# Counter with CBC-MAC

**Counter with CBC-MAC**(CCM)은 암호화와 인증을 동시에 제공하는 **연합 암호화 모드**(Authenticated Encryption Mode) 중 하나로, 데이터의 기밀성, 무결성, 그리고 진위성을 보장하기 위해 설계되었습니다. CCM은 블록 암호를 기반으로 하며, 특히 제한된 자원을 가진 환경(예: 무선 센서 네트워크, IoT 기기)에서 널리 사용됩니다. 이 모드는 **CTR**(Counter) 모드와 **CBC-MAC**(Cipher Block Chaining-Message Authentication Code)의 조합으로 구성되어 있으며, IEEE 802.11i(WPA2), IPsec, Bluetooth 4.0 등의 표준에서 채택되고 있습니다.

---

## 개요

CCM은 **NIST**(National Institute of Standards and Technology)에서 정의된 SP 800-38C 표준에 따라 표준화된 암호화 모드입니다. 이 모드는 두 가지 주요 기능을 수행합니다:

1. **CTR 모드를 통한 데이터 암호화**: 데이터의 기밀성을 보장합니다.
2. **CBC-MAC을 통한 메시지 인증**: 데이터의 무결성과 진위성을 검증합니다.

CCM은 **AEAD**(Authenticated Encryption with Associated Data)를 지원하는 모드로, 암호화할 데이터 외에도 인증은 필요하지만 암호화할 필요는 없는 부가 정보(예: 헤더)를 함께 처리할 수 있습니다.

---

## 작동 원리

CCM은 두 단계로 나뉘어 작동합니다: **인증**(Authentication)과 **암호화**(Encryption). 이 두 과정은 순차적으로 수행되며, CBC-MAC 먼저 계산된 후 CTR 모드로 암호화가 이루어집니다. 이 구조는 **MAC-then-Encrypt**(MtE) 방식에 해당합니다.

### 1. CBC-MAC을 통한 인증

CBC-MAC은 블록 암호를 사용하여 메시지의 해시값(메시지 인증 코드, MAC)을 생성합니다. CCM에서는 다음 정보를 기반으로 MAC을 계산합니다:

- **Nonce**(난수): 재사용되지 않는 고유한 값
- **연결된 데이터**(Associated Data, AD): 암호화되지 않지만 인증 대상이 되는 데이터
- **평문**(Plaintext): 암호화 및 인증 대상 데이터

CBC-MAC은 초기화 벡터(IV)를 0으로 설정한 CBC 모드로 동작하며, 최종 블록의 암호문이 MAC 값으로 사용됩니다.

### 2. CTR 모드를 통한 암호화

CTR(Counter) 모드는 블록 암호를 스트림 암호처럼 사용하는 방식입니다. CCM에서는 Nonce와 카운터를 조합하여 고유한 입력을 생성하고, 이를 블록 암호로 암호화한 후 평문과 XOR 연산을 수행하여 암호문을 생성합니다.

CTR 모드는 병렬 처리가 가능하고, 오류 전파가 없다는 장점이 있습니다.

---

## CCM의 구조적 특징

| 특징 | 설명 |
|------|------|
| **입력** | 키, Nonce, 평문, 연결된 데이터 |
| **출력** | 암호문, 인증 태그(MAC) |
| **블록 크기** | 일반적으로 128비트(AES 기준) |
| **Nonce 길이** | 일반적으로 7~13바이트 |
| **태그 길이** | 4, 6, 8, 10, 12, 14, 16바이트 중 선택 가능 |
| **AEAD 지원** | 예 (연결된 데이터 처리 가능) |

---

## 사용 사례

CCM은 다음과 같은 표준 및 프로토콜에서 사용됩니다:

- **WPA2**(Wi-Fi Protected Access 2): 무선 네트워크 보안에서 TKIP 대신 AES-CCM을 사용
- **Bluetooth Low Energy**(BLE): 보안 연결 설정 및 데이터 전송
- **IPsec**: 네트워크 계층 보안 프로토콜
- **Zigbee**: 저전력 무선 통신 프로토콜

이러한 환경들은 보통 제한된 처리 능력과 메모리를 가지므로, CCM의 상대적으로 낮은 계산 오버헤드가 장점으로 작용합니다.

---

## 장점과 단점

### 장점

- **단일 키 사용**: 암호화와 인증에 동일한 키를 사용 가능 (단, 안전한 사용을 위해 키 관리 철저 필요)
- **표준화**: NIST, IEEE, IETF 등에서 표준으로 채택
- **효율성**: 하드웨어 구현에 적합하며, 비교적 낮은 자원 소모
- **AEAD 지원**: 연결된 데이터 처리 가능

### 단점

- **비병렬화 인증 단계**: CBC-MAC은 순차 처리 필요
- **Nonce 재사용 취약성**: 동일한 Nonce를 재사용하면 보안이 완전히 붕괴됨
- **성능 제한**: GCM(Counter with Galois-MAC)에 비해 성능이 낮음 (특히 고속 네트워크 환경)

---

## 보안 고려사항

- **Nonce의 유일성**: CCM의 보안은 Nonce의 유일성에 크게 의존합니다. 동일한 키로 두 번 이상 동일한 Nonce를 사용하면 공격자가 평문을 복원할 수 있습니다.
- **태그 길이 선택**: 짧은 인증 태그는 무작위 공격에 취약하므로, 보안 요구사항에 따라 충분한 길이(예: 128비트)를 선택해야 합니다.
- **키 관리**: 장기간 동일 키 사용은 보안 위험을 증가시킵니다. 주기적인 키 갱신이 필요합니다.

---

## 관련 문서 및 참고 자료

- **NIST SP 800-38C**: *Recommendation for Block Cipher Modes of Operation: The CCM Mode for Authentication and Confidentiality*
- **RFC 3610**: *Counter with CBC-MAC (CCM)*
- **FIPS 140-2**: 암호화 모듈 보안 요구사항
- **WPA2 표준 문서**(IEEE 802.11i)

---

CCM은 보안과 효율성의 균형을 잘 잡은 암호화 모드로, 특히 자원이 제한된 환경에서 여전히 중요한 역할을 하고 있습니다. 그러나 성능과 확장성을 고려할 때, 최신 시스템에서는 **GCM**(Galois/Counter Mode)과 같은 더 효율적인 AEAD 모드를 선호하는 추세입니다.