Содержит ли мое приложение шифрование?


373

Я загружаю двоичный файл впервые. iTunes Connect спросил меня:

Законы об экспорте требуют, чтобы продукты, содержащие шифрование, были должным образом авторизованы для экспорта.
Невыполнение может привести к серьезным штрафам.
Для получения дополнительной информации, нажмите здесь.
Ваш продукт содержит шифрование?

Я пользуюсь https://, но только через NSURLConnectionи UIWebView.

Насколько я понимаю, мое приложение «не содержит шифрования», но мне интересно, если это где-то прописано. «Суровые штрафы» вовсе не кажутся приятными, поэтому «я думаю, что это правильно» немного отрывочно… авторитетный ответ был бы лучше.

Спасибо.


Если ваше приложение выполняет вызовы только по HTTPS, в App Store Connect не требуется никакой документации. Но вы должны подать отчет о самостоятельной классификации в Бюро промышленности и безопасности США (BIS) напрямую. См хорошее резюме от Apple: Экспорт документации о соответствии для шифрования
vvkatwss vvkatwss

Кто-нибудь знает для таблицы, которую они хотят, чтобы мы заполнили, если мы используем InMobi SDK (из Индии), если это считается не-компонентным и не произведенным нами?
isJulian00

Ответы:


215

[ ОБНОВЛЕНИЕ : использование HTTPS теперь освобождено от ERN с конца сентября 2016 года] https://stackoverflow.com/a/40919650/4976373


К сожалению, я считаю, что ваше приложение «содержит шифрование» с точки зрения BIS США, даже если вы просто используете HTTPS (если ваше приложение не является исключением, включенным в вопрос 2).

Цитата из FAQ по iTunes Connect :

« Как узнать, могу ли я следовать процессу регистрации и отчетности экспортеров (ERN)?

Если ваше приложение использует , осуществляет доступ, внедряет или включает в себя стандартные алгоритмы шифрования для целей, отличных от тех, которые перечислены в качестве исключений в вопросе 2, вам необходимо подать заявку на авторизацию ERN . Примеры стандартного шифрования: AES, SSL, https . Это разрешение требует, чтобы вы представляли ежегодный отчет в два правительственных учреждения США с информацией о вашем приложении каждый январь. "

« Второй вопрос: соответствует ли ваш продукт каким-либо исключениям, предусмотренным в категории 5, часть 2?

Существует несколько исключений, доступных в правилах экспорта США по категории 5, часть 2 (правила информационной безопасности и шифрования) для приложений и программного обеспечения, которые используют, осуществляют доступ, внедряют или включают шифрование.

Все обязательства, связанные с неверным толкованием правил экспорта или неточным заявлением об освобождении, несут владельцы и разработчики приложений.

Вы можете ответить «ДА» на вопрос, если вы соответствуете одному из следующих критериев:

(i) если вы определите, что ваше приложение не относится к категории 5, часть 2 EAR, на основании указаний, предоставленных BIS по вопросу шифрования . С Заявлением о взаимопонимании по медицинскому оборудованию в Дополнении № 3 к Части 774 EAR можно ознакомиться на сайте Электронного кодекса Федерального регламента. Пожалуйста, посетите Вопрос № 15 в разделе часто задаваемых вопросов на странице шифрования для образцов элементов, перечисленных BIS, которые могут претендовать на исключения Примечание 4.

(ii) ваше приложение использует, осуществляет доступ, внедряет или включает шифрование только для аутентификации

(iii) ваше приложение использует, осуществляет доступ, внедряет или включает шифрование с длиной ключа, не превышающей 56-битную симметричную, 512-битную асимметричную и / или 112-битную эллиптическую кривую

(iv) ваше приложение является продуктом массового рынка с длиной ключа, не превышающей 64-битную симметричную, или, если нет симметричных алгоритмов, не превышающей 768-битную асимметричную и / или 128-битную эллиптическую кривую.

Пожалуйста, ознакомьтесь с примечанием 3 в категории 5, часть 2, чтобы понять критерии определения массового рынка.

(v) ваше приложение специально разработано и ограничено для банковского использования или «денежных транзакций». Термин «денежные операции» включает сбор и оплату тарифов или функции кредита.

(vi) исходный код вашего приложения является «общедоступным», ваше приложение распространяется бесплатно для широкой публики, и вы выполнили требования к уведомлениям, предусмотренные в 740.13. (e).

Пожалуйста, посетите шифрование веб-страницу на случай, если вам понадобится дополнительная помощь в определении того, соответствует ли ваше приложение каким-либо исключениям.

