JOSE
¿Qué es JOSE?
JOSEJavaScript Object Signing and Encryption: familia de estandares del IETF (RFC 7515-7520 y 8037) para representar datos firmados y cifrados mediante JSON.
JOSE es el termino paraguas que designa las especificaciones del IETF que aportan proteccion criptografica a protocolos basados en JSON. Incluye JWS (RFC 7515) para firmas, JWE (RFC 7516) para cifrado, JWK y JWK Set (RFC 7517) para representar claves, JWA (RFC 7518) para identificar algoritmos como RS256, ES256, EdDSA o A256GCM, JWT (RFC 7519) para tokens basados en claims y la guia practica del RFC 7520. El RFC 8037 anadio Ed25519 y X25519. JOSE sustenta OAuth 2.0, OpenID Connect, la autenticacion de APIs SaaS y los Verifiable Credentials del W3C. Quienes lo implementen deben evitar el historico ataque alg:none, las confusiones de clave entre RS256 y HS256 y los problemas encrypt-then-MAC frente a AEAD ilustrados por CVE-2015-9235.
● Ejemplos
- 01
Un ID token de OpenID Connect es un JWT (JWS Compact Serialization) firmado con RS256 o ES256.
- 02
Una prueba DPoP de OAuth 2.0 es un JWT JWS Compact de corta duracion vinculado a la clave del cliente.
● Preguntas frecuentes
¿Qué es JOSE?
JavaScript Object Signing and Encryption: familia de estandares del IETF (RFC 7515-7520 y 8037) para representar datos firmados y cifrados mediante JSON. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa JOSE?
JavaScript Object Signing and Encryption: familia de estandares del IETF (RFC 7515-7520 y 8037) para representar datos firmados y cifrados mediante JSON.
¿Cómo defenderse de JOSE?
Las defensas contra JOSE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para JOSE?
Nombres alternativos comunes: JavaScript Object Signing and Encryption.