[Epic] Vorgabe für Komprimierung aus Vorgaben für kryptographische Verfahren entfernen

Why

Als Anbindungsprojekt möchte ich den Security Best-Practices folgen und für kryptographische Funktionen eine Bibliothek nutzen.

Goal

Links, Notes, Remarks

In den Vorgaben für kryptographische Verfahren wird explizit eine Kompression gefordert. Der JSON Web Encryption Header "zip" muss auf den Wert "DEF" (DEFLATE) gesetzt werden.

Die JavaScript-Bibliothek jose hat den "zip" Header unter Verweis auf RFC 8725, Sec. 3.6 als "deprecated" markiert:

Von https://github.com/panva/jose/blob/main/docs/interfaces/types.JWEHeaderParameters.md#zip:

Deprecated: Compression of data SHOULD NOT be done before encryption, because such compressed data often reveals information about the plaintext.

Aus RFC 8725, Sec. 3.6:

Compression of data SHOULD NOT be done before encryption, because such compressed data often reveals information about the plaintext.

Stories

1. #1824 (closed) Die Prüfung wurde aus dem Zustelldienst entfernt. team::ZSD
2. #1823 (closed) Die Dokumentation wurde angepasst. team::Doku
3. #1822 Kommunikation des neues Verhaltens team::AM
4. #1825 (closed) Das Java-SDK wurde angepasst. team::SDK ~"workflow::Blocked" bis die Änderung des ZSD durch ist
5. #1826 (closed) Das Dotnet-SDK wurde angepasst. team::SDK ~"workflow::Blocked" bis die Änderung des ZSD durch ist

Acceptance criteria

1. Die Nutzung des JWE-Headers "zip" ist optional. Es ist geklärt, ob es weiterhin empfohlen wird oder deprecated ist. team::PM
   • Entscheidung: Es wird deprecated.
2. Die Prüfung im Zustelldienst wurde entfernt (#1824 (closed))
3. Die Dokumentation wurde angepasst (#1823 (closed))
4. Die Anbindungsprojekte wurden informiert (#1822)
5. Die SDKs wurden angepasst (#1825 (closed), #1826 (closed))
6. ...
7. Definition of Done was checked.

Potential follow-up activities

Open questions