Чи "моя програма" містить шифрування?


372

Я завантажую двійковий файл вперше. iTunes Connect запитав мене:

Законодавство про експорт вимагає, щоб продукти, що містять шифрування, були належним чином дозволені на експорт.
Недотримання правил може призвести до суворих штрафних санкцій.
Для отримання додаткової інформації натисніть тут.
Чи містить ваш продукт шифрування?

Я використовую https://, але тільки через NSURLConnectionта UIWebView.

Я читаю про це, що моя програма не "містить шифрування", але мені цікаво, чи це десь написано. "Суворі покарання" взагалі не звучать приємно, тому "я думаю, що це правильно" є трохи схематичним ... авторитетна відповідь була б кращою.

Дякую.


Якщо ви додаєте лише дзвінки до HTTPS, документація в App Store Connect не потрібна. Але ви повинні подати звіт про самокласифікацію безпосередньо до Бюро промисловості та безпеки США (BIS). Дивіться хороший підсумок від Apple: Експорт документації на відповідність для шифрування
vvkatwss vvkatwss

хтось знає за таблицею, яку вони хочуть, щоб ми заповнили, якщо ми використовуємо InMobi SDK (заснований поза межами Індії), якщо це вважається компонентом, який не використовується нами, і не виробляє нас?
isJulian00

Відповіді:


214

[ ОНОВЛЕННЯ : Використання HTTPS тепер звільнено від ERN станом на кінець вересня 2016 року] https://stackoverflow.com/a/40919650/4976373


На жаль, я вважаю, що ваш додаток "містить шифрування" з точки зору BIS в США, навіть якщо ви просто використовуєте HTTPS (якщо ваш додаток не є винятком, включеним у питання 2).

Цитата з поширених запитань на iTunes Connect :

" Як дізнатись, чи можу я слідувати за процесом реєстрації та звітування експортерів (ERN)?

Якщо ваше додаток використовує , здійснює доступ, впроваджує або використовує стандартні алгоритми шифрування для інших цілей, ніж ті, що перераховані як винятки під питанням 2, вам потрібно подати дозвіл на ERN . Прикладами стандартного шифрування є: AES, SSL, https . Цей дозвіл вимагає щомісяця подавати щорічний звіт у два урядові установи США з інформацією про ваш додаток. "

" 2-е запитання: Чи підпадає ваш товар до будь-яких винятків, передбачених частиною 2 категорії 5?

Існує кілька винятків, доступних у експортних правилах США відповідно до категорії 5 частини 2 (Правила щодо захисту інформації та шифрування) для програм та програмного забезпечення, які використовують, використовують, реалізують або включають шифрування.

Усі зобов’язання, пов’язані з неправильним тлумаченням правил експорту або вимаганням невірно вилучення, несуть власники та розробники додатків.

Ви можете відповісти "ТАК" на питання, якщо Ви відповідаєте одному з наступних критеріїв:

(i) якщо ви визначите, що ваш додаток не класифікується під категорією 5, частина 2 ЗНО, спираючись на вказівки, надані BIS при питанні шифрування . Заява про взаєморозуміння щодо медичного обладнання в додатку № 3 до частини 774 ЄВР можна отримати на веб-сайті Електронного кодексу Федеральних правил. Будь ласка, відвідайте питання № 15 у розділі FAQ на сторінці шифрування для зразків елементів BIS, які можуть вимагати виключення Примітки 4.

(ii) ваш додаток використовує, отримує доступ, реалізує або включає шифрування лише для аутентифікації

(iii) ваш додаток використовує, отримує доступ, реалізує або включає шифрування з довжиною ключів, що не перевищує 56 біт симетричної, 512 біт асиметричної та / або 112-бітової еліптичної кривої

(iv) ваш додаток - продукт масового ринку, довжина ключів якого не перевищує 64 біт симетричного, або якщо немає симетричних алгоритмів, що не перевищує 768 біт асиметричної та / або 128 біт еліптичної кривої.

