7. Encrypted JWK and Encrypted JWK Set Formats (暗号化 JWK フォーマット)

非公開鍵マテリアルを含む JWK へのアクセスは、非公開情報への正当なアクセス権を持たない当事者によって必ず (MUST) 防止されなければなりません。これは、そのような当事者によって観察される可能性がある場合に JWK を暗号化することで、秘密鍵または対称鍵の値の開示を防ぐことで達成できます。この目的のために、暗号化 JWK (Encrypted JWK) の使用が推奨されます (RECOMMENDED)。これは、JWK の UTF-8 エンコーディングを平文値とする JWE です。暗号化 JWK の処理は、他の JWE の処理と同じです。JWE の内容が JWK であることを示すために、「cty」(content type、コンテンツタイプ) Header Parameter 値「jwk+json」を必ず (MUST) 使用しなければなりません。ただし、アプリケーションが他の手段または規約によって暗号化された内容が JWK であることを知っている場合は除きます。その場合、「cty」値は通常省略されます。

非公開鍵マテリアルを含む JWK Set も、これらの状況では暗号化する必要があります。この目的のために、暗号化 JWK Set (Encrypted JWK Set) の使用が推奨されます (RECOMMENDED)。これは、JWK Set の UTF-8 エンコーディングを平文値とする JWE です。暗号化 JWK Set の処理は、他の JWE の処理と同じです。JWE の内容が JWK Set であることを示すために、「cty」(content type、コンテンツタイプ) Header Parameter 値「jwk-set+json」を必ず (MUST) 使用しなければなりません。ただし、アプリケーションが他の手段または規約によって暗号化された内容が JWK Set であることを知っている場合は除きます。その場合、「cty」値は通常省略されます。

暗号化 JWK の例については、Appendix C を参照してください。