7. Encrypted JWK and Encrypted JWK Set Formats (Formats JWK chiffrés)

L'accès aux JWK contenant du matériel de clé non public par des parties sans accès légitime aux informations non publiques doit (MUST) être empêché. Cela peut être accompli en chiffrant le JWK lorsqu'il est potentiellement observable par de telles parties pour empêcher la divulgation de valeurs de clés privées ou symétriques. L'utilisation d'un JWK chiffré (Encrypted JWK), qui est un JWE avec l'encodage UTF-8 d'un JWK comme valeur en clair, est recommandée (RECOMMENDED) à cette fin. Le traitement des JWK chiffrés est identique au traitement des autres JWE. Une valeur de paramètre d'en-tête « cty » (content type, type de contenu) de « jwk+json » doit (MUST) être utilisée pour indiquer que le contenu du JWE est un JWK, sauf si l'application sait que le contenu chiffré est un JWK par un autre moyen ou convention, auquel cas la valeur « cty » serait typiquement omise.

Les JWK Sets contenant du matériel de clé non public devront également être chiffrés dans ces situations. L'utilisation d'un JWK Set chiffré (Encrypted JWK Set), qui est un JWE avec l'encodage UTF-8 d'un JWK Set comme valeur en clair, est recommandée (RECOMMENDED) à cette fin. Le traitement des JWK Sets chiffrés est identique au traitement des autres JWE. Une valeur de paramètre d'en-tête « cty » (content type, type de contenu) de « jwk-set+json » doit (MUST) être utilisée pour indiquer que le contenu du JWE est un JWK Set, sauf si l'application sait que le contenu chiffré est un JWK Set par un autre moyen ou convention, auquel cas la valeur « cty » serait typiquement omise.

Voir l'Appendix C pour un exemple de JWK chiffré.