Mon application "contient-elle du cryptage"?
Je télécharge un binaire pour la première fois. iTunes Connect m'a demandé:
Les lois sur l'exportation exigent que les produits contenant du chiffrement soient dûment autorisés pour l'exportation.
Le défaut de se conformer pourrait entraîner des sanctions sévères.
Pour plus d'informations, cliquez ici.
Votre produit contient-il un chiffrement?
J'utilise https://, mais uniquement via NSURLConnection et UIWebView.
Ma lecture de ceci est que mon application ne "contient pas de cryptage", mais je me demande si c'est écrit partout. "Peines sévères" ne semble pas agréable du tout, donc je pense que c'est vrai" est un peu louche... une réponse faisant autorité serait mieux.
Merci.
12 réponses
[UPDATE : L'utilisation de HTTPS est désormais exemptée de L'ERN à partir de fin septembre 2016] https://stackoverflow.com/a/40919650/4976373
Malheureusement, je crois que votre application "contient le cryptage" en termes de nous BIS même si vous utilisez simplement HTTPS (si votre application n'est pas une exception incluse dans la question 2).
Citation de FAQ sur iTunes Connect:
"Comment puis-je savoir si je peux suivre L'enregistrement et la Déclaration des exportateurs (ERN) processus?
Si votre application utilise , accède, implémente ou intègre des algorithmes de chiffrement standard de l'industrie à des fins autres que celles énumérées comme exemptions à la question 2, vous devez soumettre une autorisation ERN. Des exemples de chiffrement standard sont: AES, SSL, https . Cette autorisation exige que vous soumettiez un rapport annuel à deux agences gouvernementales américaines avec des informations sur votre application chaque janvier. "
"2ème Question: fait votre produit est admissible aux exemptions prévues dans la catégorie 5 Partie 2?
Plusieurs exemptions sont disponibles dans la réglementation américaine sur les exportations dans la partie 2 de la catégorie 5 (réglementation sur la sécurité de l'Information et le cryptage) pour les applications et les logiciels qui utilisent, accèdent, implémentent ou incorporent le cryptage.
Toutes les responsabilités associées à une mauvaise interprétation des règlements d'exportation ou à une demande d'exemption inexacte sont à la charge des propriétaires et des développeurs des applications.
Vous peut répondre " oui " à la question si vous répondez à l'un des critères suivants:
(i) si vous déterminez que votre application n'est pas classée dans la catégorie 5, Partie 2 de L'EAR en fonction des directives fournies par la BRI à question de chiffrement . La déclaration D'Entente relative à l'équipement médical dans le supplément no 3 de la partie 774 de L'EAR peut être consultée sur le site du code électronique des règlements fédéraux. Veuillez visiter la Question # 15 dans la section FAQ de la page de chiffrement pour des exemples d'éléments BIS a énuméré qui peut réclamer des exemptions Note 4.
(ii) votre application utilise, accède, implémente ou intègre le chiffrement pour l'authentification uniquement
(iii) votre application utilise, accède, implémente ou intègre un chiffrement dont la longueur de clé ne dépasse pas 56 bits symétriques, 512 bits asymétriques et/ou 112 bits elliptiques
(iv) votre application est un produit de masse avec des longueurs de clé ne dépassant pas 64 bits symétriques, ou si aucun algorithme symétrique, ne dépassant pas 768 bits asymétriques et/ou 128 bits courbe elliptique.
Veuillez consulter la Note 3 de la partie 2 de la catégorie 5 pour comprendre les critères de définition du marché de masse.
(v) votre application est spécialement conçue et limitée pour une utilisation bancaire ou ' transactions monétaires.’ Le terme "opérations monétaires" comprend la perception et le règlement de tarifs ou de fonctions de crédit.
(vi) le code source de votre application est "accessible au public", votre application distribuée au gratuitement au grand public, et vous avez rencontré la notification dépenses prévues au titre de l & apos; article 740.13.(e).
Veuillez visiter la page Web encryption au cas où vous auriez besoin d'aide pour déterminer si votre application est admissible à des exemptions.
Si vous pensez que votre application est admissible à une exemption, veuillez répondre " oui " à la question."
, Il n'est pas difficile d'obtenir l'approbation de votre application, la bonne façon. SSL (HTTPS / TLS) est toujours un cryptage et à moins que vous ne l'utilisiez uniquement pour l'authentification, vous devriez obtenir l'approbation appropriée. Je viens de recevoir l'approbation, et mon application est dans le magasin maintenant pour quelque chose qui utilise SSL pour crypter le trafic de données (pas seulement l'authentification).
Voici une entrée de blog que j'ai faite pour que les autres puissent le faire de la bonne façon.
J'ai posé la même question à Apple et j'ai obtenu la réponse (d'un spécialiste de la conformité Sr. Export), que " l'envoi d'informations via https oblige les données à passer par un canal sécurisé à partir de SSL, donc il relève de L'exigence du gouvernement américain pour un examen et une approbation CCATS."Notez qu'il n'a pas d'importance que Apple a déjà fait cela pour leur mise en œuvre SSL, mais pour le gouvernement, si vous utilisez le cryptage qui est le même (pour eux) que vous l'auriez codé vous-même. Je aussi mis à jour notre blog ( http://blog.theanimail.com ) depuis Tim lié à elle avec des mises à jour et des détails sur le processus. Espérons que cela aide.
Si vous utilisez les bibliothèques Security framework ou CommonCrypto fournies par Apple, vous incluez crypto dans votre application et vous devez répondre oui - donc simplement parce que les bibliothèques ont été fournies par Apple ne vous enlève pas du crochet.