Перегляньте Примітку 3 до категорії 5, частина 2, щоб зрозуміти критерії визначення масового ринку.

(v) ваш додаток спеціально розроблений і обмежений для банківського використання або "грошових операцій". Термін "грошові операції" включає збирання та розрахунок за тарифи або кредитні функції.

(vi) вихідний код вашої програми є "загальнодоступним", ваш додаток розповсюджується безкоштовно для широкої громадськості, і ви виконали вимоги щодо повідомлень, передбачені в 740.13. (e).

Будь ласка, відвідайте веб-сторінку шифрування, якщо вам потрібна додаткова допомога у визначенні, чи відповідає ваша програма будь-яким виняткам.

Якщо ви вважаєте, що ваш додаток має право на виняток, будь ласка, дайте відповідь "ТАК" на питання ".


7
Це чудова відповідь. Насправді це так чудово, що я це прийняв. Однак, посилання не обов'язково слід відслідковувати. Щоб дістатися до документа, увійдіть у iTunes Connect, натисніть посилання "FAQs" у нижній частині сторінки, а потім натисніть відповідність світової торгівлі для App Store.
Стівен Фішер

39
Існує оновлення під назвою "Примітка 4", яке звільняє більшість комерційних програм із категорії 5, частина 2: bis.doc.gov/index.php/policy-guidance/encryption/… Це означає, що більшість програм, які використовують шифрування для підтримки своєї основної функції, штрафу без реєстрації
Ендрю Алькок

7
@AndrewAlcock Тільки якщо їх основною функцією є не "Інформаційна безпека", ні "Комп'ютер, включаючи операційні системи, деталі та компоненти для них", ні "Надсилання, отримання або зберігання інформації (за винятком підтримки розваг, масових комерційних передач, цифрових прав" управління або управління медичною документацією); " ні "Мережа (включає в себе функціонування, адміністрування, управління та забезпечення". На жаль, я думаю, що для багатьох ділових додатків все-таки потрібна реєстрація. Хоча зараз ігри все-таки добре!
JosephH

25
Отже, якщо моє додаток отримує доступ до api через https, чи відповідає це чи ні? Чи можете ви навести приклади цих чотирьох критеріїв?
H.Rabiee

16
Ви не можете розраховувати, що кожен незалежний розробник додатків у гаражі збереже адвоката. Це дорого і потенційно забирає багато часу з усіма поясненнями.
Cindeselia

91

Не важко отримати схвалення для вашої програми належним чином. SSL (HTTPS / TLS) все ще шифрується, і якщо ви не використовуєте його лише для аутентифікації, вам слід отримати належне схвалення. Щойно я отримав схвалення, і моя програма зараз у магазині для чогось, що використовує SSL для шифрування трафіку даних (а не лише аутентифікації).

Ось запис у блозі, який я зробив, щоб інші могли зробити це належним чином.

яблуні itunes обмеження експорту


1
Хороша інформація, але питання полягає не в тому, чи важко отримати схвалення, а чи потрібна вона. Згідно з цією офіційною відповіддю, це може бути не в цьому випадку (примітка 3 та примітка 4 тут можуть вказувати на той самий результат).
Павло Кульченко

Дякую за це Здається, що зараз початковий запит на CIN / PIN має бути надсилати поверхнево, а не факсимільно чи електронною поштою. На відповідній сторінці ( snapr.bis.doc.gov/snapr/docs/fieldHelp.html та пошукайте "Електронний лист для надсилання ") вони не вказують поверхневої пошти. Хтось знає, що це?
Кріс Принс

1
FYI - Нічого з цього не має значення, якщо ви плануєте лише доступність своєї програми у США та Канаді. Це з Документів підтримки iTunes Connect: "(Якщо) Розробник вирішує випустити свою програму лише у США та Канаді. - Не потрібно CCATS або ERN. Не потрібно декларацію про імпорт у Францію."
PICyourBrain

