Веб-шифрование JSON
| Веб-шифрование JSON (ВОСПРОИЗВЕДЕНИЕ) | |
| Аббревиатура | ИГРАТЬ |
|---|---|
| Статус | Предложенный |
| Год начался | 16 января 2012 г. |
| Впервые опубликовано | 16 января 2012 г. |
| Последняя версия | май 2015 г. |
| Организация | IETF |
| Ряд | ХОСЕ |
| Авторы |
|
| Домен | Шифрование , аутентификация |
| Веб-сайт | трекер данных |
Веб-шифрование JSON ( JWE ) — это стандарт IETF, обеспечивающий стандартизированный синтаксис для обмена зашифрованными данными на основе JSON и Base64 . [1] Это определяется РФК 7516 . Наряду с веб-подписью JSON (JWS) это один из двух возможных форматов JWT ( JSON Web Token ). JWE является частью набора протоколов подписи и шифрования объектов JavaScript (JOSE). [2]
Уязвимости
[ редактировать ]В марте 2017 года во многих популярных реализациях JWE была обнаружена серьёзная уязвимость — атака инвалидной кривой . [3]
Одна реализация ранней (предварительно доработанной) версии JWE также пострадала от атаки Блейхенбахера . [4]
Ссылки
[ редактировать ]- ^ Нг, Алекс Чи Кеунг (26 января 2018 г.). Современные архитектуры управления идентификацией и доступом: новые исследования и возможности . IGI Global. п. 215. ИСБН 978-1-5225-4829-4 .
JWE — это средство представления зашифрованного контента с использованием структур данных JSON.
- ^ Фонтана, Джон (21 января 2013 г.). «Разработчики получают возможности для корпоративной аутентификации на основе JSON» . ЗДНет . Проверено 8 июня 2018 г.
- ^ Рашид, Фахмида (27 марта 2017 г.). «Предупреждение о критической ошибке! Прекратите использовать шифрование JSON» . Инфомир . Проверено 8 июня 2018 г.
- ^ Ягер, Тибор; Шинцель, Себастьян; Соморовский, Юрай (2012), «Атака Бляйхенбахера снова наносит удар: взлом PKCS#1 v1.5 в шифровании XML», Компьютерная безопасность – ESORICS 2012 , Springer Berlin Heidelberg, стр. 752–769, CiteSeerX 10.1.1.696.5641 , doi : 10.1007/978-3-642-33167-1_43 , ISBN 9783642331664 Помимо
шифрования XML, недавняя спецификация JSON Web Encryption (JWE) предписывает PKCS#1 v1.5 в качестве обязательного шифра. Эта спецификация находится в стадии разработки, и на момент написания существовала только одна реализация этой спецификации. Мы проверили, что эта реализация уязвима к двум версиям атаки Блейхенбахера: прямой атаке, основанной на сообщениях об ошибках, и атаке, основанной на времени.
 | Эта статья, посвященная криптографии, незавершена . Вы можете помочь Википедии, расширив ее . |