JSON Web Encryption

JSON Web Encryption（JWE）は、JSONとBase64を基にした、暗号化されたデータを交換のために標準化された構文を提供しているIETFの標準である^[1]。RFC 7516で定義されている。JSON Web Signature（JWS）とともに、JWT（JSON Web Token）の2つの可能なフォーマットの1つである。JWEはJavaScript Object Signing and Encryption（JOSE）プロトコルスイートの一部を構成している^[2]。

JSON Web Encryption

JSON Web Encryption (JWE)
ステータス	提案済み
開始年	2012年1月16日 (2012-01-16)
初版	2012年1月16日 (2012-01-16)
最新版	2015年5月
組織	IETF
シリーズ	JOSE
著者	Michael Jones Joe Hildebrand
ドメイン	暗号化、認証
略称	JWE
ウェブサイト	datatracker.ietf.org/doc/html/rfc7516

脆弱性

2017年3月、JWEの多くの人気の実装でinvalid curve攻撃を可能にしてしまう深刻な欠陥が発見された^[3]。

JWEの初期の（仕様の最終版が決定する前の）バージョンの実装の1つも、Bleichenbacherの攻撃（英語版）の被害を受けた^[4]。