Если вы считаете, что ваше приложение имеет право на исключение, ответьте «ДА» на вопрос ».


7
Это отличный ответ. На самом деле, это так здорово, что я принял это. Однако ссылка не обязательно должна быть доступной. Чтобы получить доступ к документу, войдите в iTunes Connect, щелкните ссылку «Часто задаваемые вопросы» в нижней части страницы, затем нажмите «Соответствие требованиям World Wide Trade App Store».
Стивен Фишер

39
Существует обновление под названием «Примечание 4», которое исключает большинство коммерческих приложений из категории 5, часть 2: bis.doc.gov/index.php/policy-guidance/encryption/… Это означает, что большинство приложений, использующих шифрование для поддержки своей основной функции, штраф без регистрации
Эндрю Алкок

7
@AndrewAlcock Только в том случае, если их основной функцией является не «Информационная безопасность», ни «Компьютер, включая операционные системы, их части и компоненты», ни «Отправка, получение или хранение информации (за исключением поддержки развлечений, массовых коммерческих передач, цифровых прав»). управление или ведение медицинской документации); " ни «Сетевое взаимодействие (включает в себя операции, администрирование, управление и предоставление ресурсов». К сожалению, я думаю, что многие бизнес-приложения все еще требуют регистрации. Хотя игры, вероятно, сейчас в порядке!
JosephH

26
Так что, если мое приложение обращается к API через https, оно подходит или нет? Не могли бы вы привести примеры этих четырех критериев?
Х.Раби

17
Вы не можете ожидать, что каждый независимый разработчик приложений в гараже наймет адвоката. Это дорого и потенциально трудоемко со всеми накладными расходами объяснения.
Золушка

91

Нетрудно получить одобрение для вашего приложения надлежащим образом. SSL (HTTPS / TLS) по-прежнему является шифрованием, и, если вы используете его только для аутентификации, вы должны получить соответствующее одобрение. Я только что получил одобрение, и мое приложение сейчас в магазине для чего-то, что использует SSL для шифрования трафика данных (а не только аутентификацию).

Вот запись в блоге, которую я сделал, чтобы другие могли сделать это правильно.

ограничения на экспорт Apple ITunes


1
Хорошая информация, но вопрос не в том, трудно ли получить одобрение, а в том, нужно ли это. Согласно этому официальному ответу, в данном случае это может быть не так (примечание 3 и примечание 4 здесь могут указывать на один и тот же результат).
Павел Кульченко

Спасибо за это. Похоже, что теперь первоначальный запрос CIN / PIN должен быть отправлен по почте, а не по факсу или электронной почте. На соответствующей странице ( snapr.bis.doc.gov/snapr/docs/fieldHelp.html и в поиске «Электронное письмо о подаче») они не дают адреса обычной почты. Кто-нибудь знает, что это?
Крис Принс

1
К вашему сведению - все это не имеет значения, если вы планируете, чтобы ваше приложение было доступно только в США и Канаде. Это из документации поддержки iTunes Connect: «(Если) Разработчик решает выпустить свое приложение только в США и Канаде. - Никакие американские CCATS или ERN не требуются. Не требуется декларация импорта Франции.»
PICyourBrain

Кто-нибудь знает для таблицы, которую они хотят, чтобы мы заполнили, если мы используем InMobi SDK (из Индии), если это считается не-компонентным и не произведенным нами?
isJulian00

Я опубликовал свое приложение после января. В этом случае мне нужно отправить этот отчет сейчас или я могу подождать до следующего года?
user924

47

Я задал Apple тот же вопрос и получил ответ (от специалиста по соблюдению экспортных требований), что «отправка информации через https вынуждает данные проходить через защищенный канал из SSL, поэтому подпадает под действие требований правительства США для Обзор и одобрение CCATS. " Обратите внимание, что не имеет значения, что Apple уже сделала это для своей реализации SSL, но для правительства, если вы используете шифрование, такое же (для них), как вы бы его кодировали сами. Я также обновил наш блог ( http://blog.theanimail.com ), так как Тим связал с ним обновления и подробную информацию о процессе. Надеюсь, это поможет.


