JWE
O que é JWE?
JWEJSON Web Encryption (RFC 7516) e um formato JOSE que encapsula confidencialmente um payload com cifragem autenticada e um esquema de wrapping ou acordo de chave.
O JWE (RFC 7516) define como cifrar conteudos arbitrarios para que apenas os destinatarios previstos os possam decifrar e verificar. A Compact Serialization e composta por cinco partes Base64URL: cabecalho protegido, chave cifrada, IV, ciphertext e tag de autenticacao. O parametro alg do cabecalho escolhe o modo de gestao de chave (RSA-OAEP-256, ECDH-ES+A256KW, A256KW, dir) e enc seleciona a cifra AEAD principal, tipicamente A256GCM ou A128CBC-HS256. O JWE sustenta ID tokens cifrados, JWTs aninhados (JWS seguido de JWE) e fluxos OpenID Connect de alta garantia. Os implementadores devem usar cifragem autenticada, validar aud/iss do JWS interno, preferir ECDH-ES com X25519 em vez de RSA-OAEP e evitar oraculos a Bleichenbacher do RSA1_5.
● Exemplos
- 01
ID token OpenID Connect encapsulado num JWE para que o IdP esconda as claims de proxies intermediarios.
- 02
Mensagem confidencial entre dois servicos codificada como JWE com acordo de chave ECDH-ES+A256KW e A256GCM.
● Perguntas frequentes
O que é JWE?
JSON Web Encryption (RFC 7516) e um formato JOSE que encapsula confidencialmente um payload com cifragem autenticada e um esquema de wrapping ou acordo de chave. Pertence à categoria Criptografia da cibersegurança.
O que significa JWE?
JSON Web Encryption (RFC 7516) e um formato JOSE que encapsula confidencialmente um payload com cifragem autenticada e um esquema de wrapping ou acordo de chave.
Como funciona JWE?
O JWE (RFC 7516) define como cifrar conteudos arbitrarios para que apenas os destinatarios previstos os possam decifrar e verificar. A Compact Serialization e composta por cinco partes Base64URL: cabecalho protegido, chave cifrada, IV, ciphertext e tag de autenticacao. O parametro alg do cabecalho escolhe o modo de gestao de chave (RSA-OAEP-256, ECDH-ES+A256KW, A256KW, dir) e enc seleciona a cifra AEAD principal, tipicamente A256GCM ou A128CBC-HS256. O JWE sustenta ID tokens cifrados, JWTs aninhados (JWS seguido de JWE) e fluxos OpenID Connect de alta garantia. Os implementadores devem usar cifragem autenticada, validar aud/iss do JWS interno, preferir ECDH-ES com X25519 em vez de RSA-OAEP e evitar oraculos a Bleichenbacher do RSA1_5.
Como se defender contra JWE?
As defesas contra JWE costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para JWE?
Nomes alternativos comuns: JSON Web Encryption.
● Termos relacionados
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) e um formato JOSE que protege a integridade e a origem de conteudos atraves de assinatura digital ou MAC sobre o cabecalho e o payload em Base64URL.
- cryptography№ 572
JWK
JSON Web Key, definido pela RFC 7517, e um objeto JSON que representa uma chave criptografica publica ou privada para uso em JOSE e na familia OAuth.
- identity-access№ 574
JWT (JSON Web Token)
Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
- identity-access№ 760
OpenID Connect (OIDC)
Camada de identidade construída sobre OAuth 2.0 que permite aos clientes verificar a identidade de um utilizador e obter dados básicos de perfil através de ID tokens assinados.
● Veja também
- № 225COSE