Мое приложение "содержит шифрование"?

Я загружаю двоичный файл в первый раз. iTunes Connect спросил меня:

Законы об экспорте требуют, чтобы продукты, содержащие шифрование, были надлежащим образом разрешены для экспорта.
Несоблюдение может привести к серьезным санкциям.
Для получения дополнительной информации нажмите здесь. Имеется ли в вашем продукте шифрование?

Я использую https://, но только через NSURLConnection и UIWebView.

Мое прочтение этого - то, что мое приложение не "содержит шифрование", но мне интересно, если это прописано где угодно. "Тяжелые штрафы" звучат не совсем приятными, поэтому "я думаю, что правильно" немного отрывочно... авторитетный ответ будет лучше.

Спасибо.

ОТВЕТЫ

Ответ 1

[ ОБНОВЛЕНИЕ: использование HTTPS теперь освобождено от ERN по состоянию на конец сентября 2016 года] fooobar.com/questions/27819/...

К сожалению, я считаю, что ваше приложение "содержит шифрование" с точки зрения US BIS, даже если вы просто используете HTTPS (если ваше приложение не является исключением, включенным в вопрос 2).

Цитата из Часто задаваемые вопросы по iTunes Connect:

" Как узнать, могу ли я следить за процессом регистрации и отчетности экспортеров (ERN)?

Если ваше приложение использует, то он обращается, реализует или использует стандартные алгоритмы шифрования для целей, отличных от тех, которые перечислены как исключения по второму вопросу, вам необходимо отправить на авторизацию ERN > . Примеры стандартного шифрования: AES, SSL, https. Это разрешение требует, чтобы вы представляли ежегодный отчет двум государственным агентствам США с информацией о вашем приложении каждый январь. "

" Второй вопрос: соответствует ли ваш продукт любым исключениям, предусмотренным в разделе 5 части 2?

Существует несколько исключений, доступных в экспортных правилах США в соответствии со Статьей 5 раздела 2 (Правила информационной безопасности и шифрования) для приложений и программного обеспечения, которые используют, получают доступ, внедряют или включают шифрование.

Все обязательства, связанные с неправильным толкованием экспортных правил или несоблюдением освобождения, несут владельцы и разработчики приложений.

Вы можете ответить "ДА" на вопрос, если вы соответствуете одному из следующих критериев:

(i), если вы определите, что ваше приложение не относится к категории 5, часть 2 EAR, на основе рекомендаций, предоставленных BIS, в вопрос шифрования. Заявление о взаимопонимании для медицинского оборудования в Дополнении № 3 к части 774 EAR можно получить на сайте Electronic Code of Federal Regulations. Пожалуйста, посетите вопрос № 15 в разделе часто задаваемых вопросов на странице шифрования для примеров, которые перечислены в BIS, которые могут требовать освобождения от примечаний 4.

(ii) ваше приложение использует, получает доступ, реализует или включает шифрование только для аутентификации

(iii) ваше приложение использует, обращается, реализует или включает шифрование с длиной ключа, не превышающей 56 бит симметричной, 512 бит асимметричной и/или 112-битной эллиптической кривой

(iv) ваше приложение представляет собой продукт массового рынка с длиной ключа, не превышающей 64 бита, симметричной или без симметричных алгоритмов, не превышающей 768 бит асимметричной и/или 128-битной эллиптической кривой.

Прочтите примечание 3 в категории 5, часть 2, чтобы понять критерии определения массового рынка.

(v) ваше приложение специально разработано и ограничено для банковского использования или "денежных транзакций". Термин "денежные операции" включает в себя сбор и расчет тарифов или кредитных функций.

(vi) исходный код вашего приложения является "общедоступным", ваше приложение распространяется бесплатно по всему миру, и вы выполнили требования к уведомлению, предоставленные в соответствии с 740.13. (e).

Посетите веб-страницу encryption, если вам нужна дополнительная помощь в определении того, подходит ли ваше приложение для любых изъятий.

Если вы считаете, что ваше приложение имеет право на освобождение, ответьте "ДА" на вопрос.

Ответ 2

Не сложно получить одобрение для вашего приложения надлежащим образом. SSL (HTTPS/TLS) по-прежнему шифруется, и если вы используете его только для аутентификации, тогда вы должны получить надлежащее одобрение. Я только получил одобрение, и мое приложение теперь находится в магазине для чего-то, что использует SSL для шифрования трафика данных (а не только для проверки подлинности).

Вот запись в блоге, которую я сделал, чтобы другие могли сделать это надлежащим образом.

ограничения экспорта Apple itunes

Ответ 3

Я задал Apple тот же вопрос и получил ответ (от специалиста по совместимости с Sr. Export), что "отправка информации по https заставляет данные проходить через безопасный канал с SSL, поэтому он подпадает под правительство США требование о пересмотре и утверждении CCATS". Обратите внимание, что не имеет значения, что Apple уже сделала это для своей реализации SSL, но для правительства, если вы используете шифрование USE, то же самое (к ним), как вы бы его закодировали сами. Я также обновил наш блог (http://blog.theanimail.com), так как Tim связал его с обновлениями и деталями процесса. Надеюсь, что это поможет.

Ответ 4

Если вы используете инфраструктуру безопасности или библиотеки CommonCrypto, предоставленные Apple, вы включите криптографию в свое приложение, и вы должны ответить "да", поэтому просто потому, что библиотеки были предоставлены Apple, не отвлекают вас от внимания.

