JOSE
O que é JOSE?
JOSEJavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON.
JOSE e o termo abrangente para as especificacoes do IETF que oferecem protecao criptografica a protocolos baseados em JSON. Engloba JWS (RFC 7515) para assinaturas, JWE (RFC 7516) para cifragem, JWK e JWK Set (RFC 7517) para representacao de chaves, JWA (RFC 7518) para identificadores de algoritmos (RS256, ES256, EdDSA, A256GCM), JWT (RFC 7519) para tokens baseados em claims e o guia pratico da RFC 7520. A RFC 8037 acrescenta Ed25519 e X25519. JOSE sustenta OAuth 2.0, OpenID Connect, autenticacao de APIs SaaS e as Verifiable Credentials do W3C. Os implementadores devem evitar o ataque historico alg:none, a confusao entre chaves RS256 e HS256 e as armadilhas encrypt-then-MAC vs AEAD ilustradas pela CVE-2015-9235.
● Exemplos
- 01
Um ID token OpenID Connect e um JWT (JWS Compact Serialization) assinado com RS256 ou ES256.
- 02
Uma prova DPoP OAuth 2.0 e um JWT JWS Compact de curta duracao ligado a chave do cliente.
● Perguntas frequentes
O que é JOSE?
JavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON. Pertence à categoria Criptografia da cibersegurança.
O que significa JOSE?
JavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON.
Como funciona JOSE?
JOSE e o termo abrangente para as especificacoes do IETF que oferecem protecao criptografica a protocolos baseados em JSON. Engloba JWS (RFC 7515) para assinaturas, JWE (RFC 7516) para cifragem, JWK e JWK Set (RFC 7517) para representacao de chaves, JWA (RFC 7518) para identificadores de algoritmos (RS256, ES256, EdDSA, A256GCM), JWT (RFC 7519) para tokens baseados em claims e o guia pratico da RFC 7520. A RFC 8037 acrescenta Ed25519 e X25519. JOSE sustenta OAuth 2.0, OpenID Connect, autenticacao de APIs SaaS e as Verifiable Credentials do W3C. Os implementadores devem evitar o ataque historico alg:none, a confusao entre chaves RS256 e HS256 e as armadilhas encrypt-then-MAC vs AEAD ilustradas pela CVE-2015-9235.
Como se defender contra JOSE?
As defesas contra JOSE costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para JOSE?
Nomes alternativos comuns: JavaScript Object Signing and Encryption.
● Termos relacionados
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) e um formato JOSE que protege a integridade e a origem de conteudos atraves de assinatura digital ou MAC sobre o cabecalho e o payload em Base64URL.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) e um formato JOSE que encapsula confidencialmente um payload com cifragem autenticada e um esquema de wrapping ou acordo de chave.
- cryptography№ 572
JWK
JSON Web Key, definido pela RFC 7517, e um objeto JSON que representa uma chave criptografica publica ou privada para uso em JOSE e na familia OAuth.
- identity-access№ 574
JWT (JSON Web Token)
Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
- identity-access№ 760
OpenID Connect (OIDC)
Camada de identidade construída sobre OAuth 2.0 que permite aos clientes verificar a identidade de um utilizador e obter dados básicos de perfil através de ID tokens assinados.
● Veja também
- № 225COSE