La mia applicazione "contiene crittografia"?


372

Sto caricando un binario per la prima volta. iTunes Connect mi ha chiesto:

Le leggi sull'esportazione richiedono che i prodotti contenenti crittografia siano adeguatamente autorizzati per l'esportazione.
La mancata osservanza può comportare gravi sanzioni.
Per ulteriori informazioni, clicca qui.
Il tuo prodotto contiene crittografia?

Io uso https://, ma solo tramite NSURLConnectione UIWebView.

La mia lettura di questo è che la mia app non "contiene crittografia", ma mi chiedo se questo sia scritto da nessuna parte. "Penalità severe" non sembrano affatto piacevoli, quindi "Penso che sia giusto" è un po 'impreciso ... una risposta autorevole sarebbe meglio.

Grazie.


Se l'app effettua solo chiamate a HTTPS, non è richiesta alcuna documentazione in App Store Connect. Tuttavia, è necessario inviare direttamente un rapporto di autoclassificazione all'Ufficio degli Stati Uniti per l'industria e la sicurezza (BRI). Vedi un buon riepilogo di Apple: esportazione della documentazione di conformità per la crittografia
vvkatwss vvkatwss

qualcuno sa per la tabella che vuole che compiliamo se utilizziamo InMobi SDK (basato fuori dall'India) se questo è considerato un componente non statunitense e non fabbricato?
isJulian00

Risposte:


215

[ AGGIORNAMENTO : l'utilizzo di HTTPS è ora esente da ERN alla fine di settembre 2016] https://stackoverflow.com/a/40919650/4976373


Sfortunatamente, ritengo che la tua app "contenga la crittografia" in termini di BRI USA anche se utilizzi solo HTTPS (se la tua app non fa eccezione nella domanda 2).

Citazione dalle FAQ su iTunes Connect :

" Come faccio a sapere se posso seguire il processo ERN (Exporter Registration and Reporting)?

Se la tua app utilizza , accede, implementa o incorpora algoritmi di crittografia standard del settore per scopi diversi da quelli elencati come esenzioni nella domanda 2, è necessario presentare un'autorizzazione ERN . Esempi di crittografia standard sono: AES, SSL, https . Questa autorizzazione richiede che tu invii un rapporto annuale a due agenzie del governo degli Stati Uniti con informazioni sulla tua app ogni gennaio. "

" 2a domanda: il tuo prodotto è idoneo per eventuali esenzioni previste dalla categoria 5 parte 2?

Esistono diverse esenzioni nelle normative statunitensi sull'esportazione ai sensi della Categoria 5 Parte 2 (Normative sulla sicurezza e la crittografia delle informazioni) per applicazioni e software che utilizzano, accedono, implementano o incorporano la crittografia.

Tutte le responsabilità associate a interpretazioni errate delle normative sull'esportazione o richieste di esenzione inesatte sono a carico dei proprietari e degli sviluppatori delle app.

Puoi rispondere "SÌ" alla domanda se soddisfi uno dei seguenti criteri:

(i) se si determina che l'app non è classificata nella Categoria 5, Parte 2 dell'EAR in base alla guida fornita dalla BRI alla domanda di crittografia . È possibile accedere alla Dichiarazione di intesa per le apparecchiature mediche nel Supplemento n. 3 alla parte 774 dell'AER sul sito del Codice elettronico dei regolamenti federali. Visitare la domanda n. 15 nella sezione FAQ della pagina di crittografia per gli articoli di esempio elencati dalla BRI che possono richiedere esenzioni per la nota 4.

(ii) la tua app utilizza, accede, implementa o incorpora la crittografia solo per l'autenticazione

(iii) la tua app utilizza, accede, implementa o incorpora la crittografia con lunghezze di chiave non superiori a 56 bit simmetriche, 512 bit asimmetriche e / o 112 bit ellittiche

(iv) la tua app è un prodotto del mercato di massa con lunghezze di chiave non superiori a 64 bit simmetriche o, se non esistono algoritmi simmetrici, non superiori a 768 bit asimmetrici e / o curva ellittica a 128 bit.

Si prega di rivedere la Nota 3 nella Categoria 5 Parte 2 per comprendere i criteri per la definizione del mercato di massa.

(v) la tua app è appositamente progettata e limitata per uso bancario o "transazioni di denaro". Il termine "transazioni monetarie" comprende la raccolta e il regolamento di tariffe o funzioni di credito.

(vi) il codice sorgente della tua app è "disponibile pubblicamente", la tua app è distribuita gratuitamente al pubblico e hai soddisfatto i requisiti di notifica previsti al punto 740.13.

Visitare la pagina Web di crittografia nel caso in cui sia necessario ulteriore aiuto per determinare se l'app si qualifica per eventuali esenzioni.