22
"Старший специалист по соблюдению экспортных норм", серьезно? Есть ли в Apple целая армия младших специалистов по соблюдению экспортных норм, которые дают только так советы по вопросам соответствия? Я думаю, что тебя обманули. Понятно, что Apple хотела бы ошибиться на стороне осторожности. Но фактическое соглашение, регулирующее экспортные ограничения, указывало бы, что они неправы: httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Udo

@Udo Имеете ли вы в виду раздел «Влияет ли на mod_ssl соглашение Wasenaar»? Если вы, в то время как я не знаю , что это правильный ответ на вопрос OP, я хотел бы отметить, что документ , который вы смотрите не применяется, так как нет приложения App Store не доступно «без ограничений на ее дальнейшее распространение ». Я бы очень, очень хотел бы оказаться неправым ...
Иван Вучица

16
@Udo и люди, которые проголосовали за его комментарий. Ох, как ты так не прав . Во-первых, вы можете использовать свой здравый смысл - это будет вашей первой ошибкой. Здравый смысл не применяется, когда речь заходит об экспортном контроле. Во-вторых, httpd.apache.org не является веб-сайтом, связанным с Министерством торговли США, поэтому, если вы доверяете любой информации на этом сайте, вы совершаете еще одну ошибку. Что бы это ни стоило, основная часть моей карьеры была потрачена на написание программного обеспечения для разведки, большая часть которого предназначалась для оборонных продуктов, которые экспортируются в другие страны. Я знаю о чем говорю (к сожалению).
конец

8
@Nate, это означает, что нет армии младших специалистов по соблюдению экспортных требований? :)
bbozo

Кто-нибудь знает для таблицы, которую они хотят, чтобы мы заполнили, если мы используем InMobi SDK (из Индии), если это считается не-компонентным и не произведенным нами?
isJulian00

38

Если вы используете платформу безопасности или библиотеки CommonCrypto, предоставляемые Apple, вы включаете криптографию в свое приложение, и вы должны ответить «да» - просто потому, что библиотеки, предоставленные Apple, не снимают вас с крючка.

Что касается первоначального вопроса, последние сообщения на форумах Apple Development Forum заставляют меня поверить, что вам нужно ответить «да», даже если вы используете только SSL.


Это правильно, насколько мне известно. Законы об экспорте шифрования драконичны по своей строгости (учитывая тот факт, что программное обеспечение может передаваться по сети без особых усилий), но это требование не имеет ничего общего с тем, является ли конкретный подход или реализация шифрования «разрешенным», но что система (ваше приложение), использующее его, проверяется первым. #IANAL, однако.
Джастин Сирлс

Кто-нибудь знает для таблицы, которую они хотят, чтобы мы заполнили, если мы используем InMobi SDK (из Индии), если это считается не-компонентным и не произведенным нами?
isJulian00

34

Краткий ответ: да, но вам не нужно ничего делать

Я искал в Интернете это несколько часов. На самом деле это довольно просто, и вы можете проверить это в itunes connect:

1. Все, что вам нужно сделать

Если ваше приложение использует только HTTPS или использует шифрование только для аутентификации, токенов и т. Д., Вам ничего не нужно делать, просто включите

<key>ITSAppUsesNonExemptEncryption</key><false/>

в вашем Info.plist и все готово .

2. Проверка

Вы можете проверить это в Itunes Connect.

  • выберите ваше приложение
  • выбрал функции
  • выбрал шифрование
  • нажмите "+"
  • следить за диалогом
  • для https или аутентификации ответ - да и да

В любом случае вы должны, конечно, внимательно прочитать себя в диалоге.


Очень полезную статью можно найти здесь:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/


7
Я читаю следующее от Apple: «Использование шифрования в вашем приложении ограничено звонками по HTTPS. Обратите внимание, что вы будете нести ответственность за представление отчета о самостоятельной классификации в конце года». Я думаю, что вы все еще должны классифицировать себя как освобожденные каждый январь здесь: bis.doc.gov/index.php/policy-guidance/encryption/…
Джошуа Плик

Кто-нибудь знает для таблицы, которую они хотят, чтобы мы заполнили, если мы используем InMobi SDK (из Индии), если это считается не-компонентным и не произведенным нами?
isJulian00

33

Все это может сбить с толку разработчика приложений, который просто использует TLS для подключения к своим собственным веб-серверам. Поскольку ATS (App Transport Security) становится все более важным, и мы призываем все конвертировать в https - я думаю, что больше разработчиков столкнется с этой проблемой.

Мое приложение просто обменивается данными между нашим сервером и пользователем по протоколу https. Видеть слова «ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ» в заявлении об отказе от ответственности немного страшно, поэтому я позвонил в офис правительства США в их офисе и поговорил с представителем Бюро промышленности и безопасности (BIS) http: //www.bis.doc. .gov / index.php / about-bis / contact-bis .

