JWE
Was ist JWE?
JWEJSON Web Encryption (RFC 7516) ist ein JOSE-Format, das eine Payload mittels authentifizierter Verschlusselung und entweder Key-Wrapping oder Key-Agreement vertraulich verpackt.
JWE (RFC 7516) beschreibt, wie beliebige Inhalte verschlusselt werden, sodass nur vorgesehene Empfanger sie entschlusseln und prufen konnen. Die Compact Serialization besteht aus funf Base64URL-Teilen: geschutzter Header, verschlusselter Schlussel, IV, Ciphertext und Authentifizierungstag. Der Header-Parameter alg wahlt den Key-Management-Modus (z. B. RSA-OAEP-256, ECDH-ES+A256KW, A256KW, dir), enc wahlt das AEAD-Verfahren, typischerweise A256GCM oder A128CBC-HS256. JWE ist die Basis fur verschlusselte ID-Tokens, geschachtelte JWTs (JWS-dann-JWE) und hochsichere OpenID-Connect-Flows. Implementierungen mussen authentifizierte Verschlusselung verwenden, aud/iss des inneren JWS validieren, fur Neuentwicklungen ECDH-ES mit X25519 statt RSA-OAEP bevorzugen und die Bleichenbacher-Orakel von RSA1_5 meiden.
● Beispiele
- 01
Ein OpenID-Connect-ID-Token wird in einer JWE gekapselt, damit der IdP Claims vor zwischenliegenden Proxies verbirgt.
- 02
Vertrauliche Nachricht zwischen zwei Diensten als JWE mit ECDH-ES+A256KW-Key-Agreement und A256GCM.
● Häufige Fragen
Was ist JWE?
JSON Web Encryption (RFC 7516) ist ein JOSE-Format, das eine Payload mittels authentifizierter Verschlusselung und entweder Key-Wrapping oder Key-Agreement vertraulich verpackt. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet JWE?
JSON Web Encryption (RFC 7516) ist ein JOSE-Format, das eine Payload mittels authentifizierter Verschlusselung und entweder Key-Wrapping oder Key-Agreement vertraulich verpackt.
Wie funktioniert JWE?
JWE (RFC 7516) beschreibt, wie beliebige Inhalte verschlusselt werden, sodass nur vorgesehene Empfanger sie entschlusseln und prufen konnen. Die Compact Serialization besteht aus funf Base64URL-Teilen: geschutzter Header, verschlusselter Schlussel, IV, Ciphertext und Authentifizierungstag. Der Header-Parameter alg wahlt den Key-Management-Modus (z. B. RSA-OAEP-256, ECDH-ES+A256KW, A256KW, dir), enc wahlt das AEAD-Verfahren, typischerweise A256GCM oder A128CBC-HS256. JWE ist die Basis fur verschlusselte ID-Tokens, geschachtelte JWTs (JWS-dann-JWE) und hochsichere OpenID-Connect-Flows. Implementierungen mussen authentifizierte Verschlusselung verwenden, aud/iss des inneren JWS validieren, fur Neuentwicklungen ECDH-ES mit X25519 statt RSA-OAEP bevorzugen und die Bleichenbacher-Orakel von RSA1_5 meiden.
Wie schützt man sich gegen JWE?
Schutzmaßnahmen gegen JWE kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für JWE?
Übliche alternative Bezeichnungen: JSON Web Encryption.
● Verwandte Begriffe
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption: IETF-Standardfamilie (RFC 7515-7520 und 8037) zur Darstellung signierter und verschlusselter Daten in JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) ist ein JOSE-Format, das Integritat und Herkunft beliebiger Inhalte uber eine digitale Signatur oder einen MAC auf Base64URL-codierten Header und Payload schutzt.
- cryptography№ 572
JWK
JSON Web Key, definiert in RFC 7517, ist ein JSON-Objekt zur Darstellung eines offentlichen oder privaten Schlussels fur JOSE- und OAuth-Protokolle.
- identity-access№ 574
JWT (JSON Web Token)
Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer.
- identity-access№ 760
OpenID Connect (OIDC)
Identitätsschicht auf Basis von OAuth 2.0, mit der Clients über signierte ID Tokens die Nutzeridentität verifizieren und Basisprofildaten abrufen können.
● Siehe auch
- № 225COSE