Memahami JWE: Struktur, Operasi, Kelebihan, Kelemahan, dan Cara Menciptanya

1. Apakah itu JWE (JSON Web Encryption)?

Penyulitan Web JSON (JWE) ialah standard yang ditakrifkan oleh RFC 7516 yang mewakili kandungan yang disulitkan menggunakan struktur data berasaskan JSON. Ia membolehkan anda menyulitkan muatan sewenang-wenangnya untuk memastikan kerahsiaan dan, jika perlu, integriti. Kandungan yang disulitkan ini boleh termasuk apa-apa jenis data, seperti maklumat pengguna sensitif, token keselamatan, atau bahkan fail.

1.1 Mengapa Menggunakan JWE?

JWE digunakan secara meluas dalam aplikasi web dan API untuk menghantar data sensitif seperti token, maklumat pengguna dan butiran kewangan dengan selamat. Ia memastikan bahawa maklumat itu tidak boleh dibaca oleh entiti yang tidak dibenarkan, walaupun dipintas. Muatan yang disulitkan hanya boleh dinyahsulit dan digunakan oleh penerima yang dimaksudkan yang memiliki kunci penyahsulitan yang betul.

1.2 Ciri-ciri Utama JWE

• Kerahsiaan : Matlamat utama JWE adalah untuk memastikan kerahsiaan kandungan.
• Integriti : Ia menjamin bahawa data tidak diganggu semasa transit.
• Saling kendali : JWE serasi dengan algoritma dan persekitaran kriptografi yang berbeza.
• Kekompakan : JWE menyediakan perwakilan padat yang mudah diangkut melalui HTTP.

2. Struktur JWE

Penyulitan Web JSON (JWE) ialah standard untuk menghantar maklumat dengan selamat antara pihak sebagai objek JSON. JWE menggunakan penyulitan untuk memastikan kerahsiaan dan integriti data yang dilindunginya. Struktur JWE biasa terdiri daripada lima bahagian yang digabungkan bersama dan dipisahkan oleh noktah (.). Lima bahagian tersebut ialah:

• Pengepala (Pengepala JOSE)
• Kunci Disulitkan
• Vektor Permulaan
• Teks Sifir
• Tag Pengesahan

Setiap bahagian JWE memainkan peranan tertentu dalam proses penyulitan dan penyahsulitan. Mari kita mendalami setiap bahagian secara terperinci.

2.1 Pengepala JOSE (Penandatanganan Objek JSON dan Pengepala Penyulitan)

Tajuk JOSE (JSON Object Signing and Encryption) ialah bahagian pertama JWE dan mengandungi metadata tentang proses penyulitan. Ia ialah objek JSON berkod base64url yang merangkumi:

• alg (Algoritma): Menentukan algoritma yang digunakan untuk menyulitkan Kunci Penyulitan Kandungan (CEK). Algoritma biasa termasuk RSA-OAEP , RSA1_5 , A128KW , A256KW , dsb.
• enc (Algoritma Penyulitan): Menunjukkan algoritma penyulitan yang digunakan untuk menyulitkan muatan (teks biasa). Contohnya termasuk A128GCM , A256GCM , A128CBC-HS256 , dsb.
• taip (Jenis): Secara pilihan menunjukkan jenis token, biasanya JWT.
• cty (Jenis Kandungan): Secara pilihan menunjukkan jenis kandungan muatan yang disulitkan jika ia adalah sesuatu selain daripada aplikasi/json lalai.

Contoh:

{
  "alg": "RSA-OAEP",
  "enc": "A256GCM"
}

Pengepala ini menentukan bahawa kunci penyulitan kandungan disulitkan menggunakan algoritma RSA-OAEP dan muatan disulitkan menggunakan AES GCM dengan kunci 256-bit.

2.2 Kunci Disulitkan

Bahagian kedua JWE ialah Kunci Disulitkan, iaitu kunci yang digunakan untuk menyulitkan data sebenar (muatan). Kunci ini disulitkan menggunakan algoritma yang dinyatakan dalam parameter alg Pengepala JOSE.

• Jika alg ialah RSA-OAEP , Kunci Penyulitan Kandungan (CEK) disulitkan menggunakan algoritma RSA-OAEP dengan kunci awam penerima.
• Jika alg ialah A128KW atau A256KW , pembalut kunci simetri digunakan.

Kunci Disulitkan adalah dikodkan base64url.

2.3 Vektor Permulaan (IV)

Vektor Permulaan (IV) ialah komponen ketiga dalam struktur JWE. Ia adalah nilai rawak berkod base64url yang digunakan bersama-sama dengan algoritma penyulitan untuk memastikan bahawa teks biasa yang sama akan menyulitkan secara berbeza setiap kali. IV menghalang corak dalam data yang disulitkan, meningkatkan keselamatan.

Untuk mod AES GCM, IV biasanya 96 bit (12 bait) panjang.

2.4 Teks sifir

Ciphertext ialah hasil daripada menyulitkan plaintext (data muatan) dengan kunci penyulitan kandungan (CEK) dan algoritma penyulitan (parameter enc). Ciphertext adalah dikodkan base64url dan merupakan bahagian teras JWE, kerana ia memegang kandungan yang dilindungi.

• Proses penyulitan melibatkan pelapik, penyulitan dan penukaran output yang disulitkan kepada format base64url.
• Jika data disahkan tambahan (AAD) disertakan, ia digunakan untuk memastikan ketulenan dan integriti kedua-dua Pengepala JOSE dan Teks Sifir.

2.5 Tag Pengesahan

Tag Pengesahan (juga dikenali sebagai Tag ) ialah nilai berkod base64url yang memberikan integriti dan ketulenan kepada Ciphertext, Initialization Vector (IV) dan Data Authenticated Tambahan (AAD). Ia dijana semasa proses penyulitan menggunakan algoritma seperti AES GCM.

