La mia applicazione "contiene crittografia"?

Sto caricando un binario per la prima volta. iTunes Connect mi ha chiesto:

Le leggi sull'esportazione richiedono che i prodotti contenenti crittografia siano adeguatamente autorizzati per l'esportazione.
La mancata osservanza può comportare gravi sanzioni.
Per ulteriori informazioni, clicca qui.
Il tuo prodotto contiene crittografia?

Io uso https://, ma solo tramite NSURLConnectione UIWebView.

La mia lettura di questo è che la mia app non "contiene crittografia", ma mi chiedo se questo sia scritto da nessuna parte. "Penalità severe" non sembrano affatto piacevoli, quindi "Penso che sia giusto" è un po 'impreciso ... una risposta autorevole sarebbe meglio.

Grazie.

[ AGGIORNAMENTO : l'utilizzo di HTTPS è ora esente da ERN alla fine di settembre 2016] https://stackoverflow.com/a/40919650/4976373

Sfortunatamente, ritengo che la tua app "contenga la crittografia" in termini di BRI USA anche se utilizzi solo HTTPS (se la tua app non fa eccezione nella domanda 2).

Citazione dalle FAQ su iTunes Connect :

" Come faccio a sapere se posso seguire il processo ERN (Exporter Registration and Reporting)?

Se la tua app utilizza , accede, implementa o incorpora algoritmi di crittografia standard del settore per scopi diversi da quelli elencati come esenzioni nella domanda 2, è necessario presentare un'autorizzazione ERN . Esempi di crittografia standard sono: AES, SSL, https . Questa autorizzazione richiede che tu invii un rapporto annuale a due agenzie del governo degli Stati Uniti con informazioni sulla tua app ogni gennaio. "

" 2a domanda: il tuo prodotto è idoneo per eventuali esenzioni previste dalla categoria 5 parte 2?

Esistono diverse esenzioni nelle normative statunitensi sull'esportazione ai sensi della Categoria 5 Parte 2 (Normative sulla sicurezza e la crittografia delle informazioni) per applicazioni e software che utilizzano, accedono, implementano o incorporano la crittografia.

Tutte le responsabilità associate a interpretazioni errate delle normative sull'esportazione o richieste di esenzione inesatte sono a carico dei proprietari e degli sviluppatori delle app.

Puoi rispondere "SÌ" alla domanda se soddisfi uno dei seguenti criteri:

(i) se si determina che l'app non è classificata nella Categoria 5, Parte 2 dell'EAR in base alla guida fornita dalla BRI alla domanda di crittografia . È possibile accedere alla Dichiarazione di intesa per le apparecchiature mediche nel Supplemento n. 3 alla parte 774 dell'AER sul sito del Codice elettronico dei regolamenti federali. Visitare la domanda n. 15 nella sezione FAQ della pagina di crittografia per gli articoli di esempio elencati dalla BRI che possono richiedere esenzioni per la nota 4.

(ii) la tua app utilizza, accede, implementa o incorpora la crittografia solo per l'autenticazione

(iii) la tua app utilizza, accede, implementa o incorpora la crittografia con lunghezze di chiave non superiori a 56 bit simmetriche, 512 bit asimmetriche e / o 112 bit ellittiche

(iv) la tua app è un prodotto del mercato di massa con lunghezze di chiave non superiori a 64 bit simmetriche o, se non esistono algoritmi simmetrici, non superiori a 768 bit asimmetrici e / o curva ellittica a 128 bit.

Si prega di rivedere la Nota 3 nella Categoria 5 Parte 2 per comprendere i criteri per la definizione del mercato di massa.

(v) la tua app è appositamente progettata e limitata per uso bancario o "transazioni di denaro". Il termine "transazioni monetarie" comprende la raccolta e il regolamento di tariffe o funzioni di credito.

(vi) il codice sorgente della tua app è "disponibile pubblicamente", la tua app è distribuita gratuitamente al pubblico e hai soddisfatto i requisiti di notifica previsti al punto 740.13.

Visitare la pagina Web di crittografia nel caso in cui sia necessario ulteriore aiuto per determinare se l'app si qualifica per eventuali esenzioni.

