Android-приложение с шифрованием, регулируемым EAR

Question

Я занимаюсь разработкой приложения для Android. Как совершенно вторичная функция, она позволяет пользователям шифровать некоторые строки.

Я знаю, что AES (256 бит) гораздо рекомендуется использовать, чем DES (56 бит). Однако если я использую AES-256 и опубликую свое приложение в Android Market, будет ли мое приложение регулироваться Правилами экспортного администрирования (EAR)?

http://www.bis.doc.gov/encryption/

Я читал, что он регулирует программное обеспечение, которое шифрует ключом длиной более 56 бит.

Мое приложение не может управлять сверхсекретной информацией. Это позволит пользователям отправлять друг другу зашифрованные сообщения. Он предназначен почти как игра, хотя некоторые пользователи могут использовать его для конфиденциальной информации.

Итак, вы бы порекомендовали мне использовать AES-256 или DES-56? Если кто-то может подтвердить, что у меня не будет проблем с EAR при использовании AES-256, я обязательно воспользуюсь этим алгоритмом.

Я не гражданин США и не живу в США. Но я читал в Android Market, что, поскольку я опубликую свое приложение на серверах Google, мое приложение должно соответствовать американским законам об экспорте.

Answer 1

На странице справки Google: «В соответствии с законами США об экспорте приложениям Android Market может быть запрещено передавать их в страны, на которые распространяется эмбарго. Соответственно, Google блокирует загрузку в эти страны».

Несмотря на то, что может быть трудно строго соблюдать требования, вы можете продемонстрировать намерение соблюдать закон по этому вопросу, заставив пользователя принять лицензионное соглашение до первого запуска приложения. В рамках лицензионного соглашения вы должны потребовать от пользователя принять, что он не находится ни в одной стране, которой США ограничивают экспорт криптографии. Если вас когда-либо привлекли к суду (что смешно маловероятно), вы можете связать их с этим вопросом и показать свое лицензионное соглашение, чтобы доказать, что вы приложили разумные усилия для соблюдения.

В качестве небольшого примечания, имейте в виду, что сам телефон Android содержит реализации многих криптографических алгоритмов (для SSL требуется целый ряд из них), и поэтому в этих странах, вероятно, будет очень мало пользователей. .

Answer 2

Согласно http://www.bis.doc.gov/encryption/question2.htm

Могу ли я самостоятельно классифицировать свой элемент шифрования и экспортировать его БЕЗ регистрации шифрования?

Блок-схема 2 предоставляет обзор того, как определить,продукт может быть классифицирован и экспортирован без регистрации с шифрованием.

Если у вас есть продукт, который контролируется по категории 5, часть 2, некоторые продукты и транзакции не требуют регистрации, классификации или пост-шифрования.экспортная отчетность.Сюда входят:

• Продукты, классифицированные под 5x992, в том числе:

  • Продукты с длиной ключа не более 56 бит симметричной, 512 бит асимметричной и / или112-битная эллиптическая кривая.

  • Продукты массового рынка с длиной ключа, не превышающей 64-битную симметричную, или без симметричных алгоритмов, не превышающую 768-битную асимметричную и / или 128-битную эллиптическую кривую.

  • Некоторые продукты массового рынка, перечисленные в 742.15 (b) (4)

  • Продукты с ограниченными криптографическими функциями, как описано в примечании к 5A002.

  • Продукты, использующие шифрование только для аутентификации.

• Некоторые продукты / транзакции 5x002, в том числе:

  • Некоторые продукты / транзакции имеют право на исключение лицензии ENC без какой-либо регистрации, классификации или отчетности, включая:

    • Экспорт и реэкспорт для конечных пользователей частного сектора'как описано в 740.17 (a) (1);

    • Экспортирует и реэкспортирует в «Дочернюю компанию США», как описано в 740.17 (a) (2).

    • Некоторые продукты, перечисленные в 740.17 (b) (4):

  • Некоторые продукты, для которых требуется только уведомление перед экспортом:

    • «Публично доступное» программное обеспечение для шифрования и исходный код при исключении лицензии TSU (740.13);

    • Бета-тестирование программного обеспечения при исключении лицензии TMP(740,9).