COSE
Qu'est-ce que COSE ?
COSECBOR Object Signing and Encryption (RFC 9052) est l'equivalent binaire et base sur CBOR de JOSE, concu pour les objets connectes contraints et les protocoles modernes.
COSE, normalise par la RFC 9052 (les algorithmes etant decrits dans la RFC 9053, qui remplace la RFC 8152 d'origine), definit une maniere compacte et deterministe de signer et chiffrer des donnees structurees au format CBOR (RFC 8949). Il reprend les concepts de JOSE : COSE_Sign / COSE_Sign1 pour les signatures, COSE_Encrypt / COSE_Encrypt0 pour le chiffrement, COSE_Mac pour les MAC et COSE_Key pour les cles. COSE est la base cryptographique de WebAuthn / FIDO2 (les cles publiques stockees par la relying party sont des COSE_Key), du CBOR Web Token (CWT, RFC 8392) employe par OAuth-for-IoT et les certificats numeriques COVID de l'UE, des standards SUIT (RFC 9019) pour la mise a jour de firmware, et d'EDHOC/OSCORE pour les reseaux IP contraints. CBOR est generalement 30 a 50 % plus compact que JOSE.
● Exemples
- 01
Un authentificateur WebAuthn renvoie la cle publique de l'utilisateur dans attestedCredentialData sous forme de COSE_Key avec l'algorithme -7 (ES256).
- 02
Un certificat numerique COVID UE est un COSE_Sign1 calcule sur une charge CWT, affiche en QR code.
● Questions fréquentes
Qu'est-ce que COSE ?
CBOR Object Signing and Encryption (RFC 9052) est l'equivalent binaire et base sur CBOR de JOSE, concu pour les objets connectes contraints et les protocoles modernes. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie COSE ?
CBOR Object Signing and Encryption (RFC 9052) est l'equivalent binaire et base sur CBOR de JOSE, concu pour les objets connectes contraints et les protocoles modernes.
Comment fonctionne COSE ?
COSE, normalise par la RFC 9052 (les algorithmes etant decrits dans la RFC 9053, qui remplace la RFC 8152 d'origine), definit une maniere compacte et deterministe de signer et chiffrer des donnees structurees au format CBOR (RFC 8949). Il reprend les concepts de JOSE : COSE_Sign / COSE_Sign1 pour les signatures, COSE_Encrypt / COSE_Encrypt0 pour le chiffrement, COSE_Mac pour les MAC et COSE_Key pour les cles. COSE est la base cryptographique de WebAuthn / FIDO2 (les cles publiques stockees par la relying party sont des COSE_Key), du CBOR Web Token (CWT, RFC 8392) employe par OAuth-for-IoT et les certificats numeriques COVID de l'UE, des standards SUIT (RFC 9019) pour la mise a jour de firmware, et d'EDHOC/OSCORE pour les reseaux IP contraints. CBOR est generalement 30 a 50 % plus compact que JOSE.
Comment se défendre contre COSE ?
Les défenses contre COSE combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de COSE ?
Noms alternatifs courants : CBOR Object Signing and Encryption.
● Termes liés
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption : famille de standards IETF (RFC 7515-7520 et 8037) pour representer des donnees signees et chiffrees en JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) est un format JOSE qui protege l'integrite et l'origine d'un contenu grace a une signature numerique ou un MAC sur l'en-tete et la charge encodes en Base64URL.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) est un format JOSE qui encapsule confidentiellement une charge avec un chiffrement authentifie et un schema d'enveloppement ou d'accord de cle.
- identity-access№ 414
FIDO2
Standard ouvert d'authentification de la FIDO Alliance combinant WebAuthn (API navigateur) et CTAP (protocole des authentificateurs) pour une connexion sans mot de passe et résistante à l'hameçonnage.
- identity-access№ 1230
WebAuthn
API JavaScript standard du W3C qui permet aux applications web d'enregistrer et d'authentifier les utilisateurs avec des identifiants à clé publique stockés sur des authentificateurs de plateforme ou itinérants.
- ot-iot№ 552
Sécurité de l'IoT
Discipline qui protège les objets connectés, passerelles, réseaux et services cloud face à la compromission, malgré leur échelle, leurs ressources limitées et leur longue durée de vie.