「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
以下の内容で最終確認済み。
https://tools.ietf.org/html/rfc7516
JWEの基本的な(≒JWE Compact Serializationの場合の)ヘッダには、以下のものがある。
{"alg":"RSA-OAEP","enc":"A256GCM"}
{"alg":"RSA1_5","enc":"A128CBC-HS256"}
{"alg":"A128KW","enc":"A128CBC-HS256"}
"enc"の暗号化キーは、"alg"によって暗号化または決定される。
"enc"によって決定される。
"enc"によって、平文とコンテンツ暗号化キー(CEK)から暗号化される。
"enc"によって、平文とコンテンツ暗号化キー(CEK)から認証タグを生成する。
JWEのポイントである認証関連。
完全性保護されているが暗号化されていない認証済み暗号化(AEAD)操作への入力。
平文と追加認証データ(AAD)を指定できるようにし、
平文を暗号化し、統合されたコンテンツ完全性チェックを提供する。
平文を暗号化して暗号文と認証タグを生成するために使用される認証済み暗号化(AEAD)アルゴリズムの対称鍵。
AAD値を完全性保護ヘッダーパラメータ値としてインクルードすることによっても達成できますが、値はdouble base64urlでエンコードされています
追加認証データ(AAD)で平文の認証された暗号化から生じる暗号テキスト値。
追加認証データ(AAD)で平文の認証された暗号化から生じる認証タグ値。
非対称暗号化アルゴリズムの利用を意図したキー管理モード。
対称キーラッピングアルゴリズムの利用を意図したキー管理モード。
鍵合意アルゴリズムの利用を意図したキー管理モード。
対称キーラッピングアルゴリズムの対称鍵に、
合意アルゴリズムの利用を意図したキー管理モード。
CEK値が当事者間で共有される鍵管理モード。
BASE64URL (UTF-8 (JWE Protected Header)) . BASE64URL(JWE Encrypted Key) . BASE64URL(JWEInitialization Vector) . BASE64URL(JWE Ciphertext) . BASE64URL(JWE Authentication Tag)
同じコンテンツを複数の当事者に暗号化することを可能にする。
JOSEヘッダは、以下のメンバの和集合。
認証された暗号化を利用して、完全性を保証。
JWE JSON Serializationの場合に必要な、受信者毎に共通の非保護ヘッダ
JWE JSON Serializationの場合に必要らしい。
{"alg":"RSA-OAEP","enc":"A256GCM"} など。
※ JWE JSON Serializationを使用している場合は、上記を繰り返す。
※ AADとは、詳細不明だが、JWE JSON Serializationの場合に必要らしい。
https://tools.ietf.org/html/rfc7516#appendix-A.1.1
https://tools.ietf.org/html/rfc7516#appendix-A.2.1
https://tools.ietf.org/html/rfc7516#appendix-A.3.1
ココの署名・暗号化アルゴリズムを使用すると良い。
-
-
Tags: :認証基盤, :クレームベース認証, :暗号化