7. Encrypted JWK and Encrypted JWK Set Formats (Formati JWK crittografati)

L'accesso ai JWK contenenti materiale di chiavi non pubbliche da parte di parti senza accesso legittimo alle informazioni non pubbliche deve (MUST) essere impedito. Ciò può essere ottenuto crittografando il JWK quando potenzialmente osservabile da tali parti per impedire la divulgazione di valori di chiavi private o simmetriche. L'uso di un JWK crittografato (Encrypted JWK), che è un JWE con la codifica UTF-8 di un JWK come valore in chiaro, è raccomandato (RECOMMENDED) per questo scopo. L'elaborazione dei JWK crittografati è identica all'elaborazione di altri JWE. Un valore di parametro dell'header « cty » (content type, tipo di contenuto) di « jwk+json » deve (MUST) essere utilizzato per indicare che il contenuto del JWE è un JWK, a meno che l'applicazione non sappia che il contenuto crittografato è un JWK con altri mezzi o convenzioni, nel qual caso il valore « cty » sarebbe tipicamente omesso.

I JWK Set contenenti materiale di chiavi non pubbliche dovranno anche essere crittografati in queste situazioni. L'uso di un JWK Set crittografato (Encrypted JWK Set), che è un JWE con la codifica UTF-8 di un JWK Set come valore in chiaro, è raccomandato (RECOMMENDED) per questo scopo. L'elaborazione dei JWK Set crittografati è identica all'elaborazione di altri JWE. Un valore di parametro dell'header « cty » (content type, tipo di contenuto) di « jwk-set+json » deve (MUST) essere utilizzato per indicare che il contenuto del JWE è un JWK Set, a meno che l'applicazione non sappia che il contenuto crittografato è un JWK Set con altri mezzi o convenzioni, nel qual caso il valore « cty » sarebbe tipicamente omesso.

Vedere l'Appendix C per un esempio di JWK crittografato.