JOSE
Что такое JOSE?
JOSEJavaScript Object Signing and Encryption — семейство стандартов IETF (RFC 7515-7520 и 8037) для представления подписанных и зашифрованных данных в JSON.
JOSE — общее название спецификаций IETF, обеспечивающих криптографическую защиту JSON-протоколов. В него входят JWS (RFC 7515) для подписей, JWE (RFC 7516) для шифрования, JWK и JWK Set (RFC 7517) для представления ключей, JWA (RFC 7518) с идентификаторами алгоритмов RS256, ES256, EdDSA, A256GCM, JWT (RFC 7519) для токенов с утверждениями, а также практическое руководство RFC 7520. В RFC 8037 добавлены Ed25519 и X25519. JOSE лежит в основе OAuth 2.0, OpenID Connect, аутентификации SaaS-API и W3C Verifiable Credentials. Разработчики обязаны избегать исторической атаки alg:none, путаницы ключей между RS256 и HS256 и ошибок encrypt-then-MAC vs AEAD, описанных в CVE-2015-9235.
● Примеры
- 01
ID-токен OpenID Connect — это JWT (JWS Compact Serialization), подписанный RS256 или ES256.
- 02
DPoP-доказательство OAuth 2.0 — это короткоживущий JWS Compact JWT, привязанный к клиентскому ключу.
● Частые вопросы
Что такое JOSE?
JavaScript Object Signing and Encryption — семейство стандартов IETF (RFC 7515-7520 и 8037) для представления подписанных и зашифрованных данных в JSON. Относится к категории Криптография в кибербезопасности.
Что означает JOSE?
JavaScript Object Signing and Encryption — семейство стандартов IETF (RFC 7515-7520 и 8037) для представления подписанных и зашифрованных данных в JSON.
Как работает JOSE?
JOSE — общее название спецификаций IETF, обеспечивающих криптографическую защиту JSON-протоколов. В него входят JWS (RFC 7515) для подписей, JWE (RFC 7516) для шифрования, JWK и JWK Set (RFC 7517) для представления ключей, JWA (RFC 7518) с идентификаторами алгоритмов RS256, ES256, EdDSA, A256GCM, JWT (RFC 7519) для токенов с утверждениями, а также практическое руководство RFC 7520. В RFC 8037 добавлены Ed25519 и X25519. JOSE лежит в основе OAuth 2.0, OpenID Connect, аутентификации SaaS-API и W3C Verifiable Credentials. Разработчики обязаны избегать исторической атаки alg:none, путаницы ключей между RS256 и HS256 и ошибок encrypt-then-MAC vs AEAD, описанных в CVE-2015-9235.
Как защититься от JOSE?
Защита от JOSE обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия JOSE?
Распространённые альтернативные названия: JavaScript Object Signing and Encryption.
● Связанные термины
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) — формат JOSE, защищающий целостность и происхождение произвольного контента через цифровую подпись или MAC над Base64URL-кодированными заголовком и нагрузкой.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) — формат JOSE, конфиденциально упаковывающий полезную нагрузку с помощью аутентифицированного шифрования и схемы обёртки или согласования ключей.
- cryptography№ 572
JWK
JSON Web Key (RFC 7517) — JSON-объект, представляющий открытый или закрытый криптографический ключ для протоколов семейства JOSE и OAuth.
- identity-access№ 574
JWT (JSON Web Token)
Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии.
- identity-access№ 760
OpenID Connect (OIDC)
Слой идентификации поверх OAuth 2.0, позволяющий клиентам проверять подлинность пользователя и получать базовые сведения о профиле через подписанные ID-токены.
● См. также
- № 225COSE