JWS

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

以下の内容で最終確認済み。
https://tools.ietf.org/html/rfc7515

• ざっくり言って「MACや署名付きの JWT = JWS」
• JWT と言えば、だいたい、JWSの事を言う。

• JWSは、暗号化ではなく署名なので、JSON の中身は誰でも見られる。
• 通常、発行者だけが秘密鍵で検証できるが、
  • 秘密鍵を使用すれば発行者だけが検証可能。
  • 公開鍵を使用すれば誰でも検証可能。

• OpenID ConnectのID Tokenなどで利用されている。
  OAuth2のAccess Tokenとしても使用されている。

構成要素 †

JOSEヘッダ †

JWSの基本的なヘッダ（≒JWS Compact Serializationの場合の保護ヘッダ）には、以下のものがある。

ヘッダの例 †

• HS256
  秘密鍵で検証可能なHS256（HMAC using SHA-256 hash）

  {
    "alg": "HS256",
    "typ": "JWT"
  }

• RS256
  公開鍵で検証可能なRS256（RSA using SHA-256 hash）

  {
    "alg": "RS256",
    "typ": "JWT"
  }

• ES256
  公開鍵で検証可能なES256（ECDSA using P-256 and SHA-256）

  {
    "alg": "ES256",
    "typ": "JWT"
  }

追加のパラメタ †

• JWKをサポートする場合
  jwk, kid & jkuなどのパラメタを追加する。

• 証明書をサポートする場合
  • x5u（X.509 URL）ヘッダ・パラメタ
    PEMエンコーディング
  • x5c（X.509証明書チェーン）ヘッダ・パラメタ
    DERエンコーディングのbase64url
  • x5t（X.509証明書SHA-1拇印）ヘッダ・パラメタ
    DERエンコーディングのbase64url
  • x5t＃S256（X.509証明書SHA-256拇印）
    DERエンコーディングのbase64url

• その他のパラメタ
  • typ
  • cty

TLS要件 †

"jku" and / or "x5u"ヘッダパラメタをサポートする実装は、TLSが必要。

ペイロード（クレームセット） †

署名 †

• 色々な暗号化アルゴリズムを使用して作成した署名
• 署名の検証キーの共有方法には以下の方法が有る。
  • 検証用エンドポイントを使用する。
  • JWKを使用する。
  • X.509証明書を使用する。

• 参考 : OpenID Connect の署名検証 - Carpe Diem
  http://christina04.hatenablog.com/entry/2015/01/27/131259
  • 検証方法①：Googleの検証用エンドポイントを利用する
  • 検証方法②：IdP（Google）の提供している公開鍵を使って自分で検証する
    • 公開鍵①：JWK（JSON Web Key）を使う
    • 公開鍵①：X.509証明書を使う

詳細 †

表現(エンコード) †

• 構成要素（ヘッダ、ペイロード（クレームセット）、署名）を以下のように表現(エンコード)したもの。
• 以下の２つの表現(エンコード)方法があり、どちらでも、構成要素は、base64urlでエンコードされる。

JWS Compact Serialization †

多くの場合は、この表現(エンコード)。

• 署名付きのデータを JSON (の Base64 URL Encode) 形式で表現する。
• 「Base64」ではなく「Base64 URL」なので「=」は含まれない。

• 例
  ヘッダ.ペイロード（クレームセット）.署名

  BASE64URL (UTF-8 (Header))
  .
  BASE64URL (UTF-8 (Claim Set))
  .
  BASE64URL (UTF-8 (Signature))

※ 殆どの場合、こちらが使用されている。

JWS JSON Serialization †

• あまり市民権を獲得しているようには思えない表現(エンコード)。
  • pure な JSON として表現されるフォーマット
  • URL-Safe でもなければコンパクトでもない。
  • MACや署名を複数持てるといった違いがある。

• Syntax
  • "protected" = BASE64URL(UTF8(保護ヘッダ))
  • "signatures"
    • "header" = 非保護ヘッダ（JSON）
    • "payload" = BASE64URL(ペイロード（クレームセット）)
    • "signature" = BASE64URL(署名)

