JOSE
Qu'est-ce que JOSE ?
JOSEJavaScript Object Signing and Encryption : famille de standards IETF (RFC 7515-7520 et 8037) pour representer des donnees signees et chiffrees en JSON.
JOSE est le nom generique des specifications IETF qui ajoutent une protection cryptographique aux protocoles bases sur JSON. Il regroupe JWS (RFC 7515) pour les signatures, JWE (RFC 7516) pour le chiffrement, JWK et JWK Set (RFC 7517) pour representer les cles, JWA (RFC 7518) pour les identifiants d'algorithmes (RS256, ES256, EdDSA, A256GCM), JWT (RFC 7519) pour les jetons a claims et le guide pratique de la RFC 7520. La RFC 8037 ajoute Ed25519 et X25519. JOSE est au coeur d'OAuth 2.0, d'OpenID Connect, de l'authentification des API SaaS et des Verifiable Credentials du W3C. Les implementeurs doivent eviter l'attaque historique alg:none, la confusion de cle entre RS256 et HS256 et les pieges encrypt-then-MAC vs AEAD illustres par CVE-2015-9235.
● Exemples
- 01
Un jeton ID OpenID Connect est un JWT (JWS Compact Serialization) signe avec RS256 ou ES256.
- 02
Une preuve DPoP OAuth 2.0 est un JWT JWS Compact a courte duree de vie lie a la cle du client.
● Questions fréquentes
Qu'est-ce que JOSE ?
JavaScript Object Signing and Encryption : famille de standards IETF (RFC 7515-7520 et 8037) pour representer des donnees signees et chiffrees en JSON. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie JOSE ?
JavaScript Object Signing and Encryption : famille de standards IETF (RFC 7515-7520 et 8037) pour representer des donnees signees et chiffrees en JSON.
Comment fonctionne JOSE ?
JOSE est le nom generique des specifications IETF qui ajoutent une protection cryptographique aux protocoles bases sur JSON. Il regroupe JWS (RFC 7515) pour les signatures, JWE (RFC 7516) pour le chiffrement, JWK et JWK Set (RFC 7517) pour representer les cles, JWA (RFC 7518) pour les identifiants d'algorithmes (RS256, ES256, EdDSA, A256GCM), JWT (RFC 7519) pour les jetons a claims et le guide pratique de la RFC 7520. La RFC 8037 ajoute Ed25519 et X25519. JOSE est au coeur d'OAuth 2.0, d'OpenID Connect, de l'authentification des API SaaS et des Verifiable Credentials du W3C. Les implementeurs doivent eviter l'attaque historique alg:none, la confusion de cle entre RS256 et HS256 et les pieges encrypt-then-MAC vs AEAD illustres par CVE-2015-9235.
Comment se défendre contre JOSE ?
Les défenses contre JOSE combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de JOSE ?
Noms alternatifs courants : JavaScript Object Signing and Encryption.
● Termes liés
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) est un format JOSE qui protege l'integrite et l'origine d'un contenu grace a une signature numerique ou un MAC sur l'en-tete et la charge encodes en Base64URL.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) est un format JOSE qui encapsule confidentiellement une charge avec un chiffrement authentifie et un schema d'enveloppement ou d'accord de cle.
- cryptography№ 572
JWK
JSON Web Key, defini par la RFC 7517, est un objet JSON representant une cle cryptographique publique ou privee pour les protocoles JOSE et OAuth.
- identity-access№ 574
JWT (JSON Web Token)
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
- identity-access№ 760
OpenID Connect (OIDC)
Couche d'identité construite au-dessus d'OAuth 2.0, permettant aux clients de vérifier l'identité d'un utilisateur et d'obtenir un profil de base via un jeton ID signé.
● Voir aussi
- № 225COSE