Доступные алгоритмы JOSE для аутентифицированного шифрования позволяют следующее в соответствии с документацией connect2id :
- Целостность
- Аутентификация
- Конфиденциальность
Однако он не обеспечивает:
Взяв, например, следующий метод шифрования A128CB C -HS256 и JWEAlgorithm: dir (прямое использование общего ключа симметрии c):
Является ли невозможным отказ при использовании ключа Symmetri c, который не является предоставить доступ к какой-либо другой системе / человеку?
Будет ли проблема безопасности со следующим набором событий:
- JWE был создан с использованием A128CB C -HS256 / DIR через Алиса
- Этот JWE был отправлен Бобу
- Боб позднее отправляет JWE Алисе
- Алиса дешифрует (JWEDecryption) и использует данные в JWE
Примечание Только у Алисы ключ aes-128-cb c. Кроме того, было бы допустимо присутствие подслушивающего, который мог бы отправить JWE обратно Алисе. До тех пор, пока Конфиденциальность, Подлинность и Целостность поддерживаются оригинальной JWE при получении.