Zum Hauptinhalt springen

6. Key Identification (Schlüsselidentifikation)

Es ist notwendig, dass der Empfänger eines JWS in der Lage ist, den Schlüssel zu bestimmen, der vom Sender verwendet wurde. Die Methoden zur Bestimmung dieses Schlüssels hängen von der Anwendung ab. Für JWS können folgende Methoden verwendet werden:

  • Verwendung des "kid"-Parameters (Key ID): Der Sender kann den "kid"-Header-Parameter verwenden, um einen Hinweis auf die zur Sicherung des JWS verwendete Schlüsselidentifikation zu geben.

  • Verwendung des "jku"-Parameters (JWK Set URL): Der Sender kann den "jku"-Header-Parameter verwenden, um auf einen Ort zu verweisen, von dem ein JWK Set abgerufen werden kann, das den Schlüssel enthält.

  • Verwendung des "jwk"-Parameters (JSON Web Key): Der Sender kann den "jwk"-Header-Parameter verwenden, um den öffentlichen Schlüssel direkt einzubetten.

  • Verwendung von "x5u", "x5c", "x5t" oder "x5t#S256"-Parametern: Der Sender kann X.509-zertifikatsbezogene Header-Parameter verwenden, um Informationen über den zur Sicherung des JWS verwendeten Schlüssel bereitzustellen.

  • Verwendung anwendungsspezifischer Methoden: Anwendungen können andere Methoden zur Übertragung von Schlüsselinformationen verwenden. Beispielsweise können Schlüssel vorab zwischen Parteien geteilt werden.

Die Wahl der Schlüsselidentifikationsmethode hängt von Faktoren wie den Sicherheitsanforderungen der Anwendung, der Skalierbarkeit und Interoperabilität ab. Unabhängig von der verwendeten Methode muss der Empfänger in der Lage sein, die Authentizität des Schlüssels zu verifizieren und die digitale Signatur oder den MAC ordnungsgemäß zu validieren.

Siehe Anhang D für weitere Hinweise zur Schlüsselauswahl.

Letztes Update am