Jika mana-mana bahagian struktur JWE diubah selepas penyulitan, proses penyahsulitan akan gagal kerana Tag Pengesahan tidak akan sepadan.

3. Contoh JWE

Pertimbangkan senario di mana kami ingin menyulitkan mesej "Hello, World!" menggunakan JWE. Berikut ialah pecahan ringkas:

• Pengepala Dilindungi : {"alg":"RSA-OAEP","enc":"A256GCM"}
• Kunci Disulitkan : Base64Url(encrypt(kunci simetri dengan kunci awam penerima))
• Vektor Permulaan (IV): Base64Url(IV dijana secara rawak)
• Ciphertext : Base64Url(encrypt("Hello, World!" dengan kunci simetri))
• Teg Pengesahan : Base64Url(Teg GCM)

JWE akhir mungkin kelihatan seperti ini:

{
  "alg": "RSA-OAEP",
  "enc": "A256GCM"
}

4. Bagaimana JWE Berfungsi?

JWE berfungsi dengan menggunakan gabungan kriptografi kunci awam (untuk menyulitkan kunci simetri) dan penyulitan simetri (untuk menyulitkan muatan sebenar). Begini cara proses itu berfungsi:

Penjanaan dan Pengurusan Utama

• Penghantar dan penerima bersetuju dengan standard kriptografi kunci awam (cth., RSA atau Lengkung Eliptik).
• Penghantar menjana kunci simetri rawak untuk menyulitkan mesej.
• Kunci simetri kemudian disulitkan menggunakan kunci awam penerima.

Proses Penyulitan

• Penghantar mencipta Pengepala JWE yang menentukan algoritma penyulitan.
• Beban muatan (data) disulitkan menggunakan kekunci simetri dan Vektor Permulaan (IV).
• Kunci simetri disulitkan menggunakan kunci awam penerima.
• Komponen yang terhasil digabungkan untuk membentuk JWE akhir.

Proses Penyahsulitan

• Penerima menggunakan kunci peribadi mereka untuk menyahsulit kunci simetri yang disulitkan.
• Kunci simetri yang dinyahsulit kemudian digunakan untuk menyahsulit teks sifir.
• Penerima mengesahkan integriti data menggunakan teg pengesahan.

5. Kelebihan dan Kekurangan JWE

5.1 Kelebihan

• Kerahsiaan : Menyediakan penyulitan hujung ke hujung, memastikan privasi data.
• Saling kendali : Serasi merentas sistem dan platform yang berbeza.
• Integriti dan Keselamatan : Memastikan data dilindungi daripada gangguan.
• Menyokong Berbilang Penerima : Membolehkan untuk menyulitkan data kepada berbilang penerima menggunakan kekunci yang berbeza.

5.2 Kelemahan

• Kerumitan : Proses penyulitan dan penyahsulitan boleh menjadi rumit dan terdedah kepada ralat.
• Overhed Prestasi : Proses penyulitan/penyahsulitan menambah overhed pengiraan.
• Saiz Muatan Lebih Besar : Muatan JWE lebih besar berbanding data biasa atau JWT disebabkan oleh metadata penyulitan.

6. Cara Membuat JWE di Jawa

Mencipta JWE melibatkan pemilihan perpustakaan yang menyokong piawaian JWE. Salah satu perpustakaan paling popular di Jawa ialah Nimbus JOSE JWT. Di bawah ialah contoh mudah yang menunjukkan cara membuat JWE:

Menyediakan Ketergantungan

Tambah kebergantungan berikut pada pom.xml anda jika anda menggunakan Maven:

{
  "alg": "RSA-OAEP",
  "enc": "A256GCM"
}

Mencipta dan Menyulitkan JWE

Berikut ialah coretan kod Java yang menunjukkan penciptaan JWE:

eyJhbGciOiJSU0EtT0FFUCIsImVuYyI6IkEyNTZHQ00ifQ.
g_hE3pPLiSs9C60_WFQ-VP_mQ1BU00Z7Xg.
48V1_ALb6US04U3b.
5eym8mytxoXCBlYkhjBtkmmI.
XFBoMYUZodetZdvTiFvSkQ

Penjelasan Kod

• Penjanaan Kunci : Pasangan kunci RSA dijana untuk menyulitkan dan menyahsulit JWE.
• Pengepala dan Muatan : Pengepala menentukan algoritma penyulitan dan muatan mengandungi data yang akan disulitkan.
• Penyulitan : RSAEncrypter digunakan untuk menyulitkan muatan.
• Penyahsulitan : RSADecrypter menyahsulit muatan kembali kepada bentuk asalnya.

Keputusan

Menjalankan kod di atas akan menghasilkan rentetan JWE yang disulitkan dan kemudian menyahsulitnya kembali kepada mesej asal:

<dependency>
    <groupId>com.nimbusds</groupId>
    <artifactId>nimbus-jose-jwt</artifactId>
    <version>9.22</version>
</dependency>

7. Kesimpulan

JSON Web Encryption (JWE) ialah alat penting untuk penghantaran data selamat dalam aplikasi web moden. Memahami strukturnya, cara ia berfungsi, serta kebaikan dan keburukannya akan membantu anda membuat keputusan termaklum tentang masa dan cara menggunakannya dalam aplikasi anda. Jika anda mempunyai sebarang pertanyaan atau memerlukan penjelasan lanjut, sila tinggalkan komen di bawah!

Baca siaran lebih lanjut di : Memahami JWE: Struktur, Operasi, Kelebihan, Kelemahan dan Cara Menciptanya

Atas ialah kandungan terperinci Memahami JWE: Struktur, Operasi, Kelebihan, Kelemahan, dan Cara Menciptanya. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!