Se ritieni che la tua app possa beneficiare di un'esenzione, rispondi "SÌ" alla domanda ".

Non è difficile ottenere l'approvazione per l'app nel modo corretto. SSL (HTTPS / TLS) è ancora crittografato e, a meno che non lo si usi solo per l'autenticazione, è necessario ottenere l'approvazione corretta. Ho appena ricevuto l'approvazione e la mia app è ora nello store per qualcosa che utilizza SSL per crittografare il traffico di dati (non solo l'autenticazione).

Ecco un post sul blog che ho fatto in modo che altri possano farlo nel modo corretto.

restrizioni all'esportazione di Apple iTunes

Ho posto a Apple la stessa domanda e ho ottenuto la risposta (da uno specialista della conformità delle esportazioni suor), secondo cui "l'invio di informazioni tramite https sta costringendo i dati a passare attraverso un canale sicuro da SSL, quindi rientra nel requisito del governo degli Stati Uniti per un Revisione e approvazione CCATS. " Nota che non ha importanza che Apple lo abbia già fatto per la sua implementazione SSL, ma per il governo, se usi la crittografia che è la stessa (per loro) come l'avresti codificata tu stesso. Ho anche aggiornato il nostro blog ( http://blog.theanimail.com ) poiché Tim si è collegato ad esso con aggiornamenti e dettagli sul processo. Spero che aiuti.

Se usi il framework di sicurezza o le librerie CommonCrypto fornite da Apple, includi criptovaluta nella tua app e devi rispondere di sì, quindi semplicemente perché le librerie sono state fornite da Apple non ti toglie il gancio.

Per quanto riguarda la domanda originale, i post recenti nei forum di sviluppo di Apple mi portano a credere che devi rispondere di sì anche se tutto ciò che usi è SSL.

Risposta breve: Sì, ma non devi fare nulla

Stavo cercando sul web questo per alcune ore. In realtà è abbastanza semplice e puoi verificarlo su itunes connect:

1. Tutto quello che devi fare

Se la tua app utilizza solo HTTPS o utilizza la crittografia solo per autenticazione, token, ecc., Non c'è nulla da fare, basta includere

<key>ITSAppUsesNonExemptEncryption</key><false/>

nel tuo Info.plist e hai finito .

2. Verifica

Puoi verificarlo in itunes connect.

• seleziona la tua app
• ha scelto le funzionalità
• ha scelto la crittografia
• fai clic su "+"
• seguire la finestra di dialogo
• per https o autenticazione la risposta è sì e sì

In ogni caso dovresti ovviamente leggerti attentamente attraverso la finestra di dialogo.

Un articolo molto utile può essere trovato qui:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Tutto ciò può essere molto confuso per uno sviluppatore di app che utilizza semplicemente TLS per connettersi ai propri server Web. Poiché ATS (App Transport Security) sta diventando sempre più importante e siamo incoraggiati a convertire tutto in https: penso che molti sviluppatori incontreranno questo problema.

La mia app scambia semplicemente i dati tra il nostro server e l'utente utilizzando il protocollo https. Vedere le parole "REGISTRAZIONE DEGLI USI" nelle dichiarazioni di non responsabilità è un po 'spaventoso, quindi ho chiamato l'ufficio del governo degli Stati Uniti nel loro ufficio e ho parlato con un rappresentante del Bureau of Industry and Security (BRI) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Il rappresentante mi ha chiesto della mia app e poiché ha superato il "test di funzione principale" in quanto non ha nulla a che fare con la sicurezza / comunicazioni e utilizza semplicemente https come canale per collegare i dati dei miei clienti ai nostri server - è rientrato nella categoria EAR99 il che significa che è esente dall'ottenimento dell'autorizzazione governativa (vedi https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Spero che questo aiuti altri sviluppatori di app.