          {
           "payload":"<payload contents>",
           "signatures":[
            {"protected":"<integrity-protected header 1 contents>",
             "header":<non-integrity-protected header 1 contents>,
             "signature":"<signature 1 contents>"},
            ...
            {"protected":"<integrity-protected header N contents>",
             "header":<non-integrity-protected header N contents>,
             "signature":"<signature N contents>"}]
          }

• Example
  • Complete JWS JSON Serialization Representation

        {
         "payload":
          "eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGF
           tcGxlLmNvbS9pc19yb290Ijp0cnVlfQ",
         "signatures":[
          {"protected":"eyJhbGciOiJSUzI1NiJ9",
           "header":
            {"kid":"2010-12-29"},
           "signature":
            "cC4hiUPoj9Eetdgtv3hF80EGrhuB__dzERat0XF9g2VtQgr9PJbu3XOiZj5RZ
             mh7AAuHIm4Bh-0Qc_lF5YKt_O8W2Fp5jujGbds9uJdbF9CUAr7t1dnZcAcQjb
             KBYNX4BAynRFdiuB--f_nZLgrnbyTyWzO75vRK5h6xBArLIARNPvkSjtQBMHl
             b1L07Qe7K0GarZRmB_eSN9383LcOLn6_dO--xi12jzDwusC-eOkHWEsqtFZES
             c6BfI7noOPqvhJ1phCnvWh6IeYI2w9QOYEUipUTI8np6LbgGY9Fs98rqVt5AX
             LIhWkWywlVmtVrBp0igcN_IoypGlUPQGe77Rw"},
          {"protected":"eyJhbGciOiJFUzI1NiJ9",
           "header":
            {"kid":"e9bc097a-ce51-4036-9562-d2ade882db0d"},
           "signature":
            "DtEhU3ljbEg8L38VWAfUAqOyKAM6-Xx-F4GawxaepmXFCgfTjDxw5djxLa8IS
             lSApmWQxfKTUJqPP3-Kg6NU1Q"}]
        }

  • JWS Using Flattened JWS JSON Serialization
    MACや署名が 1 つのみの場合は Flattened JWS JSON Serialization を使える。

        {
         "payload":
          "eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGF
           tcGxlLmNvbS9pc19yb290Ijp0cnVlfQ",
         "protected":"eyJhbGciOiJFUzI1NiJ9",
         "header":
          {"kid":"e9bc097a-ce51-4036-9562-d2ade882db0d"},
         "signature":
          "DtEhU3ljbEg8L38VWAfUAqOyKAM6-Xx-F4GawxaepmXFCgfTjDxw5djxLa8IS
           lSApmWQxfKTUJqPP3-Kg6NU1Q"
        }

保護ヘッダ・非保護ヘッダ †

JOSEヘッダは、以下のメンバの和集合。

• JWS Compact Serializationの場合は、JOSEヘッダ ≒ 保護ヘッダ。
• JWS JSON Serializationの場合は、JOSEヘッダ ≒ 保護ヘッダ and / or 非保護ヘッダ

保護ヘッダ †

MACや署名によって完全性が保護されているヘッダ・パラメタを含むJSONオブジェクト。

• JWS Compact Serializationの場合、これはJOSEヘッダ全体で構成される。
• JWS JSON Serializationの場合、
  • これはJOSEヘッダの1コンポーネント。
  • 用例を解析してみると、JOSEヘッダ中の"alg"パラメタが抽出されている。

非保護ヘッダ †

• これは、JWS JSON Serializationを使用する場合にのみ存在。
  • JOSEヘッダの1コンポーネントであるが、
  • こちらは、署名の作成には利用されない。

• 完全性保護されていないヘッダ・パラメタを含むJSONオブジェクト。
• 用例を解析してみると、JOSEヘッダ中の"kid"パラメタが抽出されている。
  （...kidが改ざんされると検証できなくなるだけなので、保護しなくてもイイためとは言えそう）

アルゴリズム †

認証系であれば公開鍵暗号化方式のRS256（RSA using SHA-256 hash）が良い。

HS256 †

キー付きハッシュである、alg=HS256(HMAC-SHA256)によるMAC付与

RS256 †

公開鍵暗号方式である、alg=RS256(RSA-SHA256)による署名を行う。

ES256 †

公開鍵暗号方式である、alg=ES256(ECDSA using P-256 and SHA-256)による署名を行う。

• WebCrypto? APIでECDSAの署名と検証を試してみる
  https://qiita.com/tomoyukilabs/items/b346a71a920eb7a93501

