end-to-end que las claves funcionan.

Guarda la clave privada ya. Nosotros no la almacenamos. Cerrar esta pestaña la pierde para siempre. Instálala en tu servidor de auth, en tu API gateway o donde acuñes tokens.

Publica la clave pública como documento JWKS en `https://tu-dominio.com/.well-known/jwks.json`. La mayoría de librerías (jose, jsonwebtoken, PyJWT, Microsoft.IdentityModel) pueden cachear esa URL automáticamente.

Pulsa Abrir en el decodificador junto al JWT de muestra para ver el header, el payload y la firma parseados en vivo en el decodificador de JWT. Confirma que el kid del header coincide con el JWK que has publicado.

Cuándo es útil

Seis situaciones comunes en las que un par de claves de firma JWT fresco compensa:

Montar un servicio de auth nuevo (Keycloak, Ory Hydra, Auth0 self-hosted, un servidor OAuth propio, un API gateway interno). Necesitas el par antes de poder acuñar un solo token.
Migrar de HS256 a RS256/ES256/EdDSA. HS256 usa un secreto compartido que obliga a cada verificador a tener el poder de firma. Los algoritmos asimétricos te dejan mantener la clave privada en el servidor de auth y entregar la pública libremente. Es el camino estándar de mejora para cualquier sistema que crezca más allá de un servicio.
Rotación de claves cada 3-12 meses como práctica de higiene de seguridad. Genera una clave nueva bajo un nuevo kid, publica ambas claves en tu JWKS, cambia el firmante a la nueva clave y retira la antigua tras el periodo de gracia.
Sospecha de compromiso de clave. Brecha en el servidor, commit accidental del PEM a un repo público, ex empleado con acceso a la clave. Genera un par nuevo, rota, revoca el kid antiguo en el JWKS, fuerza el logout de las sesiones activas.
Arquitecturas multi-emisor. Cada servicio acuña sus propios tokens; cada uno recibe su propio par para que los radios de impacto de un compromiso sean independientes.
Pruebas y demos. ¿Necesitas un JWT funcional para probar una librería de verificación? Genera un par, firma la muestra y tienes un ejemplo end-to-end real en un clic.

Herramientas relacionadas: decodificador JWT (decodifica e inspecciona cualquier JWT), generador de pares DKIM, verificación bcrypt, hash de contraseña, generador UUID.

Preguntas y respuestas

Generador de par de claves JWT

Qué es un par de claves JWT

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Decodificador JWT

Generador de par de claves DKIM

Verificador de bcrypt

Hashes de contraseñas: MD5, SHA, bcrypt

Generador de UUID

Generador de par de claves JWT

Qué es un par de claves JWT

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Decodificador JWT

Generador de par de claves DKIM

Verificador de bcrypt

Hashes de contraseñas: MD5, SHA, bcrypt

Generador de UUID