Утверждение утверждения шифрования от Apple

Я создал приложение для хранения имени пользователя/паролей и т.д., используя общедоступный алгоритм шифрования AES256. Я не писал этот код только что скопировал и вставил его из Интернета и включил его в свое приложение.

- (NSData *)AES256EncryptWithKey:(NSString *)key
- (NSData *)AES256DecryptWithKey:(NSString *)key 

Теперь за миллионный вопрос. Какой процесс утверждения мне нужно пройти, чтобы одобрить это приложение. В Интернете столько же ответов, сколько в джунглях. Некоторые говорят, что не нуждаются в этом, другие говорят, что вам нужно пройти 50-60-дневный цикл с одобрения правительства США.

Если кто-то использовал этот вид шифрования в своем приложении до этого, пожалуйста, сообщите мне, что мне нужно сделать, чтобы успешно получить это приложение, одобренное через хранителей шлюзов Apple. Спасибо вам

Ответ 1

(Во-первых: это не является реальной юридической консультацией.)

Причина, по которой трудно получить четкий ответ на этот вопрос, заключается в том, что ответы на самом деле очень зависимы от случая, и как поставщик, который выбирает экспортировать ваше программное обеспечение на международном уровне, вы, который находится на крючке для принятия решения, и соблюдение правительственных постановлений. Легко предположить, что все должно быть "под ключ" и просто, поскольку Apple сделала тривиальным для разработчиков продавать свои товары на международном уровне, но правительство этого не видит - вы независимый поставщик программного обеспечения, который экспортирует функциональность, которая может имеют нормативные последствия.

Речь идет не об установке или одобрении Apple. Соответствие требованиям экспорта не относится к самому "обзору приложений". Apple - это нечто вроде проверки, так как они являются вашим дистрибьютором, но их мотивация в этом случае - это соблюдение правительством, а не принятие решений и одобрение/отклонение вами - они не хотят заниматься делами судебной полиции, Apple почти наверняка возьмет вас на ваше слово, что бы вы ни говорили, но если вы позже обнаружите, что не в порядке, они оставляют за собой право пинать вас.

Пройдите мастер по приложению. Если вы скажете, что криптография изменилась, он затем задаст вам ряд довольно конкретных вопросов о том, что делает ваш криптограф, и в случае необходимости попросит вас предоставить ERN или, возможно, CCATS. Здесь есть FAQ.

Плохая новость. То, что вы делаете, вероятно, требует, чтобы вы объявили криптографию. Существуют исключения, но они предназначены для довольно специфических типов продуктов, а не для их реализации (веб-сайт США BIS, и мастер Apple укажет их). Просто использование системных API или общеизвестных криптоалгоритмов не является защитой от него. (Люди делают это ВСЕ ВРЕМЯ, не регистрируя его? Конечно, да. Вы тоже могли бы, если хотите.)

Хорошая новость. Если вам нужна ERN, это стало ОЧЕНЬ упрощенным, автоматизированным процессом за последний год или около того. Вы можете сделать это онлайн, и делать это в течение нескольких часов. Следуйте за этим сообщением в блоге: http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html В некоторых случаях может потребоваться полный процесс CCATS, который может быть более запутанным.

Ответ 2

Я не делал длинную обработку ERN или CCATS. Приложение получило одобрение через 5 дней.

КОРРЕКЦИЯ: На самом деле было чистой немой удачей, что мое приложение было одобрено. Я не упоминал в своем описании приложения, что у меня было шифрование AES 256 в моем приложении. Если вы не упомянули об этом, приложение будет одобрено без каких-либо дополнительных документов. Если вы это сделаете, тогда приготовьтесь к длительному вытягиванию процесса. Apple все равно не проверяет, нет ли у вашего приложения шифрования. Это вам, чтобы объявить это или нет.

Ответ 3

Я считаю, вам нечего делать.

Для получения дополнительной информации об экспортном контроле США я предлагаю отказаться от ответов https://softwareengineering.stackexchange.com/q/127809/25885 на ссылки на различные агентства и какие уведомления или разрешения, необходимые для их экспорта программное обеспечение за пределами США.

В общем, если вы используете системные API-интерфейсы, не вводя никаких новых криптографических кодов самостоятельно, вы должны быть полностью в курсе. (По крайней мере, я не слышал никаких контр-примеров этой логики и не читал ничего, чтобы противоречить ей.)