хтось знає за таблицею, яку вони хочуть, щоб ми заповнили, якщо ми використовуємо InMobi SDK (заснований поза межами Індії), якщо це вважається компонентом, який не використовується нами, і не виробляє нас?
isJulian00

Я опублікував свою програму після січня. У цьому випадку мені потрібно надіслати цей звіт зараз чи я можу зачекати до наступного року?
user924

47

Я запитав Apple саме те саме питання і отримав відповідь (від спеціаліста з дотримання стандартів експорту), що "надсилання інформації через https змушує дані проходити через захищений канал з SSL, тому це підпадає під вимогу уряду США щодо Огляд та затвердження CCATS ". Зауважте, що не важливо, що Apple вже зробила це для їх впровадження SSL, але для уряду, якщо ви використовуєте шифрування, яке є таким же (для них), як ви б це зашифрували самостійно. Я також оновив наш блог ( http://blog.theanimail.com ), оскільки Тім пов’язав його з оновленнями та деталями процесу. Сподіваюся, що це допомагає.


22
"Сестра-фахівець з дотримання експорту", серйозно? Чи існує армія молодших спеціалістів з питань дотримання експорту в Apple, які дають лише такі рекомендації щодо питань відповідності? Я думаю, що ти здивований. Зрозуміло, що Apple хотіла б помилитися з боку обережності. Але фактична угода, що регулює обмеження експорту, вказуватиме на те, що вони помиляються: httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Udo

@Udo Ви посилаєтесь на розділ "Чи впливає mod_ssl Васанарська домовленість"? Якщо ви є, хоча я не знаю, яка правильна відповідь на питання ОП, я хотів би зазначити, що документ, на який ви посилаєтесь, не застосовується, оскільки жоден додаток App Store не надається "без обмежень після його подальшого поширення. ". Я б дуже, дуже любив, щоб він виявився невірним ...
Іван Вучиця

16
@Udo та люди, які підтримали його коментар. О, як ти так помилився . По-перше, ви можете використовувати здоровий глузд - це була б ваша перша помилка. Здоровий глузд не стосується контролю над експортом. По-друге, httpd.apache.org не є веб-сайтом, пов'язаним з Департаментом торгівлі США, тому якщо ви довіряєте будь-якій інформації на цьому веб-сайті, ви робите ще одну помилку. Оскільки це варте, основну частину моєї кар’єри було витрачено на написання розвідувального програмного забезпечення, значну частину для оборонної продукції, що експортується в інші країни. Я знаю, про що я говорю (на жаль).
Нейт

8
@Nate, це означає, що немає армії молодших спеціалістів з дотримання експорту? :)
bbozo

хтось знає за таблицею, яку вони хочуть, щоб ми заповнили, якщо ми використовуємо InMobi SDK (заснований поза межами Індії), якщо це вважається компонентом, який не використовується нами, і не виробляє нас?
isJulian00

38

Якщо ви використовуєте рамки безпеки або бібліотеки CommonCrypto, що надаються Apple, ви включаєте криптовалюту у свій додаток, і вам доведеться відповісти "так", тому просто тому, що бібліотеки були надані Apple не знімає вас з гачка.

Що стосується оригінального питання, останні повідомлення на Форумах розробок Apple приводять мене до думки, що вам потрібно відповісти так, навіть якщо все, що ви використовуєте, - це SSL.


