7.2. Certificate Thumbprint Binding

7.2 Certificate Thumbprint Binding

セクション 3.1 で規定する証明書と access token のバインドは証明書の暗号学的ハッシュを用いる. ハッシュ関数に十分な第二原像耐性があり, 同じハッシュ出力となる別の証明書を見つけたり作成したりすることが計算上実質不可能であることに依存する. SHA-256 は上記要件を満たし広く利用可能であるため用いられた. 将来 SHA-256 以外のハッシュ関数で証明書フィンガープリントを計算する必要が生じた場合, その目的で追加の関連 JWT 確認方法メンバーを定義し, JWT cnf メンバー値について IANA "JWT Confirmation Methods" レジストリ [IANA.JWT.Claims] に登録することが推奨される.

アルゴリズムの強度と実行可能な攻撃に関するコミュニティの知識は突然変わり得る. セキュリティに関する文書は時点の記述である. 読者は本文書に適用される正誤表や更新を参照すべきである.