JWS
Qu'est-ce que JWS ?
JWSJSON Web Signature (RFC 7515) est un format JOSE qui protege l'integrite et l'origine d'un contenu grace a une signature numerique ou un MAC sur l'en-tete et la charge encodes en Base64URL.
Une JWS (RFC 7515) associe une charge a son signataire grace a une signature sur la concatenation BASE64URL(header) || '.' || BASE64URL(payload). La Compact Serialization (trois segments Base64URL separes par des points) est la forme connue des jetons de type JWT ; la JSON Serialization (generale et aplanie) supporte plusieurs signatures et sert dans les Verifiable Credentials W3C ou la signature de paquets. Les algorithmes sont listes dans la RFC 7518 (HS256, RS256, PS256, ES256, EdDSA) et la RFC 8037. Les implementeurs doivent refuser alg:none, empecher le basculement d'algorithme qui transforme une verification RSA en HMAC, valider kid par rapport a un JWK Set de confiance et limiter la duree de vie. Bibliotheques fiables : jose, node-jose, jjwt, python-jwt.
● Exemples
- 01
Un jeton d'acces JWT OAuth 2.0 est une JWS Compact Serialization signee en RS256 sur un ensemble de claims.
- 02
Un manifest de mise a jour logicielle distribue sous forme de JWS aplanie dont kid pointe vers une JWK editeur.
● Questions fréquentes
Qu'est-ce que JWS ?
JSON Web Signature (RFC 7515) est un format JOSE qui protege l'integrite et l'origine d'un contenu grace a une signature numerique ou un MAC sur l'en-tete et la charge encodes en Base64URL. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie JWS ?
JSON Web Signature (RFC 7515) est un format JOSE qui protege l'integrite et l'origine d'un contenu grace a une signature numerique ou un MAC sur l'en-tete et la charge encodes en Base64URL.
Comment fonctionne JWS ?
Une JWS (RFC 7515) associe une charge a son signataire grace a une signature sur la concatenation BASE64URL(header) || '.' || BASE64URL(payload). La Compact Serialization (trois segments Base64URL separes par des points) est la forme connue des jetons de type JWT ; la JSON Serialization (generale et aplanie) supporte plusieurs signatures et sert dans les Verifiable Credentials W3C ou la signature de paquets. Les algorithmes sont listes dans la RFC 7518 (HS256, RS256, PS256, ES256, EdDSA) et la RFC 8037. Les implementeurs doivent refuser alg:none, empecher le basculement d'algorithme qui transforme une verification RSA en HMAC, valider kid par rapport a un JWK Set de confiance et limiter la duree de vie. Bibliotheques fiables : jose, node-jose, jjwt, python-jwt.
Comment se défendre contre JWS ?
Les défenses contre JWS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de JWS ?
Noms alternatifs courants : JSON Web Signature.
● Termes liés
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption : famille de standards IETF (RFC 7515-7520 et 8037) pour representer des donnees signees et chiffrees en JSON.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) est un format JOSE qui encapsule confidentiellement une charge avec un chiffrement authentifie et un schema d'enveloppement ou d'accord de cle.
- cryptography№ 572
JWK
JSON Web Key, defini par la RFC 7517, est un objet JSON representant une cle cryptographique publique ou privee pour les protocoles JOSE et OAuth.
- identity-access№ 574
JWT (JSON Web Token)
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
- identity-access№ 760
OpenID Connect (OIDC)
Couche d'identité construite au-dessus d'OAuth 2.0, permettant aux clients de vérifier l'identité d'un utilisateur et d'obtenir un profil de base via un jeton ID signé.
- cryptography№ 321
Signature numérique
Mécanisme cryptographique à clé publique qui démontre l'authenticité, l'intégrité et la non-répudiation d'un message ou d'un document.
● Voir aussi
- № 225COSE