JSON Web Encryption ( JWE ) - это стандарт IETF, обеспечивающий стандартизированный синтаксис для обмена зашифрованными данными на основе JSON и Base64 . [1] Он определен в RFC7516 . Наряду с веб-подписью JSON (JWS) это один из двух возможных форматов JWT ( веб-токена JSON ). JWE является частью набора протоколов JavaScript Object Signing and Encryption (JOSE). [2]
Уязвимости
В марте 2017 года во многих популярных реализациях JWE была обнаружена серьезная ошибка - атака с использованием недопустимой кривой. [3]
Одна реализация ранней (предварительно доработанной) версии JWE также пострадала от атаки Блейхенбахера . [4]
Рекомендации
- ↑ Нг, Алекс Чи Кеунг (26 января 2018 г.). Современные архитектуры управления идентификацией и доступом: новые исследования и возможности . IGI Global. п. 215. ISBN 978-1-5225-4829-4.
JWE - это средство представления зашифрованного содержимого с использованием структур данных JSON.
- ^ Фонтана, Джон (21 января 2013 г.). «Разработчики получают возможности аутентификации предприятия на основе JSON | ZDNet» . ZDNet . Проверено 8 июня 2018 .
- ^ Рашид, Фахмида (27 марта 2017 г.). «Предупреждение о критической уязвимости! Прекратите использовать шифрование JSON» . InfoWorld . Проверено 8 июня 2018 .
- ^ Ягер, Тибор; Шинцель, Себастьян; Соморовский, Юрай (2012), «Атака Блейхенбахера снова наносит удар: взлом PKCS # 1 v1.5 в XML-шифровании», Компьютерная безопасность - ESORICS 2012 , Springer Berlin Heidelberg, стр. 752–769, CiteSeerX 10.1.1.696.5641 , doi : 10.1007 / 978-3-642-33167-1_43 , ISBN 9783642331664,
Beyond XML Encryption, последний JSON Web Encryption (JWE) спецификация предписана PKCS # 1 v1.5 в качестве обязательного шифра. Эта спецификация находится в разработке, и на момент написания существовала только одна реализация, следующая за этой спецификацией. Мы проверили, что эта реализация уязвима для двух версий атаки Блейхенбахера: прямой атаки, основанной на сообщениях об ошибках, и атаки, основанной на времени.