Чи "моя програма" містить шифрування?

Я завантажую двійковий файл вперше. iTunes Connect запитав мене:

Законодавство про експорт вимагає, щоб продукти, що містять шифрування, були належним чином дозволені на експорт.
Недотримання правил може призвести до суворих штрафних санкцій.
Для отримання додаткової інформації натисніть тут.
Чи містить ваш продукт шифрування?

Я використовую https://, але тільки через NSURLConnectionта UIWebView.

Я читаю про це, що моя програма не "містить шифрування", але мені цікаво, чи це десь написано. "Суворі покарання" взагалі не звучать приємно, тому "я думаю, що це правильно" є трохи схематичним ... авторитетна відповідь була б кращою.

Дякую.

[ ОНОВЛЕННЯ : Використання HTTPS тепер звільнено від ERN станом на кінець вересня 2016 року] https://stackoverflow.com/a/40919650/4976373

На жаль, я вважаю, що ваш додаток "містить шифрування" з точки зору BIS в США, навіть якщо ви просто використовуєте HTTPS (якщо ваш додаток не є винятком, включеним у питання 2).

Цитата з поширених запитань на iTunes Connect :

" Як дізнатись, чи можу я слідувати за процесом реєстрації та звітування експортерів (ERN)?

Якщо ваше додаток використовує , здійснює доступ, впроваджує або використовує стандартні алгоритми шифрування для інших цілей, ніж ті, що перераховані як винятки під питанням 2, вам потрібно подати дозвіл на ERN . Прикладами стандартного шифрування є: AES, SSL, https . Цей дозвіл вимагає щомісяця подавати щорічний звіт у два урядові установи США з інформацією про ваш додаток. "

" 2-е запитання: Чи підпадає ваш товар до будь-яких винятків, передбачених частиною 2 категорії 5?

Існує кілька винятків, доступних у експортних правилах США відповідно до категорії 5 частини 2 (Правила щодо захисту інформації та шифрування) для програм та програмного забезпечення, які використовують, використовують, реалізують або включають шифрування.

Усі зобов’язання, пов’язані з неправильним тлумаченням правил експорту або вимаганням невірно вилучення, несуть власники та розробники додатків.

Ви можете відповісти "ТАК" на питання, якщо Ви відповідаєте одному з наступних критеріїв:

(i) якщо ви визначите, що ваш додаток не класифікується під категорією 5, частина 2 ЗНО, спираючись на вказівки, надані BIS при питанні шифрування . Заява про взаєморозуміння щодо медичного обладнання в додатку № 3 до частини 774 ЄВР можна отримати на веб-сайті Електронного кодексу Федеральних правил. Будь ласка, відвідайте питання № 15 у розділі FAQ на сторінці шифрування для зразків елементів BIS, які можуть вимагати виключення Примітки 4.

(ii) ваш додаток використовує, отримує доступ, реалізує або включає шифрування лише для аутентифікації

(iii) ваш додаток використовує, отримує доступ, реалізує або включає шифрування з довжиною ключів, що не перевищує 56 біт симетричної, 512 біт асиметричної та / або 112-бітової еліптичної кривої

(iv) ваш додаток - продукт масового ринку, довжина ключів якого не перевищує 64 біт симетричного, або якщо немає симетричних алгоритмів, що не перевищує 768 біт асиметричної та / або 128 біт еліптичної кривої.

Перегляньте Примітку 3 до категорії 5, частина 2, щоб зрозуміти критерії визначення масового ринку.

(v) ваш додаток спеціально розроблений і обмежений для банківського використання або "грошових операцій". Термін "грошові операції" включає збирання та розрахунок за тарифи або кредитні функції.

(vi) вихідний код вашої програми є "загальнодоступним", ваш додаток розповсюджується безкоштовно для широкої громадськості, і ви виконали вимоги щодо повідомлень, передбачені в 740.13. (e).