Se ritieni che la tua app possa beneficiare di un'esenzione, rispondi "SÌ" alla domanda ".


7
Questa è un'ottima risposta. In effetti, è così bello che l'ho accettato. Tuttavia, il collegamento non è necessariamente seguibile. Per accedere al documento, accedi a iTunes Connect, fai clic sul link Domande frequenti nella parte inferiore della pagina, quindi fai clic su Conformità World Wide Trade per l'App Store.
Steven Fisher,

39
C'è un aggiornamento chiamato "Nota 4" che esonera la maggior parte delle app commerciali dalla Categoria 5 Parte 2: bis.doc.gov/index.php/policy-guidance/encryption/… Questo significa che la maggior parte delle app che usano la crittografia per supportare la loro funzione principale sono bene senza registrazione
Andrew Alcock,

7
@AndrewAlcock Solo se la loro funzione principale non è "Sicurezza delle informazioni", né "Un computer, compresi i sistemi operativi, parti e componenti relativi", né "Invio, ricezione o archiviazione di informazioni (tranne che a supporto di intrattenimento, trasmissioni commerciali di massa, diritti digitali gestione o gestione delle cartelle cliniche); " né "Networking (include operazioni, amministrazione, gestione e provisioning". Sfortunatamente penso che molte app aziendali richiedano ancora la registrazione. I giochi ora sono probabilmente a posto!
JosephH,

26
Quindi se la mia app accede a un'API tramite HTTPS si qualifica o no? Potresti fornire esempi di questi quattro criteri?
H.Rabiee,

17
Non puoi aspettarti che ogni sviluppatore di app indipendente in un garage mantenga un avvocato. È costoso e potenzialmente richiede tempo con tutte le spiegazioni generali.
Cindeselia,

91

Non è difficile ottenere l'approvazione per l'app nel modo corretto. SSL (HTTPS / TLS) è ancora crittografato e, a meno che non lo si usi solo per l'autenticazione, è necessario ottenere l'approvazione corretta. Ho appena ricevuto l'approvazione e la mia app è ora nello store per qualcosa che utilizza SSL per crittografare il traffico di dati (non solo l'autenticazione).

Ecco un post sul blog che ho fatto in modo che altri possano farlo nel modo corretto.

restrizioni all'esportazione di Apple iTunes


1
Buone informazioni, ma la domanda non è se è difficile ottenere l'approvazione, ma se è necessario. Secondo questa risposta ufficiale non può essere in questo caso (nota 3 e nota 4 qui possono puntare allo stesso risultato).
Paul Kulchenko,

Grazie per questo. Sembra che ora la richiesta iniziale di CIN / PIN debba essere inviata per posta, non via fax o via e-mail. Nella pagina pertinente ( snapr.bis.doc.gov/snapr/docs/fieldHelp.html e ricerca "Lettera di presentazione elettronica"), non forniscono un indirizzo di posta elettronica di superficie. Qualcuno sa di cosa si tratta?
Chris Prince,

1
Cordiali saluti - Niente di tutto ciò è importante se prevedi di rendere disponibile la tua app negli Stati Uniti e in Canada. Questo proviene dai documenti di supporto di iTunes Connect: "(Se) Uno sviluppatore sceglie di rilasciare la sua app solo negli Stati Uniti e in Canada. - Non è richiesta alcuna CCATS o ERN negli Stati Uniti. Non è richiesta alcuna Dichiarazione di importazione in Francia."
PICyourBrain

qualcuno sa per la tabella che vuole che compiliamo se utilizziamo InMobi SDK (basato fuori dall'India) se questo è considerato un componente non statunitense e non fabbricato?
isJulian00

Ho pubblicato la mia app dopo gennaio. In questo caso devo inviare questo rapporto ora o posso aspettare fino al prossimo anno?
user924

47

Ho posto a Apple la stessa domanda e ho ottenuto la risposta (da uno specialista della conformità delle esportazioni suor), secondo cui "l'invio di informazioni tramite https sta costringendo i dati a passare attraverso un canale sicuro da SSL, quindi rientra nel requisito del governo degli Stati Uniti per un Revisione e approvazione CCATS. " Nota che non ha importanza che Apple lo abbia già fatto per la sua implementazione SSL, ma per il governo, se usi la crittografia che è la stessa (per loro) come l'avresti codificata tu stesso. Ho anche aggiornato il nostro blog ( http://blog.theanimail.com ) poiché Tim si è collegato ad esso con aggiornamenti e dettagli sul processo. Spero che aiuti.


