Jaka jest różnica między formatami JWK i PEM?

**PEM** to klasyczny format OpenSSL: blob base64 między liniami `-----BEGIN-----` / `-----END-----`. Natywny dla nginx, Apache, OpenSSL CLI, większości narzędzi Unix. **JWK (JSON Web Key)** to format JSON-natywny zdefiniowany w RFC 7517 i używany wszędzie w OAuth 2.0 i OpenID Connect, w tym w endpointach JWKS. Ten sam materiał klucza, dwie prezentacje. Większość nowoczesnych bibliotek auth (`jose` w Node, `PyJWT`, `go-jose`, Microsoft.IdentityModel) akceptuje oba; niektóre starsze SDK są PEM-only. Damy oba, bo zwykle PEM jest potrzebny serwerowi który podpisuje, a JWK dokumentowi JWKS który pobierają inne usługi.

Czym jest nagłówek "kid" i czemu jest ważny?

**kid (key id)** to krótka etykieta w nagłówku JWT mówiąca weryfikatorowi którego klucza publicznego użyć, gdy emitent rotuje między kilkoma. Endpoint JWKS zwykle zwraca wiele kluczy (obecny plus niedawno wycofany podczas okna rotacji), każdy z unikalnym kid. Weryfikator czyta `nagłówek.kid` z przychodzącego JWT, znajduje pasujący klucz publiczny w JWKS i używa właśnie tego. Bez kid rotacja jest bolesna: weryfikator musi próbować każdy opublikowany klucz po kolei. Auto-generujemy 12-znakowy kid base64url dla każdej pary i wkładamy ten sam kid do JWK i do nagłówka przykładowego JWT, żeby łańcuch był od razu spójny.

Dlaczego RS256 jest najczęstszym wyborem?

**RS256 = RSA-SHA256**, podpisy RSA-PKCS#1 v1.5 po hashu SHA-256. To **domyślny algorytm w Auth0, Okta, Keycloak, AWS Cognito, Azure AD, Google Identity Platform** i praktycznie każdym providerze OAuth do którego się kiedykolwiek logowałeś. Powód jest historyczny (RSA był domyślnym algorytmem klucza publicznego przez dwie dekady) i praktyczny (każda biblioteka JWT na każdej platformie dobrze go wspiera, nawet bardzo stare). Nie jest najmniejszy, nie jest najszybszy i PKCS#1 v1.5 nie jest już uważane za kryptograficznie najczystszy wybór, ale jest najbezpieczniejszy pod kątem kompatybilności. Jeśli nie masz ograniczeń, weź RS256.

Kiedy wybrać ES256 zamiast RS256?

**ES256 = ECDSA na P-256 z SHA-256**. Podpisy i klucze są dużo mniejsze: klucz publiczny ES256 ma około **91 bajtów**, podczas gdy klucz RS256 2048-bit ma około **294 bajty**. Podpis ES256 ma **64 bajty** wobec **256 bajtów** RS256. Przekłada się to na tokeny **krótsze o setki bajtów**, co ma znaczenie w sieciach mobilnych, IoT i w ciasteczkach (gdzie limity rozmiaru gryzą). Weryfikacja jest też szybsza na większości CPU. Trade-off: ECDSA potrzebuje **dobrego generatora liczb losowych** w momencie podpisywania (popsuty RNG potrafi wyciec klucz prywatny, słynny przypadek Sony PS3). Na nowoczesnym serwerze Node to nie jest realne ryzyko, ale to powód dla którego ostrożne firmy wciąż wolą RSA.

Jaka jest różnica między PS256 a RS256?

Oba używają kluczy RSA, oba dają 256-bit bezpieczeństwa. Różnica to schemat paddingu. **RS256** używa **PKCS#1 v1.5**, deterministycznego paddingu z 1998 dobrze znanego, ale z długą historią pułapek implementacyjnych (ataki Bleichenbachera na TLS, signing oracles). **PS256** używa **RSA-PSS** (Probabilistic Signature Scheme), nowoczesnego paddingu ustandaryzowanego w PKCS#1 v2.1, z **provable security reduction** i losowością przy podpisywaniu, dzięki czemu dwa podpisy tej samej wiadomości się różnią. **PS256 jest kryptograficznie czystszy** i to jego NIST rekomenduje dla nowych protokołów opartych o RSA. Haczyk: część starszych weryfikatorów nie implementuje PS256. Jeśli kontrolujesz oba końce, bierz PS256. Jeśli musisz interoperować z szerszym ekosystemem, RS256.

Dlaczego EdDSA nazywa się nowoczesnym wyborem?

