JSON Web Şifreleme - JSON Web Encryption - Wikipedia

JSON Web Şifreleme (JWE) bir IETF Standart, şifrelenmiş verilerin alışverişi için standart bir sözdizimi sağlayan JSON ve Base64.[1] Tarafından tanımlanır RFC7516. İle birlikte JSON Web İmzası (JWS), bir JWT'nin iki olası biçiminden biridir (JSON Web Jetonu ). JWE, JavaScript Nesne İmzalama ve Şifreleme (JOSE) protokol paketi.[2]

Güvenlik açıkları

Mart 2017'de, geçersiz eğri saldırısı olan JWE'nin birçok popüler uygulamasında ciddi bir kusur keşfedildi.[3]

JWE'nin erken (önceden sonuçlandırılmış) bir sürümünün bir uygulamasında da, Bleichenbacher'ın saldırısı.[4]

Referanslar

  1. ^ Ng, Alex Chi Keung (26 Ocak 2018). Çağdaş Kimlik ve Erişim Yönetimi Mimarileri: Ortaya Çıkan Araştırmalar ve Fırsatlar. IGI Global. s. 215. ISBN  978-1-5225-4829-4. JWE, JSON veri yapılarını kullanarak şifrelenmiş içeriği temsil etmenin bir yoludur.
  2. ^ Fontana, John (21 Ocak 2013). "Kurumsal kimlik doğrulama için JSON tabanlı seçenekler alan geliştiriciler | ZDNet". ZDNet. Alındı 2018-06-08.
  3. ^ Rashid, Fahmida (27 Mart 2017). "Kritik kusur uyarısı! JSON şifrelemesini kullanmayı bırakın". InfoWorld. Alındı 8 Haziran 2018.
  4. ^ Jager, Tibor; Schinzel, Sebastian; Somorovsky, Juraj (2012), "Bleichenbacher's Attack Strikes Again: Breaking PKCS # 1 v1.5 in XML Encryption", Bilgisayar Güvenliği - ESORICS 2012, Springer Berlin Heidelberg, s. 752–769, CiteSeerX  10.1.1.696.5641, doi:10.1007/978-3-642-33167-1_43, ISBN  9783642331664, XML Şifrelemenin ötesinde, son JSON Web Şifreleme (JWE) spesifikasyonu, zorunlu bir şifre olarak PKCS # 1 v1.5'i öngörmektedir. Bu belirtim geliştirme aşamasındadır ve yazım sırasında bu belirtimi izleyen yalnızca bir uygulama vardı. Bu uygulamanın Bleichenbacher saldırısının iki sürümüne karşı savunmasız olduğunu doğruladık: hata mesajlarına dayalı doğrudan saldırı ve zamanlama tabanlı saldırı.