Czy moja aplikacja "zawiera szyfrowanie"?

Question

Czy moja aplikacja "zawiera szyfrowanie"?

Po raz pierwszy wgrywam plik binarny. iTunes Connect zapytał mnie:

Przepisy eksportowe wymagają, aby produkty zawierające szyfrowanie były odpowiednio dopuszczone do eksportu.
Nieprzestrzeganie przepisów może skutkować surowymi karami.
Aby uzyskać więcej informacji, kliknij tutaj.
Czy twój produkt zawiera szyfrowanie?

Używam https://, ale tylko przez NSURLConnection i UIWebView.

Czytam, że moja aplikacja nie "zawiera szyfrowanie", ale zastanawiam się, czy to jest napisane wszędzie. "Surowe kary "wcale nie brzmi przyjemnie, więc" myślę, że to prawda " jest trochę szkicowe... autorytatywna odpowiedź byłaby lepsza.

Dzięki.

286

iphone app-store encryption

Author: Steven Fisher, 2010-01-25

Source

12 answers

To nie jest trudne, aby uzyskać zatwierdzenie aplikacji w odpowiedni sposób. SSL (HTTPS / TLS)nadal jest szyfrowaniem i chyba że używasz go tylko do uwierzytelniania, powinieneś uzyskać odpowiednią zgodę. Właśnie otrzymałem zgodę ,a moja aplikacja jest teraz w sklepie dla czegoś, co używa SSL do szyfrowania ruchu danych (nie tylko uwierzytelniania).

Oto wpis na blogu, który zrobiłem, aby inni mogli to zrobić we właściwy sposób.

Ograniczenia eksportu Apple itunes

86

Author: Tige Phillips,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2013-06-18 12:21:50

Zadałem Apple to samo pytanie i otrzymałem odpowiedź (od specjalisty ds. zgodności eksportu), że " wysyłanie informacji przez https zmusza dane do przejścia przez bezpieczny kanał z SSL, dlatego podlega wymogowi rządu USA dla przeglądu i zatwierdzenia CCATS."Zauważ, że nie ma znaczenia, że Apple już to zrobił dla swojej implementacji SSL, ale dla rządu, jeśli używasz szyfrowania, które jest takie samo (dla nich), jak sam byś go zakodował. I zaktualizowaliśmy również nasz blog ( http://blog.theanimail.com ), ponieważ Tim powiązał go z aktualizacjami i szczegółami procesu. Mam nadzieję, że to pomoże.

44

Author: der_flop,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2010-02-26 11:47:29

Jeśli używasz frameworku bezpieczeństwa lub bibliotek CommonCrypto dostarczonych przez Apple, dołączasz crypto do swojej aplikacji i musisz odpowiedzieć tak - więc po prostu dlatego, że biblioteki zostały dostarczone przez Apple nie zdejmuje cię z haka.

Jeśli chodzi o oryginalne pytanie, ostatnie posty na forach programistycznych Apple skłaniają mnie do przekonania, że musisz odpowiedzieć tak, nawet jeśli używasz tylko SSL.

36

Author: Tim,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2014-05-22 17:38:08

Od 20 września 2016 r. rejestracja nie jest już wymagana dla aplikacji, które używają https (lub być może innych form szyfrowania): https://www.bis.doc.gov/index.php/informationsecurity2016-updates

W rzeczywistości na SNAP-R nie można już wybrać "Rejestracja szyfrowania":

W szczególności zwracają uwagę:

Rejestracja szyfrowania nie jest już wymagana-niektóre informacje z rejestracji teraz idzie do Supp. Nr 8 do części 742 raport.

Oznacza to, że być może będziesz musiał wysłać raport roczny do BIS, ale nie musisz się rejestrować i możesz zauważyć, przesyłając swoją aplikację, że jest ona zwolniona.

23

Author: hisnameisjimmy,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2016-11-02 23:55:15

Wszystko to może być bardzo mylące dla programisty aplikacji, który po prostu używa TLS do łączenia się z własnymi serwerami sieciowymi. Ponieważ ATS (App Transport Security) staje się coraz ważniejsza i jesteśmy zachęcani do konwersji wszystkiego na https - myślę, że więcej programistów będzie napotkać ten problem.

Moja aplikacja po prostu wymienia dane między naszym serwerem a użytkownikiem za pomocą protokołu https. Zobaczenie słowa "używa szyfrowania" w zastrzeżeniach jest trochę przerażające, więc dałem rządowi USA Biuro zadzwoń do swojego biura i porozmawiaj z przedstawicielem biura przemysłu i ochrony (BIS) http://www.bis.doc.gov/index.php/about-bis/contact-bis .

