Веб-шифрование JSON - JSON Web Encryption - Wikipedia

Веб-шифрование JSON (JWE) является IETF стандарт, обеспечивающий стандартизированный синтаксис для обмена зашифрованными данными, основанный на JSON и Base64.[1] Это определяется RFC7516. Вместе с Веб-подпись JSON (JWS), это один из двух возможных форматов JWT (Веб-токен JSON ). JWE является частью Подпись и шифрование объектов JavaScript (JOSE) набор протоколов.[2]

Уязвимости

В марте 2017 года во многих популярных реализациях JWE была обнаружена серьезная ошибка - атака с использованием недопустимой кривой.[3]

Одна реализация ранней (предварительно доработанной) версии JWE также пострадала от Атака Блейхенбахера.[4]

Рекомендации

  1. ^ Нг, Алекс Чи Кеунг (26 января 2018 г.). Современные архитектуры управления доступом и идентификацией: новые исследования и возможности. IGI Global. п. 215. ISBN  978-1-5225-4829-4. JWE - это средство представления зашифрованного содержимого с использованием структур данных JSON.
  2. ^ Фонтана, Джон (21 января 2013 г.). «Разработчики получают возможности аутентификации предприятия на основе JSON | ZDNet». ZDNet. Получено 2018-06-08.
  3. ^ Рашид, Фахмида (27 марта 2017 г.). «Предупреждение о критической уязвимости! Прекратите использовать шифрование JSON». InfoWorld. Получено 8 июн 2018.
  4. ^ Ягер, Тибор; Шинцель, Себастьян; Соморовский, Джурай (2012), «Атака Блейхенбахера снова наносит удар: взлом PKCS # 1 v1.5 в шифровании XML», Компьютерная безопасность - ESORICS 2012, Springer Berlin Heidelberg, стр. 752–769, CiteSeerX  10.1.1.696.5641, Дои:10.1007/978-3-642-33167-1_43, ISBN  9783642331664, Помимо XML-шифрования, недавняя спецификация JSON Web Encryption (JWE) предписывает PKCS # 1 v1.5 в качестве обязательного шифра. Эта спецификация находится в стадии разработки, и на момент написания существовала только одна реализация, следующая за этой спецификацией. Мы проверили, что эта реализация уязвима для двух версий атаки Блейхенбахера: прямой атаки, основанной на сообщениях об ошибках, и атаки, основанной на времени.