COSE
O que é COSE?
COSECBOR Object Signing and Encryption (RFC 9052) e o equivalente binario e baseado em CBOR do JOSE, concebido para dispositivos IoT com recursos limitados e protocolos modernos.
O COSE, padronizado na RFC 9052 (algoritmos na RFC 9053, substituindo a RFC 8152 original), define uma forma compacta e determinista de assinar e cifrar dados estruturados usando CBOR (RFC 8949). Espelha os conceitos do JOSE: COSE_Sign / COSE_Sign1 para assinaturas, COSE_Encrypt / COSE_Encrypt0 para cifragem, COSE_Mac para MAC e COSE_Key para representacao de chaves. O COSE e a base criptografica do WebAuthn / FIDO2 (a chave publica armazenada pelo RP e um COSE_Key), do CBOR Web Token (CWT, RFC 8392) usado em OAuth para IoT e nos Certificados Digitais COVID da UE, de padroes de atualizacao de firmware como SUIT (RFC 9019) e do EDHOC/OSCORE em redes IP restritas. A representacao CBOR e tipicamente 30-50% menor do que o JOSE equivalente.
● Exemplos
- 01
Um autenticador WebAuthn devolve a chave publica do utilizador em attestedCredentialData como um COSE_Key com algoritmo -7 (ES256).
- 02
Um Certificado Digital COVID da UE e um COSE_Sign1 sobre uma carga CWT, apresentado em codigo QR.
● Perguntas frequentes
O que é COSE?
CBOR Object Signing and Encryption (RFC 9052) e o equivalente binario e baseado em CBOR do JOSE, concebido para dispositivos IoT com recursos limitados e protocolos modernos. Pertence à categoria Criptografia da cibersegurança.
O que significa COSE?
CBOR Object Signing and Encryption (RFC 9052) e o equivalente binario e baseado em CBOR do JOSE, concebido para dispositivos IoT com recursos limitados e protocolos modernos.
Como funciona COSE?
O COSE, padronizado na RFC 9052 (algoritmos na RFC 9053, substituindo a RFC 8152 original), define uma forma compacta e determinista de assinar e cifrar dados estruturados usando CBOR (RFC 8949). Espelha os conceitos do JOSE: COSE_Sign / COSE_Sign1 para assinaturas, COSE_Encrypt / COSE_Encrypt0 para cifragem, COSE_Mac para MAC e COSE_Key para representacao de chaves. O COSE e a base criptografica do WebAuthn / FIDO2 (a chave publica armazenada pelo RP e um COSE_Key), do CBOR Web Token (CWT, RFC 8392) usado em OAuth para IoT e nos Certificados Digitais COVID da UE, de padroes de atualizacao de firmware como SUIT (RFC 9019) e do EDHOC/OSCORE em redes IP restritas. A representacao CBOR e tipicamente 30-50% menor do que o JOSE equivalente.
Como se defender contra COSE?
As defesas contra COSE costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para COSE?
Nomes alternativos comuns: CBOR Object Signing and Encryption.
● Termos relacionados
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) e um formato JOSE que protege a integridade e a origem de conteudos atraves de assinatura digital ou MAC sobre o cabecalho e o payload em Base64URL.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) e um formato JOSE que encapsula confidencialmente um payload com cifragem autenticada e um esquema de wrapping ou acordo de chave.
- identity-access№ 414
FIDO2
Padrão aberto de autenticação da FIDO Alliance que combina WebAuthn (API do navegador) e CTAP (protocolo do autenticador) para um início de sessão sem palavra-passe e resistente a phishing.
- identity-access№ 1230
WebAuthn
API JavaScript padrão do W3C que permite às aplicações web registar e autenticar utilizadores com credenciais de chave pública guardadas em autenticadores de plataforma ou itinerantes.
- ot-iot№ 552
Segurança IoT
Disciplina de proteção de dispositivos, gateways, redes e serviços de nuvem da Internet das Coisas face a compromissos, dada a escala, recursos limitados e longo ciclo de vida.