Przedstawiciel zapytał mnie o moją aplikację, a ponieważ zdała "podstawowy test funkcji", ponieważ nie miała nic wspólnego z bezpieczeństwem/komunikacją i po prostu używa https jako kanału do łączenia danych moich klientów z naszymi serwerami - spadła do kategorii EAR99, co oznacza, że jest zwolniona z otrzymywania rządowych informacji pozwolenie (patrz https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn)

Mam nadzieję, że pomoże to innym twórcom aplikacji.

21

Author: Ed Trujillo,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2016-10-23 11:25:18

Krótka odpowiedź: Tak, ale nie musisz nic robić

Szukałem tego w sieci przez kilka godzin. W rzeczywistości jest to dość proste i możesz to sprawdzić w iTunes connect:

1. All you have to do

Jeśli Twoja aplikacja używa tylko HTTPS lub używa szyfrowania tylko do uwierzytelniania, tokenów itp., nic nie musisz robić, wystarczy dołączyć

<key>ITSAppUsesNonExemptEncryption</key><false/>

W Twoich informacjach.plist i jesteś zrobione .

2. Weryfikacja

Możesz zweryfikować to w itunes connect.

wybierz swoją aplikację
wybierz funkcje
wybierz Szyfrowanie
kliknij "+"
follow the dialog
dla https lub uwierzytelniania odpowiedź brzmi yes i yes

W każdym razie należy oczywiście przeczytać siebie uważnie przez okno dialogowe.

Bardzo pomocny artykuł można znaleźć tutaj:

Https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

18

Author: Simon C.,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-10-11 14:59:03

@hisnameisjimmy ma rację :zauważysz (przynajmniej na dzień dzisiejszy, 1 grudnia 2016), gdy przejdziesz do przesłania aplikacji do przeglądu i dotrzesz do przejścia przez przegląd zgodności eksportu, zauważysz, że menu teraz stwierdza, że HTTPS jest zwolnioną wersją szyfrowania (jeśli używasz jej do każdego połączenia):

16

Author: Jake Nelken,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2016-12-01 20:20:15

Tak, zgodnie z ekranami iTunes Connect Export Compliance, jeśli używasz wbudowanego szyfrowania iOS lub MacOS (pęk kluczy, https), używasz szyfrowania do celów rządowych przepisów eksportowych. To, czy kwalifikujesz się do zwolnienia z obowiązku zgodności eksportu, zależy od tego, co aplikacja robi i jak wykorzystuje to szyfrowanie. Załączone obrazy pokazują ekrany zgodności eksportu iTunes Connect, które pomagają określić obowiązki raportowania eksportu. W szczególności stwierdza:

Jeśli korzystasz z ATS lub dzwonisz do HTTPS, pamiętaj, że jesteś zobowiązany do przedłożenia rządowi USA raportu samookreślenia na koniec roku. Dowiedz się więcej

14

Author: dferrero,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-07-17 19:05:26

Znalazłem ten FAQ z US Bureau of Industry and Security bardzo pomocne.

Szyfrowanie

Pytanie 15 (Co To jest Uwaga 4?) jest ważnym punktem:

...

Przykłady pozycji wyłączonych z kategorii 5, Część 2 uwagą 4 obejmują, ale nie ograniczają się do:

Aplikacje konsumenckie. Niektóre przykłady:

Piractwo i zapobieganie kradzieży oprogramowania lub muzyki; muzyka, filmy, melodie/muzyka, zdjęcia cyfrowe - Odtwarzacze, rejestratory i organizery gry / gaming-urządzenia, oprogramowanie uruchomieniowe, interfejsy HDMI i inne komponenty, narzędzia programistyczne Telewizor LCD, Blu-ray / DVD, wideo na żądanie (VOD), kino, cyfrowe rejestratory Wideo (DVR) / osobiste rejestratory wideo – PVR) - urządzenia, Przewodniki multimedialne on-line, integralność i Ochrona treści komercyjnych, interfejsy HDMI i inne komponenty (nie wideokonferencje); drukarki, kopiarki, skanery, aparaty cyfrowe, kamery internetowe - w tym części i podzespoły AGD i RTV

7

Author: user2089118,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2015-12-15 20:50:10

Niektóre z tych Odpowiedzi są bardzo przydatne, ale chciałem dodać ten adres URL dla kompletności, ponieważ prowadzi cię przez pytania:

Https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

2

Author: mtpultz,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2018-03-05 06:07:30

Jeśli nie używasz jawnie biblioteki szyfrowania lub nie nagrywasz własnego kodu szyfrującego, myślę, że odpowiedź brzmi "nie"

0

Author: Jason,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2010-01-25 19:50:59

score 169 · Accepted Answer

[Aktualizacja : Używanie HTTPS jest teraz zwolnione z ERN od końca września 2016] https://stackoverflow.com/a/40919650/4976373

Niestety uważam, że Twoja aplikacja "zawiera szyfrowanie" w odniesieniu do nas BIS, nawet jeśli po prostu używasz HTTPS(jeśli Twoja aplikacja nie jest wyjątkiem zawartym w pytaniu 2).

Cytat z FAQ na iTunes Connect :

"Skąd mam wiedzieć, czy mogę śledzić rejestrację eksportera i raportowanie (ERN) proces?

Jeśli Twoja aplikacja używa , uzyskuje dostęp, implementuje lub zawiera standardowe algorytmy szyfrowania do celów innych niż wymienione jako wyłączenia w pytaniu 2, musisz złożyć wniosek o autoryzację ERN . Przykładami standardowego szyfrowania są: AES, SSL, https . To upoważnienie wymaga, aby co roku w styczniu przesyłać roczne sprawozdanie dwóm agencjom rządowym Stanów Zjednoczonych z informacjami o swojej aplikacji. "

"2. pytanie: czy twój produkt kwalifikuje się do jakichkolwiek zwolnień przewidzianych w kategorii 5 część 2?

Istnieje kilka wyjątków dostępnych w amerykańskich przepisach eksportowych w kategorii 5 Część 2 (przepisy dotyczące bezpieczeństwa informacji i szyfrowania) dla aplikacji i oprogramowania, które używają, uzyskują dostęp, wdrażają lub zawierają szyfrowanie.

Wszystkie zobowiązania związane z błędną interpretacją przepisów eksportowych lub niewłaściwym powołaniem się na zwolnienie ponoszą właściciele i twórcy aplikacji.

Ty może odpowiedzieć " tak " na pytanie, jeśli spełniasz którekolwiek z następujących kryteriów:

(i) jeśli stwierdzisz, że Twoja aplikacja nie jest sklasyfikowana w kategorii 5, Część 2 EAR na podstawie wskazówek dostarczonych przez BIS na pytanie szyfrujące . Oświadczenie o zrozumieniu sprzętu medycznego w dodatku nr 3 do części 774 ucha można uzyskać na stronie Electronic Code of Federal Regulations. Odwiedź pytanie #15 w sekcji FAQ na stronie szyfrowanie dla przykładowych artykułów BIS wymienił, że może ubiegać się o zwolnienie z uwagi 4.

(ii) Twoja aplikacja używa, uzyskuje dostęp, implementuje lub zawiera szyfrowanie tylko do uwierzytelniania

(iii) Twoja aplikacja wykorzystuje, uzyskuje dostęp, implementuje lub zawiera szyfrowanie o długości klucza nieprzekraczającej 56 bitów symetrycznych, 512 bitów asymetrycznych i / lub 112 bitowych krzywych eliptycznych

(iv) Twoja aplikacja jest produktem na rynku masowym o długościach klucza nie przekraczających 64 bitów symetrycznych, lub jeśli nie ma algorytmów symetrycznych, nie przekraczających 768 bitów asymetrycznych i / lub 128-bitowa krzywa eliptyczna.

Proszę zapoznać się z uwagą 3 w kategorii 5 Część 2, aby zrozumieć kryteria definicji rynku masowego.

(v) Twoja aplikacja jest specjalnie zaprojektowana i ograniczona do celów bankowych lub transakcji pieniężnych."Termin" transakcje pieniężne " obejmuje pobieranie i rozliczanie opłat lub funkcji kredytowych.

(vi) kod źródłowy aplikacji jest "publicznie dostępny", aplikacja jest rozpowszechniana bezpłatnie dla ogółu społeczeństwa, a użytkownik spełnił powiadomienie wymagania określone w pkt 740.13.e).

Odwiedź stronę internetową encryption w przypadku, gdy potrzebujesz dalszej pomocy w ustaleniu, czy Twoja aplikacja kwalifikuje się do jakichkolwiek WYJĄTKÓW.

Jeśli uważasz, że Twoja aplikacja kwalifikuje się do zwolnienia, odpowiedz "tak" na pytanie."