Qu'est-ce que Générateur de clés RSA ?

Générez des paires de clés RSA en toute confidentialité grâce à la Web Crypto API. Choisissez des tailles de clé de 1024 à 4096 bits et exportez les clés au format PEM pour SSH, les certificats TLS, la signature JWT et les communications chiffrées. Votre clé privée ne quitte jamais votre appareil.

La Web Crypto API effectue les calculs lourds sur votre appareil — les clés ne quittent jamais votre machine. Choisissez 1024, 2048, 3072 ou 4096 bits et décidez si la paire sert au chiffrement (RSA-OAEP) ou à la signature (RSASSA-PKCS1-v1_5). Exportez dans quatre formats : PEM PKCS#8 (la valeur par défaut moderne), PEM PKCS#1 (les blocs RSA traditionnels), JWK pour les piles JWT et OIDC, ou une ligne OpenSSH ssh-rsa à coller directement dans authorized_keys. Une empreinte SHA-256 vous permet de comparer la clé aux enregistrements de votre serveur. Vous pouvez en option protéger la clé privée par une phrase secrète — elle est alors enveloppée en EncryptedPrivateKeyInfo conforme au standard (PBES2 + PBKDF2-HMAC-SHA256 + AES-256-CBC), déchiffrable plus tard avec openssl pkcs8. Si vous n'avez gardé que la clé privée, collez-la dans l'onglet Dériver la publique pour récupérer la clé publique correspondante.

Comment utiliser

1. Sélectionnez la taille de la clé RSA (2048 ou 4096 bits recommandés pour la production).
2. Choisissez un format de sortie (PKCS#8, PKCS#1, JWK ou OpenSSH) et définissez éventuellement une phrase secrète pour chiffrer la clé privée, puis cliquez sur générer pour créer la paire sur votre appareil.
3. Copiez ou téléchargez les clés publique et privée dans le format que vous avez choisi.

Quand l'utiliser

• Signer des JWT dans un projet où la clé privée ne doit jamais transiter par un service tiers.
• Générer des paires jetables pour les tests unitaires, les environnements de staging ou les runners CI.
• Émettre une clé fraîche pour un nouveau compte SSH ou un ticket d'onboarding.

Résultat

Générez une paire de clés RSA de 4096 bits pour signer des JWT. La clé publique va dans la configuration de votre serveur d'authentification, la clé privée reste sur votre machine sécurisée.

FAQ

Faut-il choisir 2048 ou 4096 bits ?

2048 est le plancher actuel pour la production et reste utilisé par la majorité des certificats TLS. 4096 ajoute 10 à 20 ans de marge mais signe environ 5 fois plus lentement. 1024 est cassé dans tout modèle de menace moderne et ne sert qu'à interopérer avec du legacy.

Une même paire peut-elle servir à la fois pour chiffrer et pour signer ?

Techniquement oui, mais c'est une mauvaise idée. La Web Crypto API impose un usage par clé, ce qui rejoint la recommandation du NIST. Mélanger les opérations ouvre la porte à des attaques de protocole et complique la rotation. Mieux vaut générer deux paires.

Comment obtenir une clé SSH depuis cet outil ?

Choisissez le format OpenSSH (ou le préréglage Clé SSH) : le côté public ressort sous forme de ligne ssh-rsa prête pour authorized_keys, et le côté privé est un PEM PKCS#8 standard que vous enregistrez sous id_rsa. Si vous avez déjà une clé privée PEM, vous pouvez aussi exécuter ssh-keygen -y -f id_rsa > id_rsa.pub pour dériver la ligne publique, ou puttygen --to-openssh pour PuTTY. Les deux acceptent directement les entrées PKCS#8 et PKCS#1.

En 2026, RSA est-il encore préférable à Ed25519 ?

Ed25519 est plus rapide, tient sur 256 bits et est devenu le défaut pour SSH et la signature. RSA reste pertinent quand la compatibilité prime : racines TLS, librairies JWT conservatrices, HSM anciens, SAML legacy, ou tout consommateur qui ne gère pas encore EdDSA.

À quoi sert vraiment l'empreinte SHA-256 ?

C'est un résumé cryptographique court de la clé publique (les octets SPKI). Confrontez-la par un autre canal — appel, message Signal, en personne — pour vous assurer que la clé reçue est bien celle générée en face, sans substitution.

Outils similaires