4

是否有为 JWK 创建指纹(又名指纹)的标准规范方法?

从我正在阅读的内容来看,该标准似乎没有定义kid应该如何指定 a ,我觉得这很奇怪。对我来说,最重要的是让它成为一个确定性值,而不是一个需要查找表的值,这样其他人就可以通过拥有公钥轻松地重新创建密钥 ID。

我知道 SSH 指纹和 X.509 指纹是标准化的,但对于使用 JWK 的所有环境(尤其是浏览器)来说,它们似乎并不是一个合适的解决方案,因为它们对于幼稚的实现和包括能够操作的库来说太复杂了这样(即伪造)会浪费大量内存、带宽和 vm 编译时间。

更新

官方称它为“指纹”而不是“指纹”。

4

2 回答 2

6

我认为RFC7638会回答你的问题。

该 RFC 描述了一种通过 JWK 计算哈希值的方法。

这很容易实现:

  • 只保留所需的参数。对于 RSA 密钥:和对于 EC密钥:kty、和.necrvktyxy
  • 按字典顺序对这些参数进行排序ektyn
  • 将参数和值计算成 Json:{"e":"AQAB","kty":"RSA","n":"0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2 aiAFbWhM78LhWx4cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCi FV4n3oknjhMstn64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7_RN5w6Cf0h4QyQ5v-65Y GjQR0_FDW2QvzqY368QQMicAtaSqzs8KJZgnYb9c7d0zgdAZHzu6qMQvRL5hajrn1n 91CbOpbISD08qNLyrdkt-bFTWhAI4vMQFh6WeZu0fM4lFd2NcRwr3XPksINHaQ-G_x BniIqbw0Ls1jF44-csFCur-kEgU8awapJzKnqDKgw"}
  • 使用 SHA-256 对其进行哈希处理并将其编码为 Base64 Url Safe:NzbLsXh8uDCcd-6MNwXF4W_7noWXFZAfHkxZsRGC9Xs
于 2017-03-03T23:25:10.500 回答
0

我不相信有一个真正的标准,但这个话题已经在IETF 邮件档案中讨论过了。虽然一般来说规范 JSON 是否是一个好主意,谈话似乎有点偏离轨道,但有一种方法作为标准指纹识别方法似乎是合理的。

  1. 从 JWK 中删除所有“元数据”字段(在这种情况下,“元数据”定义为任何非必需密钥,即除“kty”和JWA RFC-7518定义的加密算法参数之外的任何内容)。
  2. 将剥离的 JWK 转换为“规范”JSON(按字典顺序对键进行排序,没有前导或尾随空格,并且标记之间没有空格)。
  3. 在创建的 JSON 字符串上计算摘要。

对于规范 JSON,我也没有真正的标准,但我所看到的所有来源都至少同意上面列出的规则(这是与用于 JWK 的对象类型相关的唯一规则) .

于 2017-03-03T23:26:44.053 回答