COSE
¿Qué es COSE?
COSECBOR Object Signing and Encryption (RFC 9052) es el equivalente binario y basado en CBOR de JOSE, disenado para dispositivos IoT con recursos limitados y protocolos modernos.
COSE, estandarizado en el RFC 9052 (con algoritmos en el RFC 9053, que sustituye al original RFC 8152), define una forma compacta y determinista de firmar y cifrar datos estructurados utilizando CBOR (RFC 8949). Refleja los conceptos de JOSE: COSE_Sign / COSE_Sign1 para firmas, COSE_Encrypt / COSE_Encrypt0 para cifrado, COSE_Mac para MAC y COSE_Key para representar claves. COSE es la base criptografica de WebAuthn / FIDO2 (la clave publica almacenada por el RP es un COSE_Key), del CBOR Web Token (CWT, RFC 8392) usado en OAuth para IoT y en los Certificados COVID Digitales de la UE, de estandares de actualizacion de firmware como SUIT (RFC 9019) y de EDHOC/OSCORE para redes IP restringidas. La representacion CBOR suele ser un 30-50% mas pequena que el equivalente JOSE.
● Ejemplos
- 01
Un autenticador WebAuthn devuelve la clave publica del usuario en attestedCredentialData como un COSE_Key con algoritmo -7 (ES256).
- 02
Un Certificado COVID Digital de la UE es un COSE_Sign1 sobre una carga CWT, mostrado como codigo QR.
● Preguntas frecuentes
¿Qué es COSE?
CBOR Object Signing and Encryption (RFC 9052) es el equivalente binario y basado en CBOR de JOSE, disenado para dispositivos IoT con recursos limitados y protocolos modernos. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa COSE?
CBOR Object Signing and Encryption (RFC 9052) es el equivalente binario y basado en CBOR de JOSE, disenado para dispositivos IoT con recursos limitados y protocolos modernos.
¿Cómo funciona COSE?
COSE, estandarizado en el RFC 9052 (con algoritmos en el RFC 9053, que sustituye al original RFC 8152), define una forma compacta y determinista de firmar y cifrar datos estructurados utilizando CBOR (RFC 8949). Refleja los conceptos de JOSE: COSE_Sign / COSE_Sign1 para firmas, COSE_Encrypt / COSE_Encrypt0 para cifrado, COSE_Mac para MAC y COSE_Key para representar claves. COSE es la base criptografica de WebAuthn / FIDO2 (la clave publica almacenada por el RP es un COSE_Key), del CBOR Web Token (CWT, RFC 8392) usado en OAuth para IoT y en los Certificados COVID Digitales de la UE, de estandares de actualizacion de firmware como SUIT (RFC 9019) y de EDHOC/OSCORE para redes IP restringidas. La representacion CBOR suele ser un 30-50% mas pequena que el equivalente JOSE.
¿Cómo defenderse de COSE?
Las defensas contra COSE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para COSE?
Nombres alternativos comunes: CBOR Object Signing and Encryption.
● Términos relacionados
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption: familia de estandares del IETF (RFC 7515-7520 y 8037) para representar datos firmados y cifrados mediante JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) es un formato JOSE que protege la integridad y el origen de un contenido mediante una firma digital o un MAC sobre la cabecera y la carga codificadas en Base64URL.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) es un formato JOSE que encapsula una carga de forma confidencial mediante cifrado autenticado y un esquema de wrapping o acuerdo de claves.
- identity-access№ 414
FIDO2
Estándar abierto de autenticación de la FIDO Alliance que combina WebAuthn (API del navegador) y CTAP (protocolo del autenticador) para un inicio de sesión sin contraseña y resistente al phishing.
- identity-access№ 1230
WebAuthn
API JavaScript estándar del W3C que permite a las aplicaciones web registrar y autenticar usuarios mediante credenciales de clave pública en autenticadores de plataforma o externos.
- ot-iot№ 552
Seguridad de IoT
Disciplina que protege dispositivos, pasarelas, redes y servicios en la nube del Internet de las Cosas frente a compromisos, dada su escala, recursos limitados y largo ciclo de vida.