Что касается первоначального вопроса, недавние сообщения на форумах Apple Development заставили меня поверить, что вам нужно ответить "да", даже если все, что вы используете, это SSL.

Ответ 5

По состоянию на 20 сентября 2016 года регистрация приложений больше не требуется для приложений, использующих https (или, возможно, другие формы шифрования): https://www.bis.doc.gov/index.php/informationsecurity2016-updates

Фактически, на SNAP-R вы больше не можете выбирать "регистрацию шифрования": введите описание изображения здесь

В частности, они отмечают:

Регистрации шифрования больше не требуются - часть информации от регистрации теперь идет в Supp. № 8 к части 742 отчет.

Это означает, что вам может потребоваться отправить годовой отчет в BIS, но вам не нужно регистрироваться, и вы можете отметить при отправке своего приложения, что оно освобождено.

Ответ 6

Все это может быть очень запутанным для разработчиков приложений, которые просто используют TLS для подключения к собственным веб-серверам. Поскольку ATS (Transport Transport Security) становится все более важным, и нам предлагается преобразовать все в https - я думаю, что больше разработчиков столкнутся с этой проблемой.

Мое приложение просто обменивается данными между нашим сервером и пользователем, используя протокол https. Увидев слова "ИСПОЛЬЗОВАНИЕ ПОКРЫТИЯ" в отказе от ответственности, это немного страшно, поэтому я дал американскому правительственному офису звонок в их офисе и поговорил с представителем Бюро промышленности и безопасности (BIS) http://www.bis.doc.gov/index.php/about-bis/contact-bis.

Представитель спросил меня о моем приложении и, поскольку он прошел "основной тестовый тест", поскольку он не имеет ничего общего с безопасностью/связью и просто использует https как канал для подключения моих данных клиента к нашим серверам - он упал категория EAR99, что означает, что она освобождена от получения разрешения правительства (см. https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn)

Я надеюсь, что это поможет другим разработчикам приложений.

Ответ 7

Краткий ответ: да, но вам не нужно ничего делать

Я искал в Интернете это несколько часов. На самом деле это довольно просто, и вы можете проверить это в itunes connect:

1. Все, что вам нужно сделать

Если ваше приложение использует только HTTPS или использует шифрование только для аутентификации, токенов и т.д., Вам ничего не нужно делать, просто включите

<key>ITSAppUsesNonExemptEncryption</key><false/>

в вашем Info.plist и все готово.

2. Проверка

Вы можете проверить это в ITunes Connect.

  • выберите ваше приложение
  • выбрал функции
  • выбрал шифрование
  • нажмите "+"
  • следить за диалогом
  • для https или аутентификации ответ - да и да

В любом случае вы должны, конечно, внимательно прочитать себя в диалоге.

Очень полезную статью можно найти здесь:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Ответ 8

@hisnameisjimmy верен: вы заметите (по крайней мере, на сегодняшний день, 1 декабря 2016 года), когда вы отправляетесь на отправку своего приложения для обзора и дошли до пошагового руководства по экспорту, вы заметите, что в меню теперь указано, что HTTPS является (если вы используете его для каждого вызова):

введите описание изображения здесь

введите описание изображения здесь

Ответ 9

Да, в соответствии с экранами информации соответствия ITunes Connect Export, если вы используете встроенное шифрование iOS или MacOS (keychain, https), вы используете шифрование для целей экспортных правил правительства США. Независимо от того, имеете ли вы право на освобождение от экспорта, зависит от того, что делает ваше приложение и как оно использует это шифрование. Прикрепленные изображения показывают экраны соответствия соответствия iTunes Connect Export, чтобы помочь вам определить свои обязательства по экспортной отчетности. В частности, в нем говорится:

Если вы используете ATS или звоните на HTTPS, учтите, что вы должны представить отчет о самофиксации на конец года в правительство США. Подробнее...

iTunes Connect Export Compliance Information Q1

iTunes Connect Export Compliance Information Q2

Ответ 10

Я нашел этот FAQ из Бюро по промышленности и безопасности США очень полезным.

encryption

Вопрос 15 (Что такое примечание 4?) является важным моментом:

...

Примеры элементов, которые исключены из Категории 5, часть 2 в примечание 4, включают, но не ограничиваются следующим:

Потребительские приложения. Некоторые примеры:

пиратство и предотвращение краж для программного обеспечения или музыки;     музыка, фильмы, мелодии/музыка, цифровые фотографии - игроки, рекордеры и организаторы     игры/игры - устройства, программное обеспечение времени исполнения, HDMI и другие интерфейсы компонентов, средства разработки     ЖК-телевизор, Blu-ray/DVD, видео по запросу (VoD), кинотеатр, цифровые видеомагнитофоны (видеорегистраторы)/персональные видеомагнитофоны (PVR) - устройства, онлайн-гиды, целостность и защита коммерческого контента, HDMI и другие компоненты интерфейсы (а не видеоконференции);     принтеры, копиры, сканеры, цифровые камеры, интернет-камеры - в том числе части и узлы     бытовые коммунальные услуги и бытовая техника

Ответ 12

Если вы явно не используете библиотеку шифрования или не сворачиваете свой собственный код шифрования, я думаю, что ответ "нет"

Ответ 14

Если вам нужно спросить, ответ, вероятно, нет. Когда Apple говорит о шифровании, они говорят о добавлении подпрограмм или библиотек в ваш код, чтобы явно шифровать данные перед их сохранением или передачей. Если вы этого еще не сделали, вы не добавили шифрование (https не учитывается, как это предусмотрено Apple).