JWE
¿Qué es JWE?
JWEJSON Web Encryption (RFC 7516) es un formato JOSE que encapsula una carga de forma confidencial mediante cifrado autenticado y un esquema de wrapping o acuerdo de claves.
JWE (RFC 7516) define como cifrar contenido arbitrario para que solo los destinatarios previstos puedan descifrarlo y verificarlo. La Compact Serialization consta de cinco partes Base64URL: cabecera protegida, clave cifrada, IV, ciphertext y etiqueta de autenticacion. El parametro alg de la cabecera elige el modo de gestion de clave (RSA-OAEP-256, ECDH-ES+A256KW, A256KW o dir) y enc selecciona el cifrado AEAD principal, normalmente A256GCM o A128CBC-HS256. JWE permite ID tokens cifrados, JWT anidados (JWS y luego JWE) y flujos OpenID Connect de alta seguridad. Los implementadores deben usar cifrado autenticado, validar aud/iss del JWS interno, preferir ECDH-ES con X25519 frente a RSA-OAEP en despliegues nuevos y evitar oraculos tipo Bleichenbacher de RSA1_5.
● Ejemplos
- 01
ID token de OpenID Connect envuelto en un JWE para que el IdP oculte los claims a proxies intermedios.
- 02
Mensaje confidencial entre dos servicios codificado como JWE con acuerdo de claves ECDH-ES+A256KW y A256GCM.
● Preguntas frecuentes
¿Qué es JWE?
JSON Web Encryption (RFC 7516) es un formato JOSE que encapsula una carga de forma confidencial mediante cifrado autenticado y un esquema de wrapping o acuerdo de claves. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa JWE?
JSON Web Encryption (RFC 7516) es un formato JOSE que encapsula una carga de forma confidencial mediante cifrado autenticado y un esquema de wrapping o acuerdo de claves.
¿Cómo funciona JWE?
JWE (RFC 7516) define como cifrar contenido arbitrario para que solo los destinatarios previstos puedan descifrarlo y verificarlo. La Compact Serialization consta de cinco partes Base64URL: cabecera protegida, clave cifrada, IV, ciphertext y etiqueta de autenticacion. El parametro alg de la cabecera elige el modo de gestion de clave (RSA-OAEP-256, ECDH-ES+A256KW, A256KW o dir) y enc selecciona el cifrado AEAD principal, normalmente A256GCM o A128CBC-HS256. JWE permite ID tokens cifrados, JWT anidados (JWS y luego JWE) y flujos OpenID Connect de alta seguridad. Los implementadores deben usar cifrado autenticado, validar aud/iss del JWS interno, preferir ECDH-ES con X25519 frente a RSA-OAEP en despliegues nuevos y evitar oraculos tipo Bleichenbacher de RSA1_5.
¿Cómo defenderse de JWE?
Las defensas contra JWE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para JWE?
Nombres alternativos comunes: JSON Web Encryption.
● Términos relacionados
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption: familia de estandares del IETF (RFC 7515-7520 y 8037) para representar datos firmados y cifrados mediante JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) es un formato JOSE que protege la integridad y el origen de un contenido mediante una firma digital o un MAC sobre la cabecera y la carga codificadas en Base64URL.
- cryptography№ 572
JWK
JSON Web Key (RFC 7517) es un objeto JSON que representa una clave criptografica publica o privada para uso en JOSE y en la familia de protocolos OAuth.
- identity-access№ 574
JWT (JSON Web Token)
Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion.
- identity-access№ 760
OpenID Connect (OIDC)
Capa de identidad construida sobre OAuth 2.0 que permite a los clientes verificar la identidad de un usuario y obtener información de perfil mediante tokens ID firmados.
● Véase también
- № 225COSE