JWAを確認 †

手順 †

作成 †

JWS Compact Serializationの場合 †

• JWSをJOSEヘッダ（ = 保護ヘッダ）、ペイロード（クレームセット）のJSONを生成し、
  • JOSEヘッダ（ = 保護ヘッダ）をUTF-8のバイト文字列に変換し、BASE64urlでエンコード。
  • ペイロード（クレームセット）をUTF-8のバイト文字列に変換し、BASE64urlでエンコード。

• BASE64urlエンコード済みのヘッダとペイロード（クレームセット）をピリオドで連結、
• 上記をヘッダで指定した暗号化プロバイダでMAC・署名を生成し、BASE64urlエンコードし、当該要素をピリオドで連結する。

JWS JSON Serializationの場合 †

JWS Compact Serializationとの差異は以下。

• JOSEヘッダ（ = 保護ヘッダ and / or 非保護ヘッダ）
• 非保護ヘッダは、MAC・署名の生成に使用されない。
• 必要に応じて、MAC・署名の生成を繰り返す。

検証 †

JWS Compact Serializationの場合 †

• JWSをJOSEヘッダ（ = 保護ヘッダ）、ペイロード（クレームセット）、MAC・署名に分割し
  • JOSEヘッダ（ = 保護ヘッダ）をBASE64urlでデコードし、UTF-8に変換。
  • ペイロード（クレームセット）をBASE64urlをBASE64urlでデコードし、UTF-8に変換。
  • MAC・署名をBASE64urlでデコード。

• JOSEヘッダのJSONからJWTの種類（JWS）、暗号化プロバイダを確認する。
• 署名方法（暗号化プロバイダ、キー）を考慮してJWSの検証を行なう。
• 検証完了後、ペイロード（クレームセット）のJSON内の有効期限の検証も行なう。

JWS JSON Serializationの場合 †

JWS Compact Serializationとの差異は以下。

• JOSEヘッダ（ = 保護ヘッダ and / or 非保護ヘッダ）
• 非保護ヘッダは、MAC・署名の検証に使用されない。
• 必要に応じて、MAC・署名の検証を繰り返す。

検証サイト †

下記参照

具体例 †

HS256 †

https://tools.ietf.org/html/rfc7515#appendix-A.1

RS256 †

https://tools.ietf.org/html/rfc7515#appendix-A.2

ES256 †

https://tools.ietf.org/html/rfc7515#appendix-A.3

セキュリティに関する考慮事項 †

鍵エントロピー †

すべての鍵に最低128ビットのエントロピーを使用する必要がある。
コンテキスト次第で、さらに多くのエントロピーが必要になる可能性がある。

ランダム値 †

• パブリック/プライベートキーペア、MACキー、パディング値をランダムに生成する必要がある。
• 暗号鍵を生成するために適切な擬似乱数生成器（PRNG）を使用する。
  （.NETでは、PRNGとして、RNGCryptoServiceProviderを使用する。）

鍵の識別 †

仕様の外だが、以下を使用できる。

JOSEヘッダ中のJWK †

JOSEヘッダ中の証明書 †

鍵の保護、発信元認証 †

MAC †

• 保護
  • MACキーを保護する必要がある。
  • MACキーが破損すると、認証されたコンテンツの変更が検出されなくなる可能性がある。

• 発信元認証
  鍵の出所の認証が必要。

署名 †

• 保護
  • 秘密鍵を保護する必要がある。
  • 署名者の秘密鍵が侵害されると、攻撃者は署名者になりすますことができる。

• 発信元認証
  データ発信元の認証が必要。

署名とMACの違い †

• 共通点
  • 完全性チェックを提供
    完全性値が計算されてからメッセージが変更されていないことを確認

• 相違点
  セキュリティプロパティにはいくつかの重要な違いがある。

MAC †

• 特定の状況下でのみ発信識別を提供するため、
  第三者への発信を証明するために使用できない。

• MACキーが2つのエンティティにしか知られておらず、受信者がメッセージを作成していないことが分かっている場合にのみ発信を判断できる。
• これは、メッセージが対称MACキーを知っている当事者のうちの1つによって生成されたという裏付けを提供するだけ。

