Содержит ли мое приложение шифрование?

Question

Я загружаю двоичный файл впервые. iTunes Connect спросил меня:

Законы об экспорте требуют, чтобы продукты, содержащие шифрование, были надлежащим образом авторизованы для экспорта.
Невыполнение этого требования может привести к серьезным штрафам.
Для получения дополнительной информации нажмите здесь.
Ваш продукт содержит шифрование?

Я использую https://, но только через NSURLConnection и UIWebView.

Мое прочтение таково, что мое приложение не "содержит шифрование", но мне интересно, прописано ли это где-нибудь. «Суровые штрафы» вовсе не кажутся приятными, поэтому «я думаю, что это правильно» немного отрывочно… авторитетный ответ был бы лучше.

Спасибо.

Answer 1

[ ОБНОВЛЕНИЕ : использование HTTPS теперь освобождено от ERN по состоянию на конец сентября 2016 года] https://stackoverflow.com/a/40919650/4976373

---

К сожалению, я считаю, что ваше приложение «содержит шифрование» с точки зрения BIS США, даже если вы просто используете HTTPS (если ваше приложение не является исключением, включенным в вопрос 2).

Цитата из FAQ по iTunes Connect :

" Как узнать, могу ли я следовать процессу регистрации и отчетности экспортеров (ERN)?

Если ваше приложение использует , осуществляет доступ, реализует или включает в себя стандартные алгоритмы шифрования для целей, отличных от перечисленных в качестве исключений в вопросе 2, вам необходимо подать на получение разрешения ERN . Примеры стандартного шифрования: AES, SSL, https . Это разрешение требует, чтобы вы представляли ежегодный отчет в два правительственных учреждения США с информацией о вашем приложении каждый январь. «

" 2-й вопрос: соответствует ли ваш продукт любым исключениям, предусмотренным в категории 5, часть 2?

Существует несколько исключений, доступных в правилах экспорта США по категории 5, часть 2 (правила информационной безопасности и шифрования), для приложений и программного обеспечения, которые используют, осуществляют доступ, внедряют или включают шифрование.

Все обязательства, связанные с неверным толкованием правил экспорта или неточным заявлением об освобождении, несут владельцы и разработчики приложений.

Вы можете ответить «ДА» на вопрос, если вы удовлетворяете любому из следующих критериев:

(i) если вы определите, что ваше приложение не относится к категории 5, часть 2 EAR, на основании рекомендаций, предоставленных BIS по вопрос шифрования . С Заявлением о взаимопонимании по медицинскому оборудованию в Дополнении № 3 к Части 774 EAR можно ознакомиться на сайте Электронного кодекса Федерального регламента. Пожалуйста, посетите Вопрос № 15 в разделе часто задаваемых вопросов на странице шифрования для образцов, перечисленных BIS, которые могут претендовать на исключения из Примечания 4.

(ii) ваше приложение использует, осуществляет доступ, внедряет или включает шифрование только для аутентификации

(iii) ваше приложение использует, осуществляет доступ, реализует или включает шифрование с длиной ключа не более 56 бит симметричной, 512 бит асимметричной и / или 112 бит эллиптической кривой

(iv) ваше приложение является продуктом массового рынка с длиной ключа, не превышающей 64-битную симметричную, или, если нет симметричных алгоритмов, не превышающей 768-битную асимметричную и / или 128-битную эллиптическую кривую.

Пожалуйста, просмотрите примечание 3 в категории 5, часть 2, чтобы понять критерии определения массового рынка.

(v) ваше приложение специально разработано и ограничено для банковского использования или «денежных транзакций». Термин «денежные транзакции» включает в себя сбор и расчет тарифов или функции кредита.

(vi) исходный код вашего приложения является «общедоступным», ваше приложение бесплатно распространено среди широкой публики, и вы выполнили требования к уведомлениям, предусмотренные в 740.13. (E).

Посетите веб-страницу encryption на случай, если вам понадобится дополнительная помощь в определении того, соответствует ли ваше приложение каким-либо исключениям.

Если вы считаете, что ваше приложение имеет право на исключение, пожалуйста, ответьте «ДА» на вопрос. "

Answer 2

Нетрудно получить одобрение для вашего приложения надлежащим образом. SSL (HTTPS / TLS) по-прежнему является шифрованием, и, если вы используете его только для аутентификации, вы должны получить соответствующее одобрение. Я только что получил одобрение, и мое приложение сейчас в магазине для чего-то, что использует SSL для шифрования трафика данных (а не только аутентификацию).

Вот запись в блоге, которую я сделал, чтобы другие могли сделать это правильно.

ограничения на экспорт яблок itunes

Answer 3

Я задал Apple тот же вопрос и получил ответ (от старшего специалиста по соблюдению правил экспорта), что «отправка информации через https заставляет данные проходить через защищенный канал из SSL, поэтому они попадают под действие правительства США». требование о рассмотрении и утверждении CCATS ". Обратите внимание, что не имеет значения, что Apple уже сделала это для своей реализации SSL, но для правительства, если вы используете шифрование, такое же (для них), как вы бы его кодировали сами. Я также обновил наш блог (http://blog.theanimail.com), поскольку Тим связался с ним обновлениями и подробностями о процессе. Надеюсь, это поможет.

