JWE のバックアップ(No.4)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• JWE へ行く。
  • 1 (2017-12-20 (水) 18:04:22)
  • 2 (2017-12-20 (水) 19:34:03)
  • 3 (2018-08-20 (月) 14:42:04)
  • 4 (2018-08-21 (火) 17:22:26)
  • 5 (2018-08-21 (火) 18:49:18)
  • 6 (2018-08-22 (水) 09:47:41)
  • 7 (2018-09-06 (木) 19:40:19)
  • 8 (2018-10-02 (火) 20:05:50)
  • 9 (2018-10-08 (月) 18:56:43)
  • 10 (2018-10-08 (月) 20:35:43)
  • 11 (2018-10-09 (火) 11:18:21)
  • 12 (2018-10-09 (火) 22:10:02)
  • 13 (2018-10-31 (水) 14:01:40)
  • 14 (2018-11-02 (金) 23:01:05)
  • 15 (2018-11-03 (土) 17:03:48)
  • 16 (2019-01-29 (火) 17:17:41)
  • 17 (2019-01-30 (水) 10:00:22)
  • 18 (2019-03-10 (日) 14:05:58)
  • 19 (2019-04-15 (月) 10:52:13)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

JWEは、暗号化のオプション（暗号化されたJWT）。

• 暗号化されたデータを JSON (の Base64 URL Encode) 形式で表現するための仕様
• 暗号化されたSAML アサーションを Connect に移行するユースケースなどが想定される。

構成要素 †

JOSEヘッダ †

JOSEヘッダは、以下のメンバの和集合。

JWE Protected Header †

認証された暗号化を利用して、完全性を保証。

• パラメタ

• alg : 暗号化キーの値を暗号化または決定するために使用される暗号アルゴリズムを識別

• enc : 暗号文と認証タグを生成するために「平文で認証された暗号化を実行するために」使用されるコンテンツ暗号化アルゴリズムを識別

• zip : 暗号化の前に平文に適用される「圧縮」アルゴリズム

• 例
  • {"alg":"RSA-OAEP","enc":"A256GCM"}

JWE Shared Unprotected Header †

JWE Per-Recipient Unprotected Header †

JWKをサポートする場合 †

JWE暗号化キー †

"enc"の暗号化キーは、"alg"によって暗号化または決定される。

JWE初期化ベクター †

"enc"によって決定される。

JWE暗号文 †

"enc"によって、平文から暗号化される。

JWE認証タグ †

"enc"によって、平文と追加認証データから暗号化される。

詳細 †

表現(エンコード) †

• 構成要素（ヘッダ、キー、初期ベクター、暗号文、認証タグ）を以下のように表現(エンコード)したもの。
• 以下の２つの表現(エンコード)方法があり、どちらでも、構成要素は、base64urlでエンコードされる。

JWE Compact Serialization †

• のデータを JSON (の Base64 URL Encode) 形式で表現する。
• 「Base64」ではなく「Base64 URL」なので「=」は含まれない。
• 例

• ヘッダ.キー.初期ベクター.暗号文.認証タグ

  BASE64URL (UTF-8 (JWE Protected Header))
  .
  BASE64URL(JWE Encrypted Key)
  .
  BASE64URL(JWEInitialization Vector)
  .
  BASE64URL(JWE Ciphertext)
  .
  BASE64URL(JWE Authentication Tag)

JWE JSON Serialization †

アルゴリズム †

手順 †

作成 †

以下、

{"alg":"RSA-OAEP","enc":"A256GCM"}

の場合の例。

JWE Protected Headerの決定 †

{"alg":"RSA-OAEP","enc":"A256GCM"}の場合、

eyJhbGciOiJSU0EtT0FFUCIsImVuYyI6IkEyNTZHQ00ifQ
= BASE64URL（UTF8（{"alg":"RSA-OAEP","enc":"A256GCM"}））

暗号化キーの生成 †

• ランダムなコンテンツ暗号化キーを生成。
  乱数を生成する際の考慮事項については、RFC 4086を参照

• alg
  • Key Wrapping, Key Encryption, or Key Agreement with Key Wrapping
    • alg:RSAES-OAEPの場合、受信者の公開鍵で暗号化キーを暗号化したバイト列

• Direct Key Agreement
  • alg:XXXXXの場合、空のバイト列とする。

• Direct Encryption
  • alg:XXXXXの場合、共有対称鍵のバイト列とする。

• Base64urlエンコードする。

※ JWE JSON Serializationを使用している場合は、上記を繰り返す。

初期化ベクターの生成 †

• enc

• encアルゴリズムに初期化ベクターが必要な場合
  • ランダムなコンテンツ暗号化の初期化ベクターを生成。

• encアルゴリズムに初期化ベクターが必要でない場合
  • 空のバイト列とする。

• Base64urlエンコードする。

追加認証データ †

• JWE Compact Serializationの場合
  • ASCII（BASE64URL（UTF8（JWE Protected Header）））

• JWE JSON Serializationの場合
  • ASCII（BASE64URL（UTF8（JWE Protected Header））|| '.' || BASE64URL(JWE AAD)）

[[暗号文>]]の生成 †

• 平文を
  • 必要ならzipのアルゴリズムで圧縮
  • encのアルゴリズムで暗号化する。

• Base64urlエンコードする。

[[認証タグ>]]の生成 †

• 追加認証データと平文から認証タグを生成する。
• Base64urlエンコードする。

検証 †

自作ライブラリ †

署名・暗号化アルゴリズム †

ココの署名・暗号化アルゴリズムを使用すると良い。

参考サイト †

検証サイト †

－

参考 †

• RFC 7516 - JSON Web Encryption (JWE)
  https://tools.ietf.org/html/rfc7516

JWA - JWE用 †

暗号化アルゴリズム †

.NETの署名・暗号化アルゴリズム †

---

Tags: :認証基盤, :クレームベース認証, :暗号化

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.033 sec.