Quelle est la différence entre format JWK et PEM ?

**PEM** est le format classique OpenSSL : un blob base64 entre les lignes `-----BEGIN-----` / `-----END-----`. Natif à nginx, Apache, OpenSSL CLI, la plupart de l'outillage Unix. **JWK (JSON Web Key)** est le format natif JSON défini par RFC 7517 et utilisé partout dans OAuth 2.0 et OpenID Connect, y compris les endpoints JWKS. Même matière de clé, deux présentations. La plupart des bibliothèques d'auth modernes (`jose` en Node, `PyJWT`, `go-jose`, Microsoft.IdentityModel) acceptent les deux ; certains SDK legacy sont PEM-only. On te donne les deux parce que tu as généralement besoin de PEM pour le serveur qui signe et de JWK pour le document JWKS que d'autres services récupèrent.

C'est quoi le header « kid » et pourquoi ça compte ?

Le **kid (key id)** est un court label dans le header du JWT qui dit au vérificateur quelle clé publique utiliser, quand l'émetteur fait la rotation entre plusieurs. Un endpoint JWKS renvoie typiquement plusieurs clés (l'actuelle plus celle récemment retirée pendant une fenêtre de rotation), chacune taguée d'un kid unique. Le vérificateur lit `header.kid` du JWT entrant, trouve la clé publique correspondante dans le JWKS, et utilise celle-là. Sans kid, la rotation devient pénible : le vérificateur doit essayer chaque clé publiée. On auto-génère un kid base64url de 12 caractères pour chaque paire de clés et on met le même kid dans le JWK et dans le header du JWT d'exemple pour que la chaîne soit immédiatement cohérente.

Pourquoi RS256 est le choix le plus courant ?

**RS256 = RSA-SHA256**, signatures RSA-PKCS#1 v1.5 sur un hash SHA-256. C'est le **défaut pour Auth0, Okta, Keycloak, AWS Cognito, Azure AD, Google Identity Platform**, et environ chaque provider OAuth dans lequel tu t'es jamais connecté. La raison est historique (RSA a été l'algorithme à clé publique par défaut depuis deux décennies) et pratique (chaque bibliothèque JWT sur chaque plateforme le supporte bien, même les très vieilles). Ce n'est pas le plus petit, pas le plus rapide, et PKCS#1 v1.5 n'est plus considéré comme le choix le plus propre cryptographiquement, mais c'est le choix le plus sûr pour la compatibilité. Si tu n'as pas de contraintes, utilise RS256.

Quand choisir ES256 plutôt que RS256 ?

**ES256 = ECDSA sur P-256 avec SHA-256**. Les signatures et clés sont bien plus petites : une clé publique ES256 fait environ **91 octets** vs une clé RS256 2048 bits à environ **294 octets**, et une signature ES256 fait **64 octets** vs RS256 à **256 octets**. Ça se traduit en jetons **plus courts de centaines d'octets**, ce qui compte dans les réseaux mobiles, l'IoT et les cookies (où les limites de taille mordent). La vérification est aussi plus rapide sur la plupart des CPU. Le compromis : ECDSA a besoin d'un **bon générateur de nombres aléatoires** au moment de signer (un RNG cassé peut fuiter la clé privée, le fameux incident Sony PS3). Sur des serveurs Node modernes, ce n'est pas un vrai risque, mais c'est la raison pour laquelle les boîtes prudentes préfèrent encore RSA.

Quelle est la différence entre PS256 et RS256 ?

Les deux utilisent des clés RSA, les deux produisent 256 bits de sécurité. La différence est le schéma de padding. **RS256** utilise **PKCS#1 v1.5**, un padding déterministe de 1998 bien compris mais qui a eu un long historique de pièges d'implémentation (attaques Bleichenbacher contre TLS, oracles de signature). **PS256** utilise **RSA-PSS** (Probabilistic Signature Scheme), le padding moderne standardisé dans PKCS#1 v2.1, qui a une **réduction de sécurité prouvable** et utilise de l'aléatoire au moment de signer pour que deux signatures du même message diffèrent. **PS256 est cryptographiquement plus propre** et c'est ce que NIST recommande pour les nouveaux protocoles basés RSA. Le hic : certains vérificateurs plus anciens n'implémentent pas PS256. Si tu contrôles les deux bouts, utilise PS256. Si tu dois interop avec l'écosystème plus large, RS256.

Pourquoi EdDSA est appelé le choix moderne ?

