JOSE
O que é JOSE?
JOSEJavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON.
JOSE e o termo abrangente para as especificacoes do IETF que oferecem protecao criptografica a protocolos baseados em JSON. Engloba JWS (RFC 7515) para assinaturas, JWE (RFC 7516) para cifragem, JWK e JWK Set (RFC 7517) para representacao de chaves, JWA (RFC 7518) para identificadores de algoritmos (RS256, ES256, EdDSA, A256GCM), JWT (RFC 7519) para tokens baseados em claims e o guia pratico da RFC 7520. A RFC 8037 acrescenta Ed25519 e X25519. JOSE sustenta OAuth 2.0, OpenID Connect, autenticacao de APIs SaaS e as Verifiable Credentials do W3C. Os implementadores devem evitar o ataque historico alg:none, a confusao entre chaves RS256 e HS256 e as armadilhas encrypt-then-MAC vs AEAD ilustradas pela CVE-2015-9235.
● Exemplos
- 01
Um ID token OpenID Connect e um JWT (JWS Compact Serialization) assinado com RS256 ou ES256.
- 02
Uma prova DPoP OAuth 2.0 e um JWT JWS Compact de curta duracao ligado a chave do cliente.
● Perguntas frequentes
O que é JOSE?
JavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON. Pertence à categoria Criptografia da cibersegurança.
O que significa JOSE?
JavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON.
Como se defender contra JOSE?
As defesas contra JOSE costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para JOSE?
Nomes alternativos comuns: JavaScript Object Signing and Encryption.