En ce qui concerne la question initiale, les messages récents dans les Forums de développement D'Apple me conduisent à croire que vous devez répondre oui, même si tout ce que vous utilisez est SSL.
Depuis le 20 septembre 2016, l'enregistrement n'est plus nécessaire pour les applications qui utilisent https (ou peut-être d'autres formes de cryptage): https://www.bis.doc.gov/index.php/informationsecurity2016-updates
En fait, sur SNAP - R, Vous ne pouvez plus choisir 'enregistrement de chiffrement':
Plus précisément, ils notent:
Les enregistrements de chiffrement ne sont plus requis-certaines des informations de l'enregistrement va maintenant dans le Supp. No. 8 à partie 742 rapport.
Cela signifie que vous devrez peut-être envoyer un rapport annuel au BRI, mais vous n'avez pas besoin de vous inscrire et vous pouvez noter lors de la soumission de votre application qu'elle est exemptée.
Tout cela peut être très déroutant pour un développeur d'applications qui utilise simplement TLS pour se connecter à ses propres serveurs web. Parce que ATS (App Transport Security) devient de plus en plus important et nous sommes encouragés à tout convertir en https - je pense que plus de développeurs vont rencontrer ce problème.
Mon application échange simplement des données entre notre serveur et l'utilisateur en utilisant le protocole https. Voir les mots "utilise le cryptage" dans les Avertissements est un peu effrayant alors j'ai donné au gouvernement américain bureau un appel à leur bureau et a parlé à un représentant du bureau de L'industrie et de la sécurité (BRI) http://www.bis.doc.gov/index.php/about-bis/contact-bis .
Le représentant m'a posé des questions sur mon application et comme il a passé le "test de fonction primaire" en ce sens qu'il n'a rien à voir avec la sécurité / communications et utilise simplement https comme un canal pour connecter mes données clients à nos serveurs - il est tombé dans la catégorie EAR99 ce qui signifie qu'il est exempté l'autorisation (voir https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn)
J'espère que cela aidera les autres développeurs d'applications.
Réponse courte: Oui, mais vous n'avez rien à faire
Je cherchais cela sur le web pendant quelques heures. En fait, c'est assez facile et vous pouvez le vérifier dans itunes connect:
1. Tout ce que vous avez à faire
Si votre application utilise uniquement HTTPS ou utilise le chiffrement uniquement pour l'authentification, les jetons,etc., il n'y a rien que vous avez à faire, il suffit d'inclure
<key>ITSAppUsesNonExemptEncryption</key><false/>
Dans vos informations.plist et vous êtes fait.
2. Vérification
Vous pouvez vérifier ce dans itunes connect.
- sélectionnez votre application
- caractéristiques choisies
- choisissez le chiffrement
- cliquez sur "+"
- suivez la boîte de dialogue
- pour https ou d'authentification, la réponse est oui et oui
Dans tous les cas, vous devriez bien sûr Lire vous-même attentivement à travers la boîte de dialogue.
Un très article utile peut être trouvé ici:
Https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/
@hisnameisjimmy est correct: vous remarquerez (au moins à partir d'aujourd'hui, 1er Décembre 2016) Lorsque vous allez soumettre votre application pour examen et atteindre la procédure pas à pas de conformité à L'exportation, vous remarquerez que le menu indique maintenant que HTTPS est une version exemptée de cryptage (si vous l'utilisez pour chaque appel):
Oui, selon les écrans D'information de conformité D'exportation D'iTunes Connect, si vous utilisez le cryptage iOS ou MacOS intégré (trousseau, https), vous utilisez le cryptage aux fins de la réglementation D'exportation du gouvernement américain. Que vous soyez admissible à une exemption de conformité à l'exportation dépend de ce que fait votre application et de la façon dont elle utilise ce chiffrement. Les images jointes montrent les écrans de conformité D'exportation D'iTunes Connect pour vous aider à déterminer vos obligations de déclaration d'exportation. En particulier, il déclare:
Si vous utilisez ATS ou appelez HTTPS, veuillez noter que vous devez soumettre un rapport d'auto-classification de fin d'année au gouvernement américain. en Savoir plus
J'ai trouvé cette FAQ du Bureau américain de L'industrie et de la sécurité très utile.
Question 15 (Qu'est-ce que la Note 4?) est le point important:
...
Voici des exemples d'articles exclus de la partie 2 de la catégorie 5 par la Note 4:
Applications grand public. Quelques exemples:
Prévention du piratage et du vol de logiciels ou de musique; musique, films,airs / musique, photos numériques - joueurs, enregistreurs et organisateurs jeux / gaming-devices, logiciel d'exécution, HDMI et autres interfaces de composants, outils de développement TV LCD, Blu-ray / DVD, vidéo à la demande (VoD), cinéma, enregistreurs vidéo numériques (DVR) / enregistreurs vidéo personnels (PVR) – appareils, guides multimédias en ligne, intégrité et protection du contenu commercial, interfaces HDMI et autres composants (pas vidéoconférence); imprimantes, copieurs, scanners, appareils photo numériques, caméras Internet-y compris les pièces et les sous-assemblages services publics et appareils ménagers
Trouvé certaines de ces réponses très utiles, mais je voulais ajouter cette URL pour l'exhaustivité car il vous guide à travers les questions:
Https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148
Si vous n'utilisez pas explicitement une bibliothèque de cryptage, ou si vous n'utilisez pas votre propre code de cryptage, alors je pense que la réponse est "non"