**EdDSA (Ed25519 dans le contexte JWS)** a été conçu par une équipe menée par Daniel Bernstein pour corriger les pièges qui ont hanté ECDSA : c'est **déterministe** (pas de RNG requis au moment de signer, donc pas de risque de fuite style Sony), a les **clés et signatures les plus petites de tout algorithme courant** (clé publique de 32 octets, signature de 64 octets), c'est **le plus rapide** à signer et vérifier sur du hardware commodity, et c'est **constant-time par construction** (pas de canaux temporels secondaires faciles). Le projet OpenSSH est passé à ça comme défaut en 2014 ; TLS 1.3 l'a adopté ; la spec JWS l'a ajouté dans RFC 8037. La seule raison pour laquelle ce n'est pas le défaut universel, c'est l'âge des bibliothèques, beaucoup de vieilles bibliothèques JWT ne le supportent toujours pas. Pour les nouveaux systèmes avec des dépendances modernes (Node 14+, Go 1.13+, Python récent, .NET récent), choisis EdDSA.

Quelle taille de clé RSA choisir : 2048, 3072, ou 4096 ?

**2048 bits est la bonne réponse pour presque tout le monde**. NIST considère RSA 2048 bits équivalent à **environ 112 bits de sécurité**, ce qui est le plancher pour les clés protégeant des données jusqu'en 2030. **3072 bits** monte ça à environ 128 bits, le même niveau que P-256 / Ed25519. **4096 bits** offre environ 152 bits de sécurité mais **signe environ 3 à 4 fois plus lentement** que 2048 bits, ce qui peut devenir une vraie facture CPU sur des serveurs d'auth chargés qui forgent des millions de jetons par jour. Choisis 2048 sauf si tu as une exigence de conformité qui demande 3072+. Aller à 4096 ne fait que retarder le jour où tu migreras vers les courbes elliptiques, qui est la vraie réponse long terme.

Comment faire la rotation des clés de signature JWT sans casser les sessions actives ?

Le pattern de **rotation à double clé** propre : (1) génère une nouvelle paire de clés avec un nouveau **kid** ; (2) **publie les deux clés** dans ton JWKS pour que chaque vérificateur voie l'ancienne plus la nouvelle ; (3) **attends la propagation du cache** (la plupart des vérificateurs cachent JWKS pendant 1 à 24 heures) ; (4) **bascule le signataire** vers la nouvelle clé ; (5) **attends jusqu'à ce que le jeton signé avec l'ancienne clé qui vit le plus longtemps expire** (typiquement 1 heure pour les access tokens, plus pour les refresh tokens) ; (6) **retire l'ancienne clé** du JWKS. Toute la séquence prend un jour ou deux pour des access tokens typiques et une semaine ou deux si tu émets aussi des refresh tokens long-lived. Le header kid est ce qui rend ça sûr : chaque jeton porte l'id de la clé qui l'a signé, donc le vérificateur sait toujours laquelle utiliser.

Pourquoi générer les clés sur un serveur, pourquoi pas dans le navigateur ?

Tu **peux** générer des paires de clés dans le navigateur avec la Web Crypto API, et pour un test ponctuel, c'est OK. Mais pour les clés de production, on fait ça côté serveur pour deux raisons pratiques. Premièrement, le **pool d'entropie** sur un serveur est généralement plus sain que dans un navigateur visiteur aléatoire, surtout sur des appareils avec un RNG faible (vieux Android, certains clients embarqués). Deuxièmement, le côté serveur donne un **chemin de code unique, audité** pour chaque algorithme y compris EdDSA et P-521, où les implémentations navigateur ont historiquement traîné. Les clés ne quittent jamais notre mémoire après l'envoi de la réponse, on ne les logge pas, et la réponse est chiffrée en TLS sur le chemin vers toi. Si tu veux l'isolation la plus forte possible, **lance `openssl` en local** ou `ssh-keygen -t ed25519` et saute chaque outil web, y compris celui-ci.

Générateur paire de clés JWT - gratuit

Ce qu'est une paire de clés JWT

Un JWT est un jeton d'authentification que ton serveur distribue aux utilisateurs connectés pour qu'ils puissent prouver qui ils sont à chaque requête suivante. Le serveur signe le jeton avec une clé privée, le client le renvoie à chaque requête, et n'importe quel service détenant la clé publique correspondante peut vérifier que la signature était réelle et que le payload n'a pas été modifié en transit.

Pour que tout ça fonctionne, il te faut une paire de clés : une clé privée qui vit sur le serveur qui signe, et une clé publique que tu partages (souvent comme un document JWK publié à `/.well-known/jwks.json`) pour que les vérificateurs puissent contrôler la signature sans jamais voir le secret.