Будь ласка, відвідайте веб-сторінку шифрування, якщо вам потрібна додаткова допомога у визначенні, чи відповідає ваша програма будь-яким виняткам.

Якщо ви вважаєте, що ваш додаток має право на виняток, будь ласка, дайте відповідь "ТАК" на питання ".

Не важко отримати схвалення для вашої програми належним чином. SSL (HTTPS / TLS) все ще шифрується, і якщо ви не використовуєте його лише для аутентифікації, вам слід отримати належне схвалення. Щойно я отримав схвалення, і моя програма зараз у магазині для чогось, що використовує SSL для шифрування трафіку даних (а не лише аутентифікації).

Ось запис у блозі, який я зробив, щоб інші могли зробити це належним чином.

яблуні itunes обмеження експорту

Я запитав Apple саме те саме питання і отримав відповідь (від спеціаліста з дотримання стандартів експорту), що "надсилання інформації через https змушує дані проходити через захищений канал з SSL, тому це підпадає під вимогу уряду США щодо Огляд та затвердження CCATS ". Зауважте, що не важливо, що Apple вже зробила це для їх впровадження SSL, але для уряду, якщо ви використовуєте шифрування, яке є таким же (для них), як ви б це зашифрували самостійно. Я також оновив наш блог ( http://blog.theanimail.com ), оскільки Тім пов’язав його з оновленнями та деталями процесу. Сподіваюся, що це допомагає.

Якщо ви використовуєте рамки безпеки або бібліотеки CommonCrypto, що надаються Apple, ви включаєте криптовалюту у свій додаток, і вам доведеться відповісти "так", тому просто тому, що бібліотеки були надані Apple не знімає вас з гачка.

Що стосується оригінального питання, останні повідомлення на Форумах розробок Apple приводять мене до думки, що вам потрібно відповісти так, навіть якщо все, що ви використовуєте, - це SSL.

Коротка відповідь: Так, але вам нічого не потрібно робити

Я шукав це в Інтернеті кілька годин. Насправді це досить просто, і ви можете перевірити це в itunes connect:

1. Все, що вам потрібно зробити

Якщо ваш додаток використовує лише HTTPS або використовує шифрування лише для автентифікації, маркерів тощо, вам нічого не потрібно робити, просто включіть

<key>ITSAppUsesNonExemptEncryption</key><false/>

у своєму Info.plist, і ви закінчили .

2. Перевірка

Ви можете перевірити це в itunes connect.

• виберіть додаток
• обрали функції
• вибрали шифрування
• натисніть "+"
• дотримуйтесь діалогового вікна
• для https або автентифікації відповідь - так і так

У будь-якому випадку, звичайно, слід уважно прочитати себе через діалогове вікно.

Тут можна знайти дуже корисну статтю :

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Все це може бути дуже заплутаним для розробника додатків, який просто використовує TLS для підключення до власних веб-серверів. Оскільки ATS (App Transport Security) стає все важливішим, і нам рекомендується перетворити все на https - я думаю, що більше розробників зіткнуться з цією проблемою.

Мій додаток просто обмінюється даними між нашим сервером та користувачем за допомогою протоколу https. Бачити слова "ВИКОРИСТОВУЄТЬ ВИКОРИСТАННЯ" у відмови від відповідальності трохи страшно, тому я подзвонив урядовому кабінету США в їх офіс і поспілкувався з представником Бюро промисловості та безпеки (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Представник запитав мене про моє додаток, і оскільки він пройшов "тест на первинну функцію", оскільки він не має нічого спільного з безпекою / зв’язком і просто використовує https як канал для підключення моїх даних клієнтів до наших серверів - він потрапив до категорії EAR99 а це означає, що він не може отримати дозвіл уряду (див. https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Сподіваюся, це допоможе іншим розробникам додатків.

З 20 вересня 2016 року реєстрація більше не потрібна для додатків, які використовують https (або, можливо, інші форми шифрування): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-оновлення

Насправді, у SNAP-R ви більше не можете вибирати "реєстрацію шифрування":

Зокрема, вони зазначають:

Реєстрації шифрування більше не потрібні - частина інформації з реєстрації зараз надходить у додатку. № 8 до частини 742 звіту.