Answer 4

Если вы используете платформу безопасности или библиотеки CommonCrypto, предоставляемые Apple, вы включаете криптографию в свое приложение, и вы должны ответить «да» - просто потому, что библиотеки, предоставленные Apple, не снимают вас с крючка.

Что касается первоначального вопроса, последние сообщения на форумах Apple Development Forum заставляют меня поверить, что вам нужно ответить «да», даже если вы используете только SSL.

Answer 5

По состоянию на 20 сентября 2016 г. регистрация больше не требуется для приложений, использующих https (или, возможно, другие формы шифрования): https://web.archive.org/web/20170312060607/https://www.bis.doc.gov/index.php/informationsecurity2016-updates

Фактически, в SNAP-R вы больше не можете выбирать «регистрацию шифрования»:

В частности, они отмечают:

Регистрация шифрования больше не требуется - часть информации с регистрации теперь переходит в Supp. № 8 до части 742 отчет.

Это означает, что вам может потребоваться отправить годовой отчет в BIS, но вам не нужно регистрироваться, и вы можете указать при отправке приложения, что оно освобождается от ответственности.

Answer 6

Все это может быть очень запутанным для разработчика приложений, который просто использует TLS для подключения к своим собственным веб-серверам. Поскольку ATS (App Transport Security) становится все более важным, и нам предлагается преобразовать все в https - я думаю, что больше разработчиков столкнется с этой проблемой.

Мое приложение просто обменивается данными между нашим сервером и пользователем по протоколу https. Видеть слова «ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ» в заявлении об отказе от ответственности немного страшно, поэтому я позвонил в офис правительства США в их офисе и поговорил с представителем Бюро промышленности и безопасности (BIS) http://www.bis.doc.gov/index.php/about-bis/contact-bis.

Представитель спросил меня о моем приложении, и, поскольку оно прошло «тест основной функции» в том смысле, что оно не имеет ничего общего с безопасностью / связью и просто использует https в качестве канала для подключения данных моих клиентов к нашим серверам - оно упало в категория EAR99, что означает, что она не может получить разрешение правительства (см. https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn)

Надеюсь, это поможет другим разработчикам приложений.

Answer 7

Краткий ответ: Да, но вам не нужно ничего делать

Я искал в Интернете это несколько часов. На самом деле это довольно просто, и вы можете проверить это в itunes connect:

1. Все, что вам нужно сделать

Если ваше приложение использует только HTTPS или использует шифрование только для аутентификации, токенов и т. Д., ничего делать не нужно, просто включите

<key>ITSAppUsesNonExemptEncryption</key><false/>

в вашем Info.plist и вы сделали .

2. Проверка

Вы можете проверить это в itunes connect.

• выберите приложение
• выбранные функции
• выбрал шифрование
• нажмите "+"
• следовать диалогу
• для https или аутентификации ответ: да и да

В любом случае вы, конечно, должны внимательно прочитать через диалог.

---

Очень полезная статья можно найти здесь:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Answer 8

Да, в соответствии с экранами Информации о соответствии экспорта экспорта iTunes Connect, если вы используете встроенное шифрование iOS или MacOS (связка ключей, https), вы используете шифрование для целей экспортных правил правительства США. Имеете ли вы право на освобождение от соблюдения экспортных требований, зависит от того, что делает ваше приложение и как оно использует это шифрование. Прикрепленные изображения показывают экраны соответствия экспорту iTunes Connect, чтобы помочь вам определить свои обязательства по отчетам об экспорте. В частности, говорится:

Если вы пользуетесь ATS или звоните в HTTPS, учтите, что вам необходимо представить отчет о самостоятельной классификации на конец года правительству США. Узнать больше

Answer 9

@ hisnameisjimmy правильно: вы заметите (по крайней мере, на сегодня, 1 декабря 2016 г.), когда вы отправите свое приложение на проверку и перейдете к пошаговому руководству по экспортному соответствию, вы увидите, что в меню теперь указано, что HTTPS является освобождаемая версия шифрования (если вы используете ее для каждого вызова):

Answer 10

Мне очень помог этот FAQ от Бюро промышленности и безопасности США.

шифрование

Важным вопросом является вопрос 15 (что такое примечание 4?):

...

Примеры элементов, которые исключены из категории 5, часть 2 примечанием 4, включают, но не ограничиваются следующим:

Потребительские приложения. Некоторые примеры:

пиратство и предотвращение краж программного обеспечения или музыки; музыка, фильмы, мелодии / музыка, цифровые фотографии - плееры, рекордеры и организаторы games / gaming - устройства, исполняемое программное обеспечение, интерфейсы HDMI и других компонентов, средства разработки ЖК-телевизор, Blu-ray / DVD, видео по запросу (VoD), кинотеатр, цифровые видеомагнитофоны (DVR) / персональные видеомагнитофоны (PVR) - устройства, интерактивные мультимедийные руководства, целостность и защита коммерческого контента, HDMI и другие компоненты интерфейсы (не видеоконференции); принтеры, копиры, сканеры, цифровые камеры, интернет-камеры - включая детали и узлы бытовая техника и бытовая техника