Представитель спросил меня о моем приложении, и, поскольку оно прошло «тест основной функции» в том смысле, что оно не имеет ничего общего с безопасностью / связью и просто использует https в качестве канала для подключения данных моих клиентов к нашим серверам - оно попало в категорию EAR99 это означает, что он не может получить разрешение правительства (см. https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn. ).

Надеюсь, это поможет другим разработчикам приложений.


Это из памяти, и я давно не видел экран, но: если вы сейчас просматриваете загрузчик, вы можете ответить «Да» на вопрос шифрования, следующий вопрос касается исключений. Это объясняет в некоторых деталях, и у меня не было проблем с подсчетом моего приложения как имеющего шифрование и проходящего через него в любом случае.
Стивен Фишер

5
Подводя итог, можно сказать, что приложение среднего потребителя, которое использует https для связи клиент-сервер, обычно подпадает под исключение Примечания 4. Поэтому среднестатистический инди-разработчик должен просто выбрать «Да», а затем снова «Да» и перейти непосредственно к представлению. Часто задаваемые вопросы по iTunes Connect содержат
Виталий

1
@Vitalii эта ссылка теперь 404
1800 ИНФОРМАЦИЯ

@ 1800 ИНФОРМАЦИЯ все меняется. Мой комментарий датирован 2016 годом. С тех пор в требованиях произошли некоторые изменения. Лучше полагаться на документы Apple: help.apple.com/app-store-connect/#/devc3f64248f
Виталий

Кто-нибудь знает для таблицы, которую они хотят, чтобы мы заполнили, если мы используем InMobi SDK (из Индии), если это считается не-компонентным и не произведенным нами?
isJulian00

31

По состоянию на 20 сентября 2016 г. регистрация больше не требуется для приложений, использующих https (или, возможно, другие формы шифрования): https://web.archive.org/web/20170312060607/https://www.bis.doc. GOV / index.php / informationsecurity2016-обновления

Фактически, в SNAP-R вы больше не можете выбирать «регистрацию шифрования»: введите описание изображения здесь

В частности, они отмечают:

Регистрация шифрования больше не требуется - часть информации от регистрации теперь поступает в Supp. № 8 до части 742 доклада.

Это означает, что вам может потребоваться отправить годовой отчет в BIS, но вам не нужно регистрироваться, и вы можете отметить, что при подаче заявления оно освобождается.


Спасибо, но ссылка не работает. Не могли бы вы найти оригинальную статью где-нибудь в интернете?
голубоватое

23

Да, в соответствии с экранами Информации о соответствии экспорта экспорта iTunes Connect, если вы используете встроенное шифрование iOS или MacOS (цепочка для ключей, https), вы используете шифрование для целей экспортных правил правительства США. Имеете ли вы право на освобождение от соблюдения экспортных требований, зависит от того, что делает ваше приложение и как оно использует это шифрование. Прикрепленные изображения показывают экраны соответствия экспорту iTunes Connect, чтобы помочь вам определить свои обязательства по отчетам об экспорте. В частности, в нем говорится:

Если вы используете ATS или звоните в HTTPS, имейте в виду, что вы должны подать годовой отчет о самостоятельной классификации в правительство США. Учить больше

ITunes Connect Экспорт информации о соответствии Q1

ITunes Connect Экспорт информации о соответствии Q2


22
Я думаю, что юридическая степень может быть необходима для того, чтобы что-то понять по этой ссылке «Подробнее» ... Там абсолютно ничего не указывает, КАК вы делаете этот «отчет о самостоятельной классификации на конец года».
Тим

7
поэтому простая кнопка, открывающая URL-адрес https в браузере, чтобы пользователи могли найти мою учетную запись в твиттере, заставит меня представить отчет о самостоятельной классификации на конец года правительству США? вау
Сухайб

4
Трудно было найти, поэтому вот ссылка на руководство по отчету о самостоятельной классификации (пока они не переместят его снова): bis.doc.gov/index.php/policy-guidance/encryption/…
helleye

2
@Suhaib - открытие ссылки в браузере, вероятно, не считается - ваше приложение не использует https, ваше приложение открывает другое приложение. Это приложение может использовать или не использовать HTTPS (в данном случае оно использует
Safari,

1
Ребята, вы поняли, как составить этот ежегодный отчет о самостоятельной классификации? (как не юристы хаха)
Рони Азрак

