JOSE
¿Qué es JOSE?
JOSEJavaScript Object Signing and Encryption: familia de estandares del IETF (RFC 7515-7520 y 8037) para representar datos firmados y cifrados mediante JSON.
JOSE es el termino paraguas que designa las especificaciones del IETF que aportan proteccion criptografica a protocolos basados en JSON. Incluye JWS (RFC 7515) para firmas, JWE (RFC 7516) para cifrado, JWK y JWK Set (RFC 7517) para representar claves, JWA (RFC 7518) para identificar algoritmos como RS256, ES256, EdDSA o A256GCM, JWT (RFC 7519) para tokens basados en claims y la guia practica del RFC 7520. El RFC 8037 anadio Ed25519 y X25519. JOSE sustenta OAuth 2.0, OpenID Connect, la autenticacion de APIs SaaS y los Verifiable Credentials del W3C. Quienes lo implementen deben evitar el historico ataque alg:none, las confusiones de clave entre RS256 y HS256 y los problemas encrypt-then-MAC frente a AEAD ilustrados por CVE-2015-9235.
● Ejemplos
- 01
Un ID token de OpenID Connect es un JWT (JWS Compact Serialization) firmado con RS256 o ES256.
- 02
Una prueba DPoP de OAuth 2.0 es un JWT JWS Compact de corta duracion vinculado a la clave del cliente.
● Preguntas frecuentes
¿Qué es JOSE?
JavaScript Object Signing and Encryption: familia de estandares del IETF (RFC 7515-7520 y 8037) para representar datos firmados y cifrados mediante JSON. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa JOSE?
JavaScript Object Signing and Encryption: familia de estandares del IETF (RFC 7515-7520 y 8037) para representar datos firmados y cifrados mediante JSON.
¿Cómo funciona JOSE?
JOSE es el termino paraguas que designa las especificaciones del IETF que aportan proteccion criptografica a protocolos basados en JSON. Incluye JWS (RFC 7515) para firmas, JWE (RFC 7516) para cifrado, JWK y JWK Set (RFC 7517) para representar claves, JWA (RFC 7518) para identificar algoritmos como RS256, ES256, EdDSA o A256GCM, JWT (RFC 7519) para tokens basados en claims y la guia practica del RFC 7520. El RFC 8037 anadio Ed25519 y X25519. JOSE sustenta OAuth 2.0, OpenID Connect, la autenticacion de APIs SaaS y los Verifiable Credentials del W3C. Quienes lo implementen deben evitar el historico ataque alg:none, las confusiones de clave entre RS256 y HS256 y los problemas encrypt-then-MAC frente a AEAD ilustrados por CVE-2015-9235.
¿Cómo defenderse de JOSE?
Las defensas contra JOSE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para JOSE?
Nombres alternativos comunes: JavaScript Object Signing and Encryption.
● Términos relacionados
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) es un formato JOSE que protege la integridad y el origen de un contenido mediante una firma digital o un MAC sobre la cabecera y la carga codificadas en Base64URL.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) es un formato JOSE que encapsula una carga de forma confidencial mediante cifrado autenticado y un esquema de wrapping o acuerdo de claves.
- cryptography№ 572
JWK
JSON Web Key (RFC 7517) es un objeto JSON que representa una clave criptografica publica o privada para uso en JOSE y en la familia de protocolos OAuth.
- identity-access№ 574
JWT (JSON Web Token)
Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion.
- identity-access№ 760
OpenID Connect (OIDC)
Capa de identidad construida sobre OAuth 2.0 que permite a los clientes verificar la identidad de un usuario y obtener información de perfil mediante tokens ID firmados.
● Véase también
- № 225COSE