A partire dal 20 settembre 2016, la registrazione non è più necessaria per le app che utilizzano https (o forse altre forme di crittografia): https://web.archive.org/web/20170312060607/https://www.bis.doc. Gov / index.php / informationsecurity2016-updates

In effetti, su SNAP-R non è più possibile scegliere la "registrazione della crittografia":

In particolare, notano:

Le registrazioni di crittografia non sono più necessarie: alcune delle informazioni della registrazione ora vanno nel Supp. Rapporto n. 8 alla parte 742.

Ciò significa che potrebbe essere necessario inviare un rapporto annuale alla BRI, ma non è necessario registrarsi e si può notare quando si invia l'app che è esente.

Sì, secondo le schermate delle informazioni sulla conformità all'esportazione di iTunes Connect, se si utilizza la crittografia iOS o MacOS integrata (portachiavi, https), si utilizza la crittografia ai fini delle normative sulle esportazioni del governo degli Stati Uniti. Il fatto che tu abbia diritto a un'esenzione dalla conformità all'esportazione dipende da cosa fa la tua app e da come usa questa crittografia. Le immagini allegate mostrano le schermate di conformità all'esportazione di iTunes Connect per aiutarti a determinare i tuoi obblighi di segnalazione di esportazione. In particolare, afferma:

Se si utilizza ATS o si effettua una chiamata a HTTPS, tenere presente che è necessario presentare un rapporto di autoclassificazione di fine anno al governo degli Stati Uniti. Per saperne di più

@hisnameisjimmy è corretto: noterai (almeno a partire da oggi, 1 ° dicembre 2016) quando vai a inviare la tua app per la revisione e raggiungi la procedura dettagliata sulla conformità delle esportazioni, noterai che il menu ora afferma che HTTPS è una versione esente di crittografia (se la usi per ogni chiamata):

Ho trovato queste domande frequenti dall'Ufficio per l'industria e la sicurezza degli Stati Uniti molto utili.

crittografia

La domanda 15 (Cos'è la nota 4?) È il punto importante:

...

Esempi di elementi esclusi dalla categoria 5, parte 2 dalla nota 4 includono, ma non sono limitati a, i seguenti:

Applicazioni per il consumatore. Qualche esempio:

prevenzione della pirateria e del furto di software o musica; musica, film, melodie / musica, foto digitali - lettori, registratori e organizzatori giochi / giochi - dispositivi, software di runtime, interfacce HDMI e altri componenti, strumenti di sviluppo TV LCD, Blu-ray / DVD, video on demand (VoD), cinema , videoregistratori digitali (DVR) / videoregistratori personali (PVR) - dispositivi, guide multimediali online, integrità e protezione dei contenuti commerciali, interfacce HDMI e altri componenti (non videoconferenza); stampanti, fotocopiatrici, scanner, fotocamere digitali, fotocamere Internet - comprese parti e sottoassiemi di utilità e apparecchi domestici

Trovate alcune di queste risposte molto utili, ma volevo aggiungere questo URL per completezza poiché ti guida attraverso le domande:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Le istruzioni per completare i moduli SNAP-R 2020 sono disponibili a questo link. Anche le istruzioni del rapporto annuale di autoclassificazione sono aggiornate per il 2020.

https://stackoverflow.com/a/61431496/1217670

Le risposte semplici sono Sì (l'app ha la crittografia) e Sì (l'app utilizza la crittografia esente). Nella mia applicazione, sto solo aprendo il sito Web della mia azienda in WKWebView ma poiché utilizza "https", verrà considerato come crittografia esente. Documento Apple per ulteriori informazioni: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

In alternativa, puoi semplicemente aggiungere la chiave "ITSAppUsesNonExemptEncryption" e il valore "NO" nel file info.plist della tua app. e in questo modo iTunes Connect non ti farà più queste domande. Maggiori informazioni: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Puoi seguire questi 3 semplici passaggi per verificare se l'applicazione è esente o meno: https://help.apple.com/app-store-connect/#/dev63c95e436

Potrebbe essere necessario presentare questa autoclassificazione annuale al governo degli Stati Uniti. Per maggiori informazioni: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

Se non stai utilizzando esplicitamente una libreria di crittografia o stai eseguendo il rollup del tuo codice di crittografia, penso che la risposta sia "no"