Це правильно, наскільки мені відомо. Законодавство про експорт шифрування є драконічним, наскільки вони суворі (враховуючи той факт, що програмне забезпечення можна без особливих зусиль передавати через мережу), але ця вимога не має нічого спільного з тим, чи "дозволений" конкретний підхід чи реалізація шифрування, але що система (ваш додаток), використовуючи його, спочатку перевіряється. #IANAL, однак.
Джастін Сірлз

хтось знає за таблицею, яку вони хочуть, щоб ми заповнили, якщо ми використовуємо InMobi SDK (заснований поза межами Індії), якщо це вважається компонентом, який не використовується нами, і не виробляє нас?
isJulian00

34

Коротка відповідь: Так, але вам нічого не потрібно робити

Я шукав це в Інтернеті кілька годин. Насправді це досить просто, і ви можете перевірити це в itunes connect:

1. Все, що вам потрібно зробити

Якщо ваш додаток використовує лише HTTPS або використовує шифрування лише для автентифікації, маркерів тощо, вам нічого не потрібно робити, просто включіть

<key>ITSAppUsesNonExemptEncryption</key><false/>

у своєму Info.plist, і ви закінчили .

2. Перевірка

Ви можете перевірити це в itunes connect.

  • виберіть додаток
  • обрали функції
  • вибрали шифрування
  • натисніть "+"
  • дотримуйтесь діалогового вікна
  • для https або автентифікації відповідь - так і так

У будь-якому випадку, звичайно, слід уважно прочитати себе через діалогове вікно.


Тут можна знайти дуже корисну статтю :

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/


7
Я читаю наступне з Apple: "Використання вашим додатком шифрування обмежується здійсненням дзвінків через HTTPS. Зверніть увагу, що ви будете нести відповідальність за подання звіту про само класифікацію наприкінці року." Я думаю, що ви все ще повинні самостійно класифікувати звільнені кожного січня тут: bis.doc.gov/index.php/policy-guidance/encryption/…
Джошуа Пліке

хтось знає за таблицею, яку вони хочуть, щоб ми заповнили, якщо ми використовуємо InMobi SDK (заснований поза межами Індії), якщо це вважається компонентом, який не використовується нами, і не виробляє нас?
isJulian00

33

Все це може бути дуже заплутаним для розробника додатків, який просто використовує TLS для підключення до власних веб-серверів. Оскільки ATS (App Transport Security) стає все важливішим, і нам рекомендується перетворити все на https - я думаю, що більше розробників зіткнуться з цією проблемою.

Мій додаток просто обмінюється даними між нашим сервером та користувачем за допомогою протоколу https. Бачити слова "ВИКОРИСТОВУЄТЬ ВИКОРИСТАННЯ" у відмови від відповідальності трохи страшно, тому я подзвонив урядовому кабінету США в їх офіс і поспілкувався з представником Бюро промисловості та безпеки (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Представник запитав мене про моє додаток, і оскільки він пройшов "тест на первинну функцію", оскільки він не має нічого спільного з безпекою / зв’язком і просто використовує https як канал для підключення моїх даних клієнтів до наших серверів - він потрапив до категорії EAR99 а це означає, що він не може отримати дозвіл уряду (див. https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Сподіваюся, це допоможе іншим розробникам додатків.


Це з пам'яті, і я не бачив екран деякий час, але: Якщо ви переходите через завантажувач зараз, ви можете відповісти "Так" на питання шифрування, наступне питання стосується виключень. Це пояснюється докладно, і я не мав жодних проблем, вважаючи, що додаток шифрується, і все одно його отримувати.
Стівен Фішер

5
Підсумовуючи, середній споживчий додаток, який використовує https для спілкування клієнт-сервер, зазвичай підпадає під виняток Примітки 4. Тож пересічний розробник інді повинен просто вибрати "Так", а потім знову "Так" і перейти безпосередньо до подання. Поширені питання iTunes Connect навіть містять посилання на це питання №5 у FAQ, що пояснює Примітку 4 і навіть має приклади: bis.doc.gov/index.php/policy-guidance/encryption/…
Віталій

1
@Vitalii це посилання зараз
ІНФОРМАЦІЯ

@ 1800ІНФОРМАЦІЯ зміниться. Мій коментар датується 2016. З тих пір в вимогах були деякі зміни. Краще покластися на документи Apple: help.apple.com/app-store-connect/#/devc3f64248f
Віталій

