Я считаю, что нашел ответ, который искал.
Отказ от ответственности - Я НЕ юрист (как и вы, ребята) и не буду нести ответственность за этот ответ, но я думаю, что мои выводы могут / принесут пользу сообществу.
Квалифицируется ли мое приложение как элемент массового рынка?
Краткий ответ - я считаю, что все яблочные приложения будут рассматриваться как массовыеРыночные предметы, но в этом сложно быть уверенным.Тем не менее, похоже, что даже не товары массового рынка могут использовать алгоритм симметричного ключа с 56-битным ключом или менее (как вы прочтете ниже).Примечание DES - это алгоритм симметричного ключа, использующий 56-битный ключ.
Примечание по криптографии (примечание 3) категории 5, часть 2 («Информационная безопасность»), из списка управления торговлей
Примечание 3: Криптография Примечание: ECCN 5A002 и 5D002 не управляют элементами, которые удовлетворяют всем следующим требованиям:
a. Как правило, доступны для широкой публики путем продажи без ограничений со склада в точках розничной продажи с помощью любой из следующих операций:
- внебиржевых транзакций;
- почтовый переводтранзакции;
- Электронные транзакции;или
- транзакции телефонного звонка;
b. Функциональность криптографии не может быть легко изменена пользователем;
c. Предназначен для установки пользователем без дальнейшей существенной поддержки со стороны поставщика;и
d. Когда необходимо, детали предметов доступны и будут предоставлены, по запросу, соответствующему органу в стране экспортера, чтобы удостовериться в соблюдении условий, описанных в пунктах.(a) - (c) этой заметки
Хорошо ... Итак, если это товар массового рынка, каковы ограничения?
Вы должны подать запрос на классификацию вправительство, если (см. жирный шрифт):
Примечание к примечанию 3 (примечание по криптографии): Вы должны подать запрос на классификацию или регистрацию шифрования в BIS для массового рынка продуктов шифрования и соответствующих программдля примечания по криптографии с использованием ключа длиной более 64 бит для симметричного алгоритма (или для товаров и программного обеспечения, не реализующего какие-либо симметричные алгоритмы, с использованием ключа длиной более 768 бит для асимметричных алгоритмов илибольше 128 битов для алгоритмов эллиптической кривой ) в соответствии с требованиемПункты § 742.15 (b) EAR для освобождения от элементов управления «EI» и «NS» ECCN 5A002 или 5D002.
Итак, исходя из того, что МОЖЕТ и МОЖЕТ 'T Я использую?
Отказ от ответственности :: Это мое толкование вышеизложенного - опять я не юрист
- AES 128 нельзя использовать без отправки запроса, поскольку он использует 128-битный ключ.
- DES можно использовать , поскольку он использует 56-битный ключ.Фактически, DES можно использовать, даже не классифицируя как элемент массового рынка.
- CAST можно использовать , поскольку он использует ключ в диапазоне 40-128 бит (вам придется использовать ключ размером 64 бита или меньше).
- 3DES нельзя использовать .Первоначальный ключ шифрования в 3DES является 64-битным, но, насколько я понимаю, он имеет 3 ключа ... Так что я не уверен, что это пройдет, и вам, вероятно, придется подать запрос.Википедия говорит, что она «обозначена NIST, чтобы иметь только 80 бит безопасности», что заставляет меня думать, что она не может быть использована.
- RC4 Я полагаю, вы можете использовать это без отправки запроса при условии, что ключ переменного размера составляет 64 бита или менее .
Disclaimer :: Я не мирянин, это моя интерпретация. Я не буду нести ответственность.
Вы можете использовать алгоритм симметричного ключа (например, DES) с 56-битным ключом (или менее).
Кроме того, продукты Mass Market могут использовать алгоритмы симметричного ключа с 64-битным ключом (или менее).
Важные разделы выделены жирным шрифтом.
Блок-схема 2 предоставляет обзор того, как определить,
продукт может быть классифицирован и экспортирован без шифрования
регистрация.
Если у вас есть продукт, который контролируется по категории 5, часть 2,
некоторые продукты и транзакции не требуют шифрования
регистрация, классификация или постэкспортная отчетность. Это включает в себя:
- Продукты, классифицированные под 5x992, в том числе:
- Продукты с длиной ключа не более 56 бит симметричной, 512 бит асимметричной и / или
Эллиптическая кривая 112 бит.
- Продукты массового рынка с длиной ключа не
более 64 бит симметрично, или если нет симметричных алгоритмов, не
превышение 768 бит асимметричной и / или 128 бит эллиптической кривой.
- Некоторые
продукты массового рынка, перечисленные в 742,15 (б) (4)
- Продукты с ограниченным
криптографическая функциональность, описанная в примечании к 5А002.
- Продукты, использующие шифрование только для аутентификации.
- Некоторые продукты / транзакции 5x002, в том числе:
- Некоторые продукты / транзакции имеют право на исключение лицензии ENC без
любая регистрация, классификация или отчетность, в том числе:
- Экспорт и
реэкспорт для «конечных пользователей частного сектора», как описано в 740.17 (a) (1);
- Экспортирует и реэкспортирует в «США». Вспомогательный », как описано в
740,17 (а) (2).
- Некоторые продукты, перечисленные в 740.17 (b) (4):
- Некоторые продукты, которые требуют только уведомления перед экспортом:
- «Публично
доступно »программное обеспечение для шифрования и исходный код за исключением лицензии
ТГУ (740,13);
- Бета-тестирование программного обеспечения под лицензией TMP (740.9).
Кроме того, если вы полагаетесь на собственную классификацию производителя
(в соответствии с регистрацией шифрования производителя) или CCATS для
элемент шифрования, подходящий для экспорта или реэкспорта по лицензии
За исключением ENC или массового рынка, вы не обязаны подавать
регистрация шифрования, запрос классификации или самостоятельная классификация
отчет. Вы все еще обязаны соблюдать полугодовые продажи
требования к отчетности согласно пункту 740.17 (e).