JWE
Qu'est-ce que JWE ?
JWEJSON Web Encryption (RFC 7516) est un format JOSE qui encapsule confidentiellement une charge avec un chiffrement authentifie et un schema d'enveloppement ou d'accord de cle.
JWE (RFC 7516) decrit comment chiffrer un contenu arbitraire afin que seuls les destinataires prevus puissent le dechiffrer et le verifier. La Compact Serialization comporte cinq parties Base64URL : en-tete protege, cle chiffree, IV, ciphertext et tag d'authentification. Le parametre alg de l'en-tete choisit le mode de gestion de cle (RSA-OAEP-256, ECDH-ES+A256KW, A256KW, dir) et enc choisit le chiffrement AEAD, typiquement A256GCM ou A128CBC-HS256. JWE sert aux ID tokens chiffres, aux JWT imbriques (JWS puis JWE) et aux flux OpenID Connect a haute assurance. Les implementeurs doivent utiliser un chiffrement authentifie, valider aud/iss du JWS interne, preferer ECDH-ES avec X25519 a RSA-OAEP pour les nouveaux deploiements et eviter les oracles de Bleichenbacher de RSA1_5.
● Exemples
- 01
Un ID token OpenID Connect encapsule dans un JWE pour que l'IdP masque les claims aux proxies intermediaires.
- 02
Message confidentiel entre deux services encode en JWE avec accord de cle ECDH-ES+A256KW et A256GCM.
● Questions fréquentes
Qu'est-ce que JWE ?
JSON Web Encryption (RFC 7516) est un format JOSE qui encapsule confidentiellement une charge avec un chiffrement authentifie et un schema d'enveloppement ou d'accord de cle. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie JWE ?
JSON Web Encryption (RFC 7516) est un format JOSE qui encapsule confidentiellement une charge avec un chiffrement authentifie et un schema d'enveloppement ou d'accord de cle.
Comment fonctionne JWE ?
JWE (RFC 7516) decrit comment chiffrer un contenu arbitraire afin que seuls les destinataires prevus puissent le dechiffrer et le verifier. La Compact Serialization comporte cinq parties Base64URL : en-tete protege, cle chiffree, IV, ciphertext et tag d'authentification. Le parametre alg de l'en-tete choisit le mode de gestion de cle (RSA-OAEP-256, ECDH-ES+A256KW, A256KW, dir) et enc choisit le chiffrement AEAD, typiquement A256GCM ou A128CBC-HS256. JWE sert aux ID tokens chiffres, aux JWT imbriques (JWS puis JWE) et aux flux OpenID Connect a haute assurance. Les implementeurs doivent utiliser un chiffrement authentifie, valider aud/iss du JWS interne, preferer ECDH-ES avec X25519 a RSA-OAEP pour les nouveaux deploiements et eviter les oracles de Bleichenbacher de RSA1_5.
Comment se défendre contre JWE ?
Les défenses contre JWE combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de JWE ?
Noms alternatifs courants : JSON Web Encryption.
● Termes liés
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption : famille de standards IETF (RFC 7515-7520 et 8037) pour representer des donnees signees et chiffrees en JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) est un format JOSE qui protege l'integrite et l'origine d'un contenu grace a une signature numerique ou un MAC sur l'en-tete et la charge encodes en Base64URL.
- cryptography№ 572
JWK
JSON Web Key, defini par la RFC 7517, est un objet JSON representant une cle cryptographique publique ou privee pour les protocoles JOSE et OAuth.
- identity-access№ 574
JWT (JSON Web Token)
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
- identity-access№ 760
OpenID Connect (OIDC)
Couche d'identité construite au-dessus d'OAuth 2.0, permettant aux clients de vérifier l'identité d'un utilisateur et d'obtenir un profil de base via un jeton ID signé.
● Voir aussi
- № 225COSE