хтось знає за таблицею, яку вони хочуть, щоб ми заповнили, якщо ми використовуємо InMobi SDK (заснований поза межами Індії), якщо це вважається компонентом, який не використовується нами, і не виробляє нас?
isJulian00

31

З 20 вересня 2016 року реєстрація більше не потрібна для додатків, які використовують https (або, можливо, інші форми шифрування): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-оновлення

Насправді, у SNAP-R ви більше не можете вибирати "реєстрацію шифрування": введіть тут опис зображення

Зокрема, вони зазначають:

Реєстрації шифрування більше не потрібні - частина інформації з реєстрації зараз надходить у додатку. № 8 до частини 742 звіту.

Це означає, що вам може знадобитися надсилати щорічний звіт до BIS, але вам не потрібно реєструватися, і ви можете зазначити, подаючи додаток, що він звільняється.


Дякуємо, але посилання розірвано Не могли б ви знайти оригінальну статтю десь в Інтернеті?
синюватий

23

Так, згідно з екранами інформації про відповідність експорту iTunes Connect, якщо ви використовуєте вбудоване шифрування iOS або MacOS (брелок, https), ви використовуєте шифрування для цілей правил уряду США про експорт. Незалежно від того, чи є ви право на виняток щодо відповідності експорту, залежить від того, що робить ваша програма та як вона використовує це шифрування. На доданих зображеннях відображаються екрани відповідності експорту iTunes Connect, які допоможуть вам визначити свої зобов’язання щодо експортної звітності. Зокрема, у ньому зазначено:

Якщо ви користуєтесь ОВС або телефонуєте на HTTPS, будь ласка, зверніть увагу, що вам потрібно подати звіт про само класифікацію на кінець року до уряду США. Вивчайте більше

Інформація про відповідність експорту iTunes Connect Q1

Інформація про відповідність експорту iTunes Connect Q2


22
Я думаю, що юридична ступінь може бути необхідна, щоб мати сенс у чомусь під цим посиланням "Дізнайтеся більше" ... Там абсолютно нічого не вказує, ЯК ви робите цей "звіт про само класифікацію на кінець року".
Тім Тісдалл

7
тож проста кнопка, яка відкриє URL-адресу https у веб-переглядачі, щоб користувачі могли знайти мій акаунт щебетання, змусить мене подати звіт про самовільну класифікацію на кінець року? wow
Suhaib

4
Це було важко знайти, тому ось посилання на керівні принципи звіту про само класифікацію (поки вони не перенесуть
helleye

2
@Suhaib - відкриття посилання у веб-переглядачі, ймовірно, не зараховується - ваш додаток не використовує https, ваш додаток відкриває інший додаток. Цей додаток може або не може використовувати HTTPS (у цьому випадку це робить, сафарі чи хром або подібні)
csga5000

1
Ви вирішили, як скласти цей щорічний звіт про само класифікацію? (як не адвокати ха-ха)
Rony Azrak

20

@hisnameisjimmy вірно: ви помітите (принаймні станом на 1 грудня 2016 року), коли перейдете, щоб подати свою програму на розгляд та дійти до покрокової інструкції щодо відповідності експорту, ви помітите, що в меню тепер зазначено, що HTTPS є звільненою версією шифрування (якщо ви використовуєте його для кожного дзвінка):

введіть тут опис зображення

введіть тут опис зображення


Це вже деякий час, але ця відповідь не дає відповіді на питання: Так, ваша програма містить шифрування. Крім того, так, майбутнє питання дозволяє вам позбавитися від цього. А це саме те, що говорить прийнята відповідь, тільки прийнята відповідь говорить про це краще. Редагувати: також ваша редакція на цю відповідь є зайвою.
Стівен Фішер

Чи обмежується використанням шифрування в операційній системі дані, які автоматично створюються резервними копіями до хмари?
Ян Варбуртон

хтось знає за таблицею, яку вони хочуть, щоб ми заповнили, якщо ми використовуємо InMobi SDK (заснований поза межами Індії), якщо це вважається компонентом, який не використовується нами, і не виробляє нас?
isJulian00

8

Я вважаю це поширеним запитанням з Бюро промисловості та безпеки США дуже корисним.

