7. Encrypted JWK and Encrypted JWK Set Formats (Verschlüsselte JWK-Formate)

Der Zugriff auf JWKs, die nicht-öffentliches Schlüsselmaterial enthalten, durch Parteien ohne legitimen Zugang zu den nicht-öffentlichen Informationen muss (MUST) verhindert werden. Dies kann erreicht werden, indem der JWK verschlüsselt wird, wenn er von solchen Parteien potenziell beobachtet werden kann, um die Offenlegung von privaten oder symmetrischen Schlüsselwerten zu verhindern. Die Verwendung eines verschlüsselten JWK (Encrypted JWK), der ein JWE mit der UTF-8-Kodierung eines JWK als Klartextwert ist, wird für diesen Zweck empfohlen (RECOMMENDED). Die Verarbeitung verschlüsselter JWKs ist identisch mit der Verarbeitung anderer JWEs. Ein „cty" (content type, Inhaltstyp) Header-Parameter-Wert von „jwk+json" muss (MUST) verwendet werden, um anzuzeigen, dass der Inhalt des JWE ein JWK ist, es sei denn, die Anwendung weiß auf andere Weise oder durch Konvention, dass der verschlüsselte Inhalt ein JWK ist. In diesem Fall würde der „cty"-Wert typischerweise weggelassen.

JWK Sets, die nicht-öffentliches Schlüsselmaterial enthalten, müssen in diesen Situationen ebenfalls verschlüsselt werden. Die Verwendung eines verschlüsselten JWK Sets (Encrypted JWK Set), der ein JWE mit der UTF-8-Kodierung eines JWK Sets als Klartextwert ist, wird für diesen Zweck empfohlen (RECOMMENDED). Die Verarbeitung verschlüsselter JWK Sets ist identisch mit der Verarbeitung anderer JWEs. Ein „cty" (content type, Inhaltstyp) Header-Parameter-Wert von „jwk-set+json" muss (MUST) verwendet werden, um anzuzeigen, dass der Inhalt des JWE ein JWK Set ist, es sei denn, die Anwendung weiß auf andere Weise oder durch Konvention, dass der verschlüsselte Inhalt ein JWK Set ist. In diesem Fall würde der „cty"-Wert typischerweise weggelassen.

Siehe Appendix C für ein Beispiel eines verschlüsselten JWK.