22
"Sr. Export Compliance Specialist", sul serio? Esiste un esercito di specialisti della conformità delle esportazioni junior presso Apple che offrono solo così consigli sulle domande di conformità? Penso che tu sia stato ingannato. È comprensibile che Apple vorrebbe sbagliare per precauzione. Ma l'accordo reale che regola le restrizioni all'esportazione indicherebbe che sono sbagliate: httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Udo

@Udo Ti riferisci alla sezione "Mod_ssl è interessato dall'accordo Wasenaar"? Se lo sei, anche se non so quale sia la risposta corretta alla domanda di OP, vorrei sottolineare che il documento a cui ti riferisci non si applica, dal momento che nessuna app dell'App Store è resa disponibile "senza restrizioni sulla sua ulteriore diffusione ". Mi piacerebbe moltissimo essere
smentito

16
@Udo e le persone che hanno votato il suo commento. Oh, come ti sbagli così tanto . Primo, potresti usare il tuo buon senso: sarebbe il tuo primo errore. Il buon senso non si applica quando si tratta di controllo delle esportazioni. In secondo luogo, httpd.apache.org non è un sito web affiliato al Dipartimento del Commercio degli Stati Uniti, quindi se ti fidi delle informazioni su quel sito, stai commettendo un altro errore. Per quello che vale, la maggior parte della mia carriera è stata spesa scrivendo software di intelligence, in gran parte per prodotti per la difesa che vengono esportati in altri paesi. So di cosa sto parlando (purtroppo).
Nate,

8
@Nate, ciò significa che non esiste un esercito di specialisti della conformità delle esportazioni junior? :)
bbozo,

qualcuno sa per la tabella che vuole che compiliamo se utilizziamo InMobi SDK (basato fuori dall'India) se questo è considerato un componente non statunitense e non fabbricato?
isJulian00

38

Se usi il framework di sicurezza o le librerie CommonCrypto fornite da Apple, includi criptovaluta nella tua app e devi rispondere di sì, quindi semplicemente perché le librerie sono state fornite da Apple non ti toglie il gancio.

Per quanto riguarda la domanda originale, i post recenti nei forum di sviluppo di Apple mi portano a credere che devi rispondere di sì anche se tutto ciò che usi è SSL.


Questo è corretto per quanto ne sappia. Le leggi sull'esportazione della crittografia sono draconiane in quanto rigorose (considerando il fatto che il software può essere trasmesso su una rete senza sforzo), ma questo requisito non ha nulla a che fare con il fatto che un particolare approccio o implementazione di crittografia sia "autorizzato", ma che il sistema (la tua app) utilizzandola viene prima controllata. #IANAL, tuttavia.
Justin Searls,

qualcuno sa per la tabella che vuole che compiliamo se utilizziamo InMobi SDK (basato fuori dall'India) se questo è considerato un componente non statunitense e non fabbricato?
isJulian00

34

Risposta breve: Sì, ma non devi fare nulla

Stavo cercando sul web questo per alcune ore. In realtà è abbastanza semplice e puoi verificarlo su itunes connect:

1. Tutto quello che devi fare

Se la tua app utilizza solo HTTPS o utilizza la crittografia solo per autenticazione, token, ecc., Non c'è nulla da fare, basta includere

<key>ITSAppUsesNonExemptEncryption</key><false/>

nel tuo Info.plist e hai finito .

2. Verifica

Puoi verificarlo in itunes connect.

  • seleziona la tua app
  • ha scelto le funzionalità
  • ha scelto la crittografia
  • fai clic su "+"
  • seguire la finestra di dialogo
  • per https o autenticazione la risposta è e

In ogni caso dovresti ovviamente leggerti attentamente attraverso la finestra di dialogo.


Un articolo molto utile può essere trovato qui:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/


7
Sto leggendo quanto segue da Apple: "L'uso della crittografia da parte della tua app si limita a effettuare chiamate tramite HTTPS. Tieni presente che sarai responsabile dell'invio di un rapporto di autoclassificazione alla fine dell'anno." Penso che devi ancora autoclassificarti come esente ogni gennaio qui: bis.doc.gov/index.php/policy-guidance/encryption/…
Joshua Plicque

qualcuno sa per la tabella che vuole che compiliamo se utilizziamo InMobi SDK (basato fuori dall'India) se questo è considerato un componente non statunitense e non fabbricato?
isJulian00

33

Tutto ciò può essere molto confuso per uno sviluppatore di app che utilizza semplicemente TLS per connettersi ai propri server Web. Poiché ATS (App Transport Security) sta diventando sempre più importante e siamo incoraggiati a convertire tutto in https: penso che molti sviluppatori incontreranno questo problema.