шифрування

Питання 15 (Що таке Примітка 4?) Є важливим моментом:

...

Приклади предметів, які виключені з категорії 5, частини 2 примітки 4, включають, але не обмежуються ними, наступне:

Споживчі програми. Деякі приклади:

піратство та запобігання крадіжок програмного забезпечення чи музики; музика, фільми, мелодії / музика, цифрові фотографії - плеєри, рекордери та ігри організаторів / ігор - пристрої, програмне забезпечення для виконання, HDMI та інші компоненти інтерфейсів, засоби розробки LCD TV, Blu-ray / DVD, відео на вимогу (VoD), кінотеатр , цифрові відеореєстратори (відеореєстратори) / персональні відеореєстратори (PVR) - пристрої, он-лайн-медіа-путівники, цілісність і захист комерційного вмісту, інтерфейси HDMI та інші компоненти (не для відеоконференцій); принтери, копіювальні апарати, сканери, цифрові камери, інтернет-камери - включаючи деталі та вузли побутових комунікацій та приладів


6

Деякі з цих відповідей знайшли дуже корисними, але хотіли додати цю URL-адресу для повноти, оскільки вона перегляне вас через питання:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148


Гарне посилання. Я думаю, що більшість людей, які натрапляють на це сьогодні, отримають право на виняток у розділі "Використання шифрування обмежується шифруванням в операційній системі (iOS або macOS)" або "Лише здійснює дзвінки через HTTPS".
Стівен Фішер

1

Інструкції щодо заповнення форм SNAP-R до 2020 року можна знайти за цим посиланням. Також оновлені інструкції з річного звіту про само класифікацію до 2020 року.

https://stackoverflow.com/a/61431496/1217670


0

Прості відповіді - так (у додатку є шифрування) та так (додаток використовує звільнення від шифрування). У своїй програмі я лише відкриваю веб-сайт своєї компанії у WKWebView, але оскільки він використовує "https", це буде вважатися звільненим шифруванням. Документ Apple для отримання додаткової інформації: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Крім того, ви можете просто додати ключ "ITSAppUsesNonExemptEncryption" та значення "НІ" у файлі info.plist програми. і таким чином iTunes підключення більше не задаватиме вам цих питань. Більше інформації: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Ви можете дотримуватися цих 3 простих кроків, щоб перевірити, звільнена чи не ваша заявка: https://help.apple.com/app-store-connect/#/dev63c95e436

Можливо, вам доведеться подати цю щорічну самокласифікацію уряду США. Для отримання додаткової інформації: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-an year-self-classification


-1

Якщо ви явно не використовуєте бібліотеку шифрування або прокатуєте власний код шифрування, я думаю, що відповідь - "ні"


10
Тільки для розробки: Ви використовуєте шифрування (TLS), але це буде належним чином дозвіл на експорт зі Сполучених Штатів (і вона поставляється з iPhone), так що все в порядку.
BlueRaja - Danny Pflughoeft

Розумний коментар, BlueRaja. Я думав лише про те, щоб не писати код, а думати про це з вашого кута, очевидно, що HTTPS від Apple вже авторизований. Це робить питання набагато простішим, я думаю.
Стівен Фішер

11
Тільки тому, що бібліотека має ліцензію на експорт, не означає, що ваш продукт, який використовує бібліотеку, також має ліцензію. Я знаю, що це не має сенсу логічно, але ми обговорюємо це уряд. Дивіться посилання у відповіді Тіма або запитайте Apple або BIS США безпосередньо, чи хочете ви авторитетної відповіді.
Стів Мадсен
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.