CCM而不是密钥包装

Question

是否有任何使用AES-CCM加密/认证密钥数据的NIST或其他加密标准的实例？我希望在密钥包装函数上使用CCM，但在密码标准中找不到这方面的先例。

如果通过设计，我保证：(1)不重复使用现有数据；(2)用户无法使用加密的“传输”密钥对非密钥材料进行加密/解密。

是否有任何安全漏洞使CCM成为一个糟糕的选择？

Answer 1

维基百科关于关键卷纸的文章指出：

目标(3)和(5)特别重要，因为许多广泛部署的认证加密算法(例如，AES-CCM)已经足以完成其余的目标。

这表明AES-CCM是一种足够的解决方案，即使效率很低。