Cet outil génère cette paire de clés pour tout algorithme de signature moderne : RS256/RS384/RS512 (RSA classique), PS256 (RSA-PSS, la variante RSA plus sûre), ES256/ES384/ES512 (courbe elliptique), ou EdDSA (Ed25519, la plus petite et la plus rapide). Tu obtiens les clés en formats PEM et JWK, plus un JWT signé d'exemple que tu peux immédiatement décoder dans le décodeur JWT pour voir le round trip complet. Généré côté serveur avec le `crypto` intégré de Node, jamais stocké.

Comment l'utiliser

Choisis un algorithme. RS256 est le défaut pour la plupart des setups (Auth0, Okta, Keycloak et AWS Cognito ont tous ça par défaut). ES256 donne des jetons bien plus petits. EdDSA est le chouchou moderne : clés les plus petites, signature la plus rapide, implémentation la plus simple.
Pour la famille RSA (RS256, RS384, RS512, PS256) : choisis une taille de clé. 2048 bits est le défaut sain. 3072 bits et 4096 bits deviennent exponentiellement plus lents avec un gain de sécurité réel négligeable.
Pour la famille EC (ES256, ES384, ES512) : la courbe est choisie pour toi automatiquement (P-256, P-384, P-521 respectivement). Ce sont les seules courbes que RFC 7518 autorise pour chaque algorithme.
Pour EdDSA : on utilise toujours Ed25519, la courbe standardisée par RFC 8037 pour JWS. Pas de boutons à tourner ici.
Clique sur Générer. On renvoie : la clé privée en PEM, la clé publique en PEM, la clé privée en JWK, la clé publique en JWK, plus un JWT signé d'exemple avec un petit payload (`sub: user-123`, valide pour 1 heure) pour que tu puisses vérifier end-to-end que les clés marchent.
Sauvegarde la clé privée maintenant. On ne la stocke jamais. Fermer cet onglet la perd à jamais. Installe-la sur ton serveur d'auth, ta API gateway, ou partout où tu émets des jetons.
Publie la clé publique comme un document JWKS à `https://ton-domaine.com/.well-known/jwks.json`. La plupart des bibliothèques (jose, jsonwebtoken, PyJWT, Microsoft.IdentityModel) peuvent récupérer et mettre en cache cette URL automatiquement.
Clique sur Ouvrir dans le décodeur à côté du JWT d'exemple pour voir le header, le payload et la signature parsés en direct dans le décodeur JWT. Confirme que le kid dans le header matche le JWK que tu as publié.

Quand c'est utile

Six situations courantes où une nouvelle paire de clés de signature JWT gagne ses galons :

Configurer un nouveau service d'auth (Keycloak, Ory Hydra, Auth0 self-hosted, un serveur OAuth maison, une API gateway interne). Il te faut la paire de clés avant de pouvoir émettre un seul jeton.
Migrer de HS256 vers RS256/ES256/EdDSA. HS256 utilise un secret partagé ce qui force chaque vérificateur à détenir le pouvoir de signer. Les algorithmes asymétriques te laissent garder la clé privée sur le serveur d'auth et distribuer la clé publique librement. C'est le chemin de mise à niveau standard pour tout système qui dépasse un service.
Rotation de clés tous les 3 à 12 mois comme pratique d'hygiène de sécurité. Génère une nouvelle clé sous un nouveau kid, publie les deux clés dans ton JWKS, bascule le signataire vers la nouvelle clé, retire l'ancienne après la période de grâce.
Suspicion de compromission de clé. Brèche serveur, commit accidentel du PEM sur un dépôt public, ex-employé avec accès aux clés. Génère une nouvelle paire de clés, fais la rotation, révoque l'ancien kid dans JWKS, force-logout les sessions actives.
Architectures multi-issuer. Chaque service émet ses propres jetons ; chacun reçoit sa propre paire de clés pour que leurs rayons de blast en cas de compromission soient indépendants.
Tests et démos. Besoin d'un JWT qui marche pour tester une bibliothèque de vérification ? Génère une paire de clés, signe l'exemple, et tu as un vrai exemple end-to-end en un clic.

Outils connexes : décodeur JWT (décoder et inspecter n'importe quel JWT), générateur de paire de clés DKIM, vérificateur bcrypt, hachage de mot de passe, générateur UUID.

Questions et réponses

Un JWT (JSON Web Token) est une chaîne compacte URL-safe faite de trois parties encodées en base64 jointes par des points : `header.payload.signature`. Le header dit quel algorithme a signé le jeton. Le payload contient les claims (qui est l'utilisateur, quand le jeton expire, quels scopes il a). La signature est la preuve que l'émetteur a vraiment forgé ce header et ce payload exacts. Pour signer un JWT, il te faut une clé privée. Pour le vérifier sans fuiter le pouvoir de signer, les autres ont besoin de la clé publique correspondante. Les algorithmes symétriques (HS256, HS384, HS512) utilisent un seul secret partagé à la place, ce qui va très bien pour un service autonome mais casse au moment où un deuxième service doit vérifier tes jetons.