• 秘密鍵とMACキー
  • 秘密鍵
    単一のエンティティの手元にある
  • MACキー
    整合性の計算と検査にMACキーを使用するすべてのエンティティの手元にある必要がある。
    

※ HS256はプレーンなHMACでMACではない（ややこしい）。

署名 †

暗号の敏捷性 †

JWAを参照

自作ライブラリ †

署名・暗号化アルゴリズム †

ココの署名・暗号化アルゴリズムを使用すると良い。

KeyedHashAlgorithm? †

• HS256（HMAC using SHA-256 hash）
  • HMACSHA256 クラス (System.Security.Cryptography)
    https://msdn.microsoft.com/ja-jp/library/system.security.cryptography.hmacsha256.aspx

AsymmetricAlgorithm? †

• RS256（RSA using SHA-256 hash）
  • RSACryptoServiceProvider? クラス (System.Security.Cryptography)
    https://msdn.microsoft.com/ja-jp/library/system.security.cryptography.rsacryptoserviceprovider.aspx
  • Using RSACryptoServiceProvider? for RSA-SHA256 signatures – .NET Security Blog
    https://blogs.msdn.microsoft.com/shawnfa/2008/08/25/using-rsacryptoserviceprovider-for-rsa-sha256-signatures/

• ES256（ECDSA using P-256 and SHA-256）
  • ECDsa クラス (System.Security.Cryptography)
    https://msdn.microsoft.com/ja-jp/library/system.security.cryptography.ecdsa.aspx

• PS256（RSASSA-PSS using SHA-256 and MGF1 with SHA-256）

参考サイト †

以下が参考になる。

• IdM実験室: [JWT/OAuth]Service Accountを使ってGoogle APIを利用する②
  http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api_5.html

ココを見ると、

• { alg = "RS256", typ = "JWT" }と言うヘッダで、
• RSACryptoServiceProvider? + X509Certificate2の署名を行っており、

これで、実際にGoogle側での検証ができている。

検証サイト †

上記のように、RFCを正確に理解していないとJWTライブラリ作成は難しいが、
JSON Web Tokens - jwt.ioなどの検証サイトを使用して検証できれば、及第点に達していると言える。

以下のように検証できる。

手順 †

1. 左ペイン（Encoded）にJWTの文字列を貼り付ける。
2. すると、入力したJWTから、ペイン（Dencoded）のHeader、Payloadに自動的に表示がなされる。
3. 次に、上部 ALGORITHM selectbox から、Headerに表示された"alg"と同じアルゴリズムを選択する。
4. 最後に、VERIFY SIGNATUREに、署名の検証に使用するキーを入力する（HS256の場合とRS256の場合で異なる）。

HS256の場合 †

HS256は非常に単純で、署名に使用したキーのBase64（Base64Url）表現を指定する。

RS256の場合 †

RS256は署名に使用した秘密鍵に対応する公開鍵を指定する。
私は、X.509証明書を利用したので、OpenSSLで公開鍵を取得して、それを貼り付けた所、検証ができた。

ポイントは、

• 「-----BEGIN PUBLIC KEY-----」
• 　　　　　「公開鍵」
• 「-----END PUBLIC KEY-----」

と、ヘッダ・フッタ部分も貼り付ける必要がある所だろうか。

Open棟梁 †

• JWTの生成と検証 - Open 棟梁 Wiki
  https://opentouryo.osscons.jp/index.php?JWT%E3%81%AE%E7%94%9F%E6%88%90%E3%81%A8%E6%A4%9C%E8%A8%BC

参考 †

• RFC 7515 - JSON Web Signature (JWS)
  https://tools.ietf.org/html/rfc7515

• JSON Web Signature (JWS) 日本語訳
  https://openid-foundation-japan.github.io/draft-ietf-jose-json-web-signature-14.ja.html

• 複雑に関係しあうJWTまわりの仕様を見る: JWS (JSON Web Signature) - 理系学生日記
  http://kiririmode.hatenablog.jp/entry/20170225/1488020088

jose-jwt（ライブラリ） †

暗号化アルゴリズム †

JWA - JWS用 †

.NETの署名・暗号化アルゴリズム †

---

Tags: :IT国際標準, :プログラミング, :通信技術, :認証基盤, :クレームベース認証, :暗号化