تشفير الويب JSON
تشفير الويب JSON ( JWE ) هو معيارٌ من معايير IETF يوفر صيغةً موحدةً لتبادل البيانات المشفرة، استنادًا إلى JSON و Base64 . [ 1 ] وهو مُعرَّفٌ في RFC 7516. إلى جانب توقيع الويب JSON (JWS)، يُعدّ JWE أحد الصيغتين المُمكنتين لرمز JWT ( رمز الويب JSON ). ويُشكّل JWE جزءًا من مجموعة بروتوكولات توقيع وتشفير كائنات جافا سكريبت (JOSE). [ 2 ]
نقاط الضعف
في مارس 2017، تم اكتشاف خلل خطير في العديد من التطبيقات الشائعة لـ JWE، وهو هجوم المنحنى غير الصالح . [ 3 ]
كما عانى أحد تطبيقات النسخة المبكرة (قبل النهائية) من JWE من هجوم Bleichenbacher . [ 4 ]
مراجع
- ↑ نغ، أليكس تشي كيونغ (26 يناير 2018). بنى إدارة الهوية والوصول المعاصرة: البحوث والفرص الناشئة . آي جي آي غلوبال. ص 215. ISBN 978-1-5225-4829-4
JWE هي وسيلة لتمثيل المحتوى المشفر باستخدام هياكل بيانات JSON
. - ↑ فونتانا، جون (21 يناير 2013). "المطورون يحصلون على خيارات قائمة على JSON لمصادقة المؤسسات" . ZDNet . تم الاسترجاع في 8 يونيو 2018 .
- ↑ رشيد، فهميدة (27 مارس 2017). "تنبيه بشأن ثغرة خطيرة! توقفوا عن استخدام تشفير JSON" . إنفوورلد . تم الاطلاع عليه بتاريخ 8 يونيو 2018 .
- ↑ ياغر، تيبور؛ شينزل، سيباستيان؛ سوموروفسكي، يوراي (2012)، "هجوم بليشنباخر يضرب مجدداً: اختراق PKCS#1 الإصدار 1.5 في تشفير XML"، أمن الحاسوب - ESORICS 2012 ، سبرينغر برلين هايدلبرغ، ص 752-769 ، CiteSeerX 10.1.1.696.5641 ، doi : 10.1007/978-3-642-33167-1_43 ، ISBN 9783642331664بالإضافة إلى تشفير XML ،
تنصّ مواصفات تشفير الويب JSON (JWE) الحديثة على استخدام PKCS#1 v1.5 كخوارزمية تشفير إلزامية. هذه المواصفات قيد التطوير، وحتى وقت كتابة هذا التقرير، لم يكن هناك سوى تطبيق واحد يتبعها. وقد تحقّقنا من أن هذا التطبيق عرضة لنوعين من هجوم بليشنباخر: الهجوم المباشر القائم على رسائل الخطأ، والهجوم القائم على التوقيت.
فئات :
- JSON
- معايير الإنترنت
- بروتوكولات التشفير
- أوراق عمل في علم التشفير