20

@hisnameisjimmy правильно: вы заметите (по крайней мере, на сегодняшний день, 1 декабря 2016 г.), когда вы отправите свое приложение на проверку и пройдете по пошаговой инструкции Экспортного соответствия, вы заметите, что в меню теперь говорится, что HTTPS является освобожденной версией шифрование (если вы используете его для каждого звонка):

введите описание изображения здесь

введите описание изображения здесь


Так было некоторое время, но этот ответ не отвечает на вопрос: да, ваше приложение содержит шифрование. Кроме того, да, будущий вопрос позволяет вам из этого. Что также является тем, что говорит принятый ответ, только принятый ответ говорит так лучше. Изменить: Кроме того, ваше изменение к этому ответу является излишним.
Стивен Фишер

Ограничено ли использование шифрования в операционной системе данными, которые автоматически копируются в облако?
Ян Варбертон,

Кто-нибудь знает для таблицы, которую они хотят, чтобы мы заполнили, если мы используем InMobi SDK (из Индии), если это считается не-компонентным и не произведенным нами?
isJulian00

8

Я нашел этот FAQ от Бюро промышленности и безопасности США очень полезным.

шифрование

Вопрос 15 (Что такое Примечание 4?) Является важным моментом:

...

Примеры элементов, которые исключены из категории 5, часть 2 примечанием 4, включают, но не ограничиваются следующим:

Потребительские приложения. Некоторые примеры:

предотвращение пиратства и кражи программного обеспечения или музыки; музыка, фильмы, мелодии / музыка, цифровые фотографии - плееры, рекордеры и органайзеры игры / игры - устройства, исполняемое программное обеспечение, интерфейсы HDMI и других компонентов, средства разработки LCD TV, Blu-ray / DVD, видео по запросу (VoD), кино цифровые видеомагнитофоны (DVR) / персональные видеомагнитофоны (PVR) - устройства, онлайновые гиды, целостность и защита коммерческого контента, интерфейсы HDMI и других компонентов (не видеоконференцсвязь); принтеры, копиры, сканеры, цифровые камеры, интернет-камеры - включая детали и узлы, бытовые приборы и устройства


6

Нашел некоторые из этих ответов очень полезными, но хотел добавить этот URL для полноты, так как он проведет вас через вопросы:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148


Хорошая ссылка. Я думаю, что большинство людей, сталкивающихся с этим в эти дни, получат право на освобождение под заголовком «Использование шифрования ограничено шифрованием в операционной системе (iOS или macOS)» или «Только делает вызов (ы) через HTTPS».
Стивен Фишер

1

Инструкции по заполнению форм SNAP-R 2020 можно найти по этой ссылке. Также обновлены инструкции к Ежегодному отчету о самостоятельной классификации к 2020 году.

https://stackoverflow.com/a/61431496/1217670


0

Простые ответы: да (приложение имеет шифрование) и да (приложение использует исключительное шифрование). В моем приложении я просто открываю веб-сайт моей компании в WKWebView, но поскольку он использует «https», он будет рассматриваться как исключительное шифрование. Документ Apple для получения дополнительной информации: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Кроме того, вы можете просто добавить ключ «ITSAppUsesNonExemptEncryption» и значение «NO» в файле info.plist вашего приложения. и таким образом iTunes connect больше не будет задавать вам эти вопросы. Дополнительная информация: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Вы можете выполнить эти 3 простых шага, чтобы проверить, освобождено ли ваше приложение или нет: https://help.apple.com/app-store-connect/#/dev63c95e436

Возможно, вам придется подать эту ежегодную самостоятельную классификацию в правительство США. Для получения дополнительной информации: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification


-1

Если вы явно не используете библиотеку шифрования или не используете собственный код шифрования, тогда я думаю, что ответ «нет»


10
Только для разработки: Вы используете шифрование (TLS), но это будет должным образом разрешение на экспорт из Соединенных Штатов (и она поставляется с iPhone), так что все в порядке.
BlueRaja - Дэнни Пфлюгофт

Умный комментарий, BlueRaja. Я думал только о том, чтобы не писать код, но, думая об этом с вашей точки зрения, очевидно, что HTTPS от Apple уже авторизован. Это делает вопрос намного проще, я думаю.
Стивен Фишер

11
То, что библиотека лицензирована для экспорта, не означает, что ваш продукт, который использует библиотеку, также лицензирован. Я знаю, что это не имеет смысла логически, но это правительство, которое мы обсуждаем. Посмотрите ссылку в ответе Тима или спросите Apple или BIS США напрямую, если вы хотите получить авторитетный ответ.
Стив Мэдсен
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.