La mia app scambia semplicemente i dati tra il nostro server e l'utente utilizzando il protocollo https. Vedere le parole "REGISTRAZIONE DEGLI USI" nelle dichiarazioni di non responsabilità è un po 'spaventoso, quindi ho chiamato l'ufficio del governo degli Stati Uniti nel loro ufficio e ho parlato con un rappresentante del Bureau of Industry and Security (BRI) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Il rappresentante mi ha chiesto della mia app e poiché ha superato il "test di funzione principale" in quanto non ha nulla a che fare con la sicurezza / comunicazioni e utilizza semplicemente https come canale per collegare i dati dei miei clienti ai nostri server - è rientrato nella categoria EAR99 il che significa che è esente dall'ottenimento dell'autorizzazione governativa (vedi https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Spero che questo aiuti altri sviluppatori di app.


Questo è dalla memoria e non vedo lo schermo da un po 'di tempo, ma: se passi attraverso l'uploader ora, puoi rispondere Sì alla domanda di crittografia, la domanda successiva riguarda le esenzioni. Spiega in dettaglio e non ho avuto problemi a contare la mia app come se avesse la crittografia e comunque riuscisse a superarla.
Steven Fisher,

5
Per riassumere, un'applicazione consumer media che utilizza https per le comunicazioni client-server di solito rientra nell'esenzione Nota 4. Quindi uno sviluppatore indipendente medio dovrebbe semplicemente scegliere "Sì" e poi di nuovo "Sì" e procedere direttamente all'invio. Le FAQ di iTunes Connect hanno anche un link a questa domanda n. 5 nelle FAQ che spiega la Nota 4 e ha anche alcuni esempi: bis.doc.gov/index.php/policy-guidance/encryption/…
Vitalii

1
@Vitalii questo link ora è un 404
1800 INFORMAZIONI

@ 1800INFORMATION le cose cambiano. Il mio commento è datato 2016. Da allora ci sono stati alcuni cambiamenti nei requisiti. Meglio affidarsi ai documenti di Apple: help.apple.com/app-store-connect/#/devc3f64248f
Vitalii

qualcuno sa per la tabella che vuole che compiliamo se utilizziamo InMobi SDK (basato fuori dall'India) se questo è considerato un componente non statunitense e non fabbricato?
isJulian00

31

A partire dal 20 settembre 2016, la registrazione non è più necessaria per le app che utilizzano https (o forse altre forme di crittografia): https://web.archive.org/web/20170312060607/https://www.bis.doc. Gov / index.php / informationsecurity2016-updates

In effetti, su SNAP-R non è più possibile scegliere la "registrazione della crittografia": inserisci qui la descrizione dell'immagine

In particolare, notano:

Le registrazioni di crittografia non sono più necessarie: alcune delle informazioni della registrazione ora vanno nel Supp. Rapporto n. 8 alla parte 742.

Ciò significa che potrebbe essere necessario inviare un rapporto annuale alla BRI, ma non è necessario registrarsi e si può notare quando si invia l'app che è esente.


Grazie ma il collegamento è interrotto. Potresti trovare l'articolo originale da qualche parte in Internet?
bluastro

23

Sì, secondo le schermate delle informazioni sulla conformità all'esportazione di iTunes Connect, se si utilizza la crittografia iOS o MacOS integrata (portachiavi, https), si utilizza la crittografia ai fini delle normative sulle esportazioni del governo degli Stati Uniti. Il fatto che tu abbia diritto a un'esenzione dalla conformità all'esportazione dipende da cosa fa la tua app e da come usa questa crittografia. Le immagini allegate mostrano le schermate di conformità all'esportazione di iTunes Connect per aiutarti a determinare i tuoi obblighi di segnalazione di esportazione. In particolare, afferma:

Se si utilizza ATS o si effettua una chiamata a HTTPS, tenere presente che è necessario presentare un rapporto di autoclassificazione di fine anno al governo degli Stati Uniti. Per saperne di più

iTunes Connect Informazioni sulla conformità all'esportazione Q1

iTunes Connect Esporta informazioni sulla conformità Q2


22
Penso che una laurea in giurisprudenza possa essere necessaria per dare un senso a qualsiasi cosa sotto quel link "Ulteriori informazioni" ... Non c'è assolutamente nulla che indichi come si crea questo "rapporto di auto-classificazione di fine anno".
Tim Tisdall,

7
quindi un semplice pulsante che apre un URL https nel browser in modo che gli utenti possano trovare il mio account Twitter mi farà presentare un rapporto di autoclassificazione di fine anno al governo degli Stati Uniti? wow
Suhaib

4
È stato difficile da trovare, quindi ecco il link alle linee guida del rapporto di autoclassificazione (fino a quando non lo spostano di nuovo): bis.doc.gov/index.php/policy-guidance/encