Bug: Java SDK setzt inkorrekten 'cty' (Content Type) JWE Header Parameter

Verwendete Version: Java SDK 1.0.0

Das Java SDK setzt bei den im Zuge der Payload-Verschlüsselung erzeugten JWE-Objekten den cty (Content Type) JWE Header Parameter immer auf den Wert application/json, unabhängig vom tatsächlichen Medientyp der Payload - insbesondere z.B. auch wenn die zu verschlüsselnden Fachdaten als XML und nicht als JSON vorliegen. Somit können fälschlich als application/json gekennzeichnete verschlüsselte Daten erzeugt werden und es wird gegen den JWE-Standard verstoßen (siehe RFC 7516 bzw. den darin referenzierten RFC 7515).

Nach kurzer Analyse scheint mir der relevante Code im SDK in der Klasse dev.fitko.fitconnect.core.crypto.JWECryptoService in Methode getJWEHeader(final String keyID) vorzuliegen. Hier wird dem JWEHeader.Builder hardcodiert der content type "application/json" übergeben, unabhängig vom tatsächlichen Content Type der unverschlüsselten Payload.

Von Daniel Benkmann (von Landesamt für Digitalisierung, Breitband und Vermessung IT-Dienstleistungszentrum des Freistaats Bayern) in OpenCoDe erstellt https://gitlab.opencode.de/fitko/feedback/-/issues/54