8. Security Considerations (Considerazioni di sicurezza)

La sicurezza del CWT si basa sulle protezioni offerte da COSE. Se i claim in un CWT non sono protetti, un avversario può modificarli, aggiungerne o rimuoverne.

Poiché i claim veicolati in un CWT possono essere usati per prendere decisioni di autorizzazione, non è importante soltanto proteggere il CWT in transito, ma anche assicurarsi che il destinatario possa autenticare la parte che ha assemblato i claim e creato il CWT. Senza fiducia del destinatario nella parte che ha creato il CWT, non si può prendere alcuna decisione di autorizzazione sensata. Inoltre, il creatore del CWT deve valutare attentamente ciascun valore di claim prima di includerlo nel CWT, affinché il destinatario possa essere assicurato della validità delle informazioni fornite.

Sintatticamente, le operazioni di firma e crittografia per i Nested CWT (CWT annidati) possono essere applicate in qualsiasi ordine; tuttavia, se sono necessarie sia la firma sia la crittografia, di norma si DOVREBBE firmare il messaggio e poi crittografare il risultato (crittografando così la firma). Ciò previene attacchi in cui la firma viene rimossa, lasciando solo un messaggio crittografato, e fornisce riservatezza per il firmatario. Inoltre, le firme su testo crittografato non sono considerate valide in molte giurisdizioni.

8. Security Considerations (Considerazioni di sicurezza)​

8. Security Considerations (Considerazioni di sicurezza)