Це означає, що вам може знадобитися надсилати щорічний звіт до BIS, але вам не потрібно реєструватися, і ви можете зазначити, подаючи додаток, що він звільняється.

Так, згідно з екранами інформації про відповідність експорту iTunes Connect, якщо ви використовуєте вбудоване шифрування iOS або MacOS (брелок, https), ви використовуєте шифрування для цілей правил уряду США про експорт. Незалежно від того, чи є ви право на виняток щодо відповідності експорту, залежить від того, що робить ваша програма та як вона використовує це шифрування. На доданих зображеннях відображаються екрани відповідності експорту iTunes Connect, які допоможуть вам визначити свої зобов’язання щодо експортної звітності. Зокрема, у ньому зазначено:

Якщо ви користуєтесь ОВС або телефонуєте на HTTPS, будь ласка, зверніть увагу, що вам потрібно подати звіт про само класифікацію на кінець року до уряду США. Вивчайте більше

@hisnameisjimmy вірно: ви помітите (принаймні станом на 1 грудня 2016 року), коли перейдете, щоб подати свою програму на розгляд та дійти до покрокової інструкції щодо відповідності експорту, ви помітите, що в меню тепер зазначено, що HTTPS є звільненою версією шифрування (якщо ви використовуєте його для кожного дзвінка):

Я вважаю це поширеним запитанням з Бюро промисловості та безпеки США дуже корисним.

шифрування

Питання 15 (Що таке Примітка 4?) Є важливим моментом:

...

Приклади предметів, які виключені з категорії 5, частини 2 примітки 4, включають, але не обмежуються ними, наступне:

Споживчі програми. Деякі приклади:

піратство та запобігання крадіжок програмного забезпечення чи музики; музика, фільми, мелодії / музика, цифрові фотографії - плеєри, рекордери та ігри організаторів / ігор - пристрої, програмне забезпечення для виконання, HDMI та інші компоненти інтерфейсів, засоби розробки LCD TV, Blu-ray / DVD, відео на вимогу (VoD), кінотеатр , цифрові відеореєстратори (відеореєстратори) / персональні відеореєстратори (PVR) - пристрої, он-лайн-медіа-путівники, цілісність і захист комерційного вмісту, інтерфейси HDMI та інші компоненти (не для відеоконференцій); принтери, копіювальні апарати, сканери, цифрові камери, інтернет-камери - включаючи деталі та вузли побутових комунікацій та приладів

Деякі з цих відповідей знайшли дуже корисними, але хотіли додати цю URL-адресу для повноти, оскільки вона перегляне вас через питання:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Інструкції щодо заповнення форм SNAP-R до 2020 року можна знайти за цим посиланням. Також оновлені інструкції з річного звіту про само класифікацію до 2020 року.

https://stackoverflow.com/a/61431496/1217670

Прості відповіді - так (у додатку є шифрування) та так (додаток використовує звільнення від шифрування). У своїй програмі я лише відкриваю веб-сайт своєї компанії у WKWebView, але оскільки він використовує "https", це буде вважатися звільненим шифруванням. Документ Apple для отримання додаткової інформації: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Крім того, ви можете просто додати ключ "ITSAppUsesNonExemptEncryption" та значення "НІ" у файлі info.plist програми. і таким чином iTunes підключення більше не задаватиме вам цих питань. Більше інформації: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Ви можете дотримуватися цих 3 простих кроків, щоб перевірити, звільнена чи не ваша заявка: https://help.apple.com/app-store-connect/#/dev63c95e436

Можливо, вам доведеться подати цю щорічну самокласифікацію уряду США. Для отримання додаткової інформації: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-an year-self-classification

Якщо ви явно не використовуєте бібліотеку шифрування або прокатуєте власний код шифрування, я думаю, що відповідь - "ні"