Я работал над отправкой своего приложения и отправился в Testflight на Spotify Connect, где сообщалось «отсутствует информация о соответствии».После того, как я понял, о чем идет речь, и прочитал о EAR, мне стало интересно, подходит ли мне использование https с API Spotify в списке исключений в категории 5, часть 2.
Я рассмотрел другие вопросы переполнения стека, касающиеся этоготема и один полезный ответ предоставили этот список исключений из категории 5 части 2 юридического документа:
(i) если вы определите, что ваше приложение не относится к категории 5, часть 2EAR на основе руководства, предоставленного BIS по вопросу шифрования.С Заявлением о взаимопонимании по медицинскому оборудованию в Дополнении № 3 к Части 774 EAR можно ознакомиться на сайте Электронного кодекса Федерального регламента.Пожалуйста, посетите Вопрос № 15 в разделе часто задаваемых вопросов на странице шифрования для образцов элементов, перечисленных BIS, которые могут претендовать на исключения из Примечания 4.
(ii) ваше приложение использует, осуществляет доступ, внедряет или включает шифрование только для аутентификации
(iii) ваше приложение использует, осуществляет доступ, внедряет или включает шифрование с длиной ключа, не превышающей 56 бит симметричной, 512 бит асимметричной и / или 112 бит эллиптической кривой
(iv) ваше приложение являетсяпродукт массового рынка с длиной ключа не более 64-битной симметричной или, если нет симметричных алгоритмов, не более 768-битной асимметричной и / или 128-битной эллиптической кривой.Пожалуйста, ознакомьтесь с примечанием 3 в категории 5, часть 2, чтобы понять критерии определения массового рынка.
(v) ваше приложение специально разработано и ограничено для банковского использования или «денежных транзакций».Термин «денежные операции» включает сбор и оплату тарифов или функции кредита.
(vi) исходный код вашего приложения «общедоступен», ваше приложение распространяется бесплатно для широкой публики, иВы выполнили требования к уведомлению, указанные в 740.13. (e).
Судя по API Spotify, я считаю, что он соответствует только пункту II при запросе токена с токеном обновления при выполнении чего-либо, но после этого,между Spotify и пользователем больше не происходит аутентификация, но информация все еще зашифрована с помощью https.Кроме того, API не вписывается в категорию i или v, и я не буду делать исходный код моего приложения общедоступным, как указано в vi.
С точки зрения длины ключа, я не понимаю,разница между категориями iii и iv и разница между асимметричной и эллиптической (у меня практически нет опыта работы с шифрованием и интернетом), но ключ определенно длиннее 56 бит, но не длиннее 512 бит.
Еще раз, у меня практически нет опыта в такого рода областях, и я хочу быть в безопасности в отношении этого закона, так как его нарушение может привести к "суровым наказаниям".