**EdDSA (Ed25519 w kontekście JWS)** zaprojektował zespół pod wodzą Daniela Bernsteina, żeby naprawić foot-guny które prześladowały ECDSA: jest **deterministyczny** (RNG nie jest potrzebny przy podpisywaniu, więc nie ma ryzyka wycieku w stylu Sony), ma **najmniejsze klucze i podpisy ze wszystkich popularnych algorytmów** (32-bajtowy klucz publiczny, 64-bajtowy podpis), jest **najszybszy** do podpisu i weryfikacji na typowym sprzęcie, i jest **constant-time z definicji** (brak łatwych time side channels). Projekt OpenSSH przeszedł na niego jako default w 2014, TLS 1.3 go zaadoptował, spec JWS dorzucił go w RFC 8037. Jedyny powód dla którego nie jest uniwersalnym defaultem to wiek bibliotek: wiele starszych bibliotek JWT wciąż go nie wspiera. Dla nowych systemów z nowoczesnymi zależnościami (Node 14+, Go 1.13+, świeży Python, świeży .NET) bierz EdDSA.

Którą długość klucza RSA wybrać: 2048, 3072 czy 4096?

**2048 bitów to właściwa odpowiedź dla prawie każdego**. NIST uznaje RSA 2048-bit za odpowiednik **~112-bit bezpieczeństwa**, co jest progiem dla kluczy chroniących dane do 2030. **3072 bity** podnoszą to do ~128-bit, tego samego poziomu co P-256 / Ed25519. **4096 bitów** daje ~152-bit, ale **podpisuje około 3 do 4 razy wolniej** niż 2048, co potrafi się przerodzić w realny rachunek za CPU na ruchliwych serwerach auth wystawiających miliony tokenów dziennie. Bierz 2048, chyba że masz wymóg compliance wymuszający 3072+. Pójście na 4096 tylko opóźnia dzień w którym migrujesz na krzywe eliptyczne, co jest prawdziwą długoterminową odpowiedzią.

Jak rotować klucze podpisujące JWT bez psucia aktywnych sesji?

Czysty wzorzec **dual-key rotation**: (1) wygeneruj nową parę z nowym **kid**; (2) **opublikuj oba klucze** w JWKS żeby każdy weryfikator widział stary i nowy; (3) **poczekaj na propagację cache'a** (większość weryfikatorów cache'uje JWKS od godziny do 24 godzin); (4) **przełącz podpisującego** na nowy klucz; (5) **poczekaj aż wygaśnie najdłużej żyjący token podpisany starym kluczem** (typowo 1 godzina dla access tokenów, dłużej dla refresh tokenów); (6) **usuń stary klucz** z JWKS. Cała sekwencja zajmuje dzień lub dwa dla typowych access tokenów i tydzień lub dwa, jeśli wystawiasz też długożyjące refresh tokeny. Nagłówek kid jest tym co czyni to bezpiecznym: każdy token niesie id klucza który go podpisał, więc weryfikator zawsze wie którego użyć.

Czemu generować klucze na serwerze, czemu nie w przeglądarce?

**Możesz** generować pary kluczy w przeglądarce z Web Crypto API i do testów jednorazowych to jest OK. Ale dla kluczy produkcyjnych robimy to po stronie serwera z dwóch praktycznych powodów. Po pierwsze, **pula entropii** na serwerze jest generalnie zdrowsza niż w przeglądarce losowego użytkownika, szczególnie na urządzeniach ze słabym RNG (stary Android, część embedowanych klientów). Po drugie, serwer daje **jedną, audytowaną ścieżkę kodu** dla każdego algorytmu w tym EdDSA i P-521, gdzie implementacje przeglądarkowe historycznie zostają w tyle. Klucze nie opuszczają naszej pamięci po wysłaniu odpowiedzi, nie logujemy ich, a odpowiedź jest szyfrowana TLS w drodze do Ciebie. Jeśli chcesz najmocniejszej możliwej izolacji, **uruchom `openssl` lokalnie** albo `ssh-keygen -t ed25519` i omiń każde narzędzie webowe, łącznie z tym.

Generator kluczy JWT - darmowy

Czym jest para kluczy JWT

JWT to token uwierzytelniający, który Twój serwer wydaje zalogowanym użytkownikom. Klient odsyła go przy każdym kolejnym requeście, a każda usługa mająca pasujący klucz publiczny może zweryfikować że podpis jest prawdziwy, a payload nie został podmieniony po drodze.

Żeby to wszystko działało, potrzebujesz pary kluczy: klucza prywatnego, który siedzi na serwerze podpisującym, i klucza publicznego, który udostępniasz (zwykle jako dokument JWK publikowany pod `/.well-known/jwks.json`), żeby weryfikatorzy mogli sprawdzić podpis nigdy nie widząc sekretu.

To narzędzie generuje tę parę dla każdego nowoczesnego algorytmu: RS256/RS384/RS512 (klasyczny RSA), PS256 (RSA-PSS, bezpieczniejszy wariant RSA), ES256/ES384/ES512 (krzywe eliptyczne) lub EdDSA (Ed25519, najmniejszy i najszybszy). Dostajesz klucze w formatach PEM i JWK plus przykładowy podpisany JWT, który możesz od razu sprawdzić w dekoderze JWT i zobaczyć pełną pętlę. Wszystko po stronie serwera wbudowanym modułem `crypto` Node'a, niczego nie przechowujemy.

Jak używać

Wybierz algorytm. RS256 to domyślny wybór w większości konfiguracji (Auth0, Okta, Keycloak i AWS Cognito stawiają na niego). ES256 daje znacznie mniejsze tokeny. EdDSA to nowoczesny faworyt: najmniejsze klucze, najszybsze podpisywanie, najprostsza implementacja.
Dla rodziny RSA (RS256, RS384, RS512, PS256): wybierz długość klucza. 2048 bitów to rozsądny standard. 3072 i 4096 robią się wykładniczo wolniejsze przy pomijalnym zysku w realnym bezpieczeństwie.
Dla rodziny EC (ES256, ES384, ES512): krzywa jest dobierana automatycznie (P-256, P-384, P-521). To jedyne krzywe które RFC 7518 dopuszcza dla każdego z tych algorytmów.
Dla EdDSA: zawsze używamy Ed25519, krzywej ustandaryzowanej przez RFC 8037 dla JWS. Tu nie ma czego dostrajać.
Kliknij Generuj. Dostaniesz: klucz prywatny w PEM, klucz publiczny w PEM, klucz prywatny jako JWK, klucz publiczny jako JWK plus przykładowy podpisany JWT z drobnym payloadem (`sub: user-123`, ważny 1 godzinę) żebyś od razu mógł sprawdzić end-to-end że klucze działają.
Zapisz klucz prywatny od razu. Nigdzie go nie trzymamy. Zamknięcie karty = klucz znika na zawsze. Zainstaluj go na serwerze auth, w API gateway, albo gdziekolwiek wystawiasz tokeny.
Opublikuj klucz publiczny jako dokument JWKS pod `https://twoja-domena.pl/.well-known/jwks.json`. Większość bibliotek (jose, jsonwebtoken, PyJWT, Microsoft.IdentityModel) potrafi sama pobierać i cache'ować ten URL.
Kliknij Otwórz w dekoderze obok przykładowego JWT, żeby zobaczyć nagłówek, payload i podpis sparsowane na żywo w dekoderze JWT. Sprawdź czy kid w nagłówku zgadza się z opublikowanym JWK.

Kiedy się przydaje

Sześć typowych sytuacji w których świeża para kluczy JWT zarabia na siebie:

Pierwsze ustawienie usługi auth (Keycloak, Ory Hydra, self-hosted Auth0, własny serwer OAuth, wewnętrzny API gateway). Bez pary kluczy nie wystawisz ani jednego tokenu.
Migracja z HS256 na RS256/ES256/EdDSA. HS256 używa wspólnego sekretu, co zmusza każdego weryfikatora do trzymania mocy podpisującej. Algorytmy asymetryczne pozwalają trzymać klucz prywatny tylko na serwerze auth i swobodnie udostępniać publiczny. To standardowa ścieżka upgrade'u dla każdego systemu który urósł poza jedną usługę.
Rotacja kluczy co 3 do 12 miesięcy w ramach higieny bezpieczeństwa. Generujesz nowy klucz pod nowym kid, publikujesz oba w JWKS, przełączasz podpisującego, wycofujesz stary po okresie karencji.
Podejrzenie kompromitacji klucza. Włamanie na serwer, przypadkowy commit PEM do publicznego repo, były pracownik miał dostęp. Generujesz nową parę, rotujesz, unieważniasz stary kid w JWKS, force-logout aktywnych sesji.
Architektury wieloemitentowe. Każda usługa wystawia własne tokeny, każda ma własną parę kluczy żeby promień rażenia kompromitacji był niezależny.
Testy i demka. Potrzebujesz działającego JWT do testu biblioteki weryfikującej? Wygeneruj parę, podpisz sample i masz real end-to-end przykład w jednym kliknięciu.

Powiązane: Dekoder JWT (dekoduj i sprawdź dowolny JWT), Generator kluczy DKIM, bcrypt verify, Hash hasła, Generator UUID.

Pytania i odpowiedzi

JWT (JSON Web Token) to zwięzły, URL-safe ciąg z trzech base64-encoded części złączonych kropkami: `nagłówek.payload.podpis`. Nagłówek mówi którym algorytmem podpisano token. Payload trzyma roszczenia (kim jest użytkownik, kiedy token wygasa, jakie ma scope'y). Podpis to dowód że emitent naprawdę wystawił dokładnie ten nagłówek i payload. Żeby podpisać JWT potrzebujesz klucza prywatnego. Żeby inni mogli zweryfikować bez wycieku mocy podpisującej, potrzebują pasującego klucza publicznego. Algorytmy symetryczne (HS256, HS384, HS512) używają jednego wspólnego sekretu, co jest OK dla jednej samowystarczalnej usługi, ale rozpada się w momencie gdy druga usługa musi też weryfikować Twoje tokeny.

Czym jest para kluczy JWT

Jak używać

Wybierz algorytm. RS256 to domyślny wybór w większości konfiguracji (Auth0, Okta, Keycloak i AWS Cognito stawiają na niego). ES256 daje znacznie mniejsze tokeny. EdDSA to nowoczesny faworyt: najmniejsze klucze, najszybsze podpisywanie, najprostsza implementacja.

Dla rodziny RSA (RS256, RS384, RS512, PS256): wybierz długość klucza. 2048 bitów to rozsądny standard. 3072 i 4096 robią się wykładniczo wolniejsze przy pomijalnym zysku w realnym bezpieczeństwie.

Dla rodziny EC (ES256, ES384, ES512): krzywa jest dobierana automatycznie (P-256, P-384, P-521). To jedyne krzywe które RFC 7518 dopuszcza dla każdego z tych algorytmów.

Dla EdDSA: zawsze używamy Ed25519, krzywej ustandaryzowanej przez RFC 8037 dla JWS. Tu nie ma czego dostrajać.

Kliknij Generuj. Dostaniesz: klucz prywatny w PEM, klucz publiczny w PEM, klucz prywatny jako JWK, klucz publiczny jako JWK plus przykładowy podpisany JWT z drobnym payloadem (`sub: user-123`, ważny 1 godzinę) żebyś od razu mógł sprawdzić end-to-end że klucze działają.

Zapisz klucz prywatny od razu. Nigdzie go nie trzymamy. Zamknięcie karty = klucz znika na zawsze. Zainstaluj go na serwerze auth, w API gateway, albo gdziekolwiek wystawiasz tokeny.

Opublikuj klucz publiczny jako dokument JWKS pod `https://twoja-domena.pl/.well-known/jwks.json`. Większość bibliotek (jose, jsonwebtoken, PyJWT, Microsoft.IdentityModel) potrafi sama pobierać i cache'ować ten URL.

Kliknij Otwórz w dekoderze obok przykładowego JWT, żeby zobaczyć nagłówek, payload i podpis sparsowane na żywo w dekoderze JWT. Sprawdź czy kid w nagłówku zgadza się z opublikowanym JWK.

Kiedy się przydaje

Sześć typowych sytuacji w których świeża para kluczy JWT zarabia na siebie:

Pierwsze ustawienie usługi auth (Keycloak, Ory Hydra, self-hosted Auth0, własny serwer OAuth, wewnętrzny API gateway). Bez pary kluczy nie wystawisz ani jednego tokenu.
Migracja z HS256 na RS256/ES256/EdDSA. HS256 używa wspólnego sekretu, co zmusza każdego weryfikatora do trzymania mocy podpisującej. Algorytmy asymetryczne pozwalają trzymać klucz prywatny tylko na serwerze auth i swobodnie udostępniać publiczny. To standardowa ścieżka upgrade'u dla każdego systemu który urósł poza jedną usługę.
Rotacja kluczy co 3 do 12 miesięcy w ramach higieny bezpieczeństwa. Generujesz nowy klucz pod nowym kid, publikujesz oba w JWKS, przełączasz podpisującego, wycofujesz stary po okresie karencji.
Podejrzenie kompromitacji klucza. Włamanie na serwer, przypadkowy commit PEM do publicznego repo, były pracownik miał dostęp. Generujesz nową parę, rotujesz, unieważniasz stary kid w JWKS, force-logout aktywnych sesji.
Architektury wieloemitentowe. Każda usługa wystawia własne tokeny, każda ma własną parę kluczy żeby promień rażenia kompromitacji był niezależny.
Testy i demka. Potrzebujesz działającego JWT do testu biblioteki weryfikującej? Wygeneruj parę, podpisz sample i masz real end-to-end przykład w jednym kliknięciu.

Powiązane: Dekoder JWT (dekoduj i sprawdź dowolny JWT), Generator kluczy DKIM, bcrypt verify, Hash hasła, Generator UUID.

Pytania i odpowiedzi

Generator kluczy JWT

Czym jest para kluczy JWT

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Dekoder JWT

Generator kluczy DKIM

Weryfikacja hasła bcrypt

Hashe hasła: MD5, SHA, bcrypt

Generator UUID

Generator kluczy JWT

Czym jest para kluczy JWT

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Dekoder JWT

Generator kluczy DKIM

Weryfikacja hasła bcrypt

Hashe hasła: MD5, SHA, bcrypt

Generator UUID