Ce qu'est une paire de clés JWT

Comment l'utiliser

Choisis un algorithme. RS256 est le défaut pour la plupart des setups (Auth0, Okta, Keycloak et AWS Cognito ont tous ça par défaut). ES256 donne des jetons bien plus petits. EdDSA est le chouchou moderne : clés les plus petites, signature la plus rapide, implémentation la plus simple.

Pour la famille RSA (RS256, RS384, RS512, PS256) : choisis une taille de clé. 2048 bits est le défaut sain. 3072 bits et 4096 bits deviennent exponentiellement plus lents avec un gain de sécurité réel négligeable.

Pour la famille EC (ES256, ES384, ES512) : la courbe est choisie pour toi automatiquement (P-256, P-384, P-521 respectivement). Ce sont les seules courbes que RFC 7518 autorise pour chaque algorithme.

Pour EdDSA : on utilise toujours Ed25519, la courbe standardisée par RFC 8037 pour JWS. Pas de boutons à tourner ici.

Clique sur Générer. On renvoie : la clé privée en PEM, la clé publique en PEM, la clé privée en JWK, la clé publique en JWK, plus un JWT signé d'exemple avec un petit payload (`sub: user-123`, valide pour 1 heure) pour que tu puisses vérifier end-to-end que les clés marchent.

Sauvegarde la clé privée maintenant. On ne la stocke jamais. Fermer cet onglet la perd à jamais. Installe-la sur ton serveur d'auth, ta API gateway, ou partout où tu émets des jetons.

Publie la clé publique comme un document JWKS à `https://ton-domaine.com/.well-known/jwks.json`. La plupart des bibliothèques (jose, jsonwebtoken, PyJWT, Microsoft.IdentityModel) peuvent récupérer et mettre en cache cette URL automatiquement.

Clique sur Ouvrir dans le décodeur à côté du JWT d'exemple pour voir le header, le payload et la signature parsés en direct dans le décodeur JWT. Confirme que le kid dans le header matche le JWK que tu as publié.

Quand c'est utile

Six situations courantes où une nouvelle paire de clés de signature JWT gagne ses galons :

Configurer un nouveau service d'auth (Keycloak, Ory Hydra, Auth0 self-hosted, un serveur OAuth maison, une API gateway interne). Il te faut la paire de clés avant de pouvoir émettre un seul jeton.
Migrer de HS256 vers RS256/ES256/EdDSA. HS256 utilise un secret partagé ce qui force chaque vérificateur à détenir le pouvoir de signer. Les algorithmes asymétriques te laissent garder la clé privée sur le serveur d'auth et distribuer la clé publique librement. C'est le chemin de mise à niveau standard pour tout système qui dépasse un service.
Rotation de clés tous les 3 à 12 mois comme pratique d'hygiène de sécurité. Génère une nouvelle clé sous un nouveau kid, publie les deux clés dans ton JWKS, bascule le signataire vers la nouvelle clé, retire l'ancienne après la période de grâce.
Suspicion de compromission de clé. Brèche serveur, commit accidentel du PEM sur un dépôt public, ex-employé avec accès aux clés. Génère une nouvelle paire de clés, fais la rotation, révoque l'ancien kid dans JWKS, force-logout les sessions actives.
Architectures multi-issuer. Chaque service émet ses propres jetons ; chacun reçoit sa propre paire de clés pour que leurs rayons de blast en cas de compromission soient indépendants.
Tests et démos. Besoin d'un JWT qui marche pour tester une bibliothèque de vérification ? Génère une paire de clés, signe l'exemple, et tu as un vrai exemple end-to-end en un clic.

Outils connexes : décodeur JWT (décoder et inspecter n'importe quel JWT), générateur de paire de clés DKIM, vérificateur bcrypt, hachage de mot de passe, générateur UUID.

Questions et réponses

Générateur paire de clés JWT

Ce qu'est une paire de clés JWT

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Décodeur JWT

Générateur paire de clés DKIM

Vérificateur bcrypt

Hash de mots de passe : MD5, SHA, bcrypt

Générateur UUID

Générateur paire de clés JWT

Ce qu'est une paire de clés JWT

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Décodeur JWT

Générateur paire de clés DKIM

Vérificateur bcrypt

Hash de mots de passe : MD5, SHA, bcrypt

Générateur UUID