ToonWebToken — modern auth tokens, post-quantum ready
ToonWebToken

Feuille de route

Six pistes (A à F) couvrant la parité, la cryptographie post-quantique réelle, le durcissement, la conformité et la standardisation IETF. État au 15/05/2026.

Clos Livré En cours Prévu

  1. Piste A — Parité entre SDKs

    2026-T1
    Clos

    SecureTOONParser, SecurityLogger, RevocationService, RateLimiter, URLValidator, ConfigLoader (TWT-A5 : TOML canonique, YAML déprécié-soft, TOON legacy). 6/6 SDKs production.

    • A1 — SecureTOONParser durci sur 6 SDKs
    • A2 — Journalisation sécurité native + événements SIEM
    • A3 — Service de révocation + cache anti-rejeu
    • A4 — Rate limiter + corpus adversarial (64 fuzz tests)
    • A5 — ConfigLoader multi-format, TOML canonique

  2. Piste B — Cryptographie post-quantique réelle

    2026-T2 → T4
    En cours

    B3+B3.1 clos : ML-DSA-65 réel (FIPS 204) keygen, sign, verify en direct sur 14 SDKs via liboqs, circl, BouncyCastle et noble-post-quantum. B3.2 clos : format filaire TOON réel. B4 (hiérarchie PKI) et B5 (OCSP/CRL) en attente.

    • B1 — Matériel cryptographique ML-DSA-65 production
    • B2 — Vecteurs de test Dilithium3 inter-SDK
    • B3 — ML-DSA-65 réel sur 14 SDKs (clos 15/05/2026)
    • B3.1 — Corpus PQC adversarial inter-SDK (clos 15/05/2026)
    • B3.2 — Format filaire TOON réel v2 (clos 15/05/2026)
    • B4 — Hiérarchie PKI & rotation de clés (en attente)
    • B5 — Statut certificat OCSP/CRL (en attente)

  3. Piste C — Durcissement & benchmarks

    2026-T1
    Clos

    ConfigGuard (TWT-C3), HoneypotDetector (TWT-C4), benchmarks sous 30 ms sur les 12 SDKs benchmarkés. 108+ benchmarks, pire marge 5× (TypeScript).

    • C1 — Benchmarks inter-SDK sous 30 ms — 108+ benches sur 12 SDKs
    • C2 — Corpus adversarial (64+ fuzz tests, cron CI mensuel)
    • C3 — ConfigGuard : intégrité de config protégée HMAC
    • C4 — HoneypotDetector : claims piégeuses + événements SIEM

  4. Piste D — Conformité & audit

    2026-T2 → T3
    En cours

    81/81 items de remédiation AppSec clôturés (Tiers 0–6). D2 + D4 livrés. D1 (attestation HTTP) et D3 (workflow incident) en attente.

    • D1 — En-tête HTTP d'attestation (en cours)
    • D2 — Cartographie réglementaire : FINMA, nFADP, RGPD, EU AI Act, HIPAA (livrée)
    • D3 — Workflow incident (en cours)
    • D4 — AuditTrail chaîné HMAC sur 6/6 SDKs (livré)

  5. Piste E — Standardisation IETF

    2026-T3
    En cours

    Internet-Draft v2 (draft-02) : MLDSA65 promu de `reserved` à `optional`. 14 implémentations listées. Double licence MIT/Apache-2.0 sur tous les SDKs. Registres IANA livrés.

    • E1 — Crate Rust 1.5.0, double licence MIT/Apache-2.0 (livré)
    • E2 — Alignement de surface canonique sur 16 SDKs (livré)
    • E3 — Internet-Draft v2 (HS256 + MLDSA65) avec vecteurs de test reproductibles (livré)
    • E4 — Registres IANA ; MLDSA65 promu optionnel (livré)
    • E5 — Publication multi-registre : crates.io, npm, PyPI, Maven Central, NuGet (partiel)
    • E6 — Adoption tierce partie & revue communautaire (en attente)

  6. Piste F — Horizon 2027

    2027
    Prévu

    Transfert Apache Software Foundation, validation FIPS 140-3, détection d'anomalies par ML, macaroons, confidentialité différentielle.

    • F1 — Validation module FIPS 140-3
    • F2 — Détection d'anomalies sur le cycle de vie des jetons
    • F3 — Macaroons (atténuation & clauses)
    • F4 — Confidentialité différentielle pour l'analytique d'audit
    • F5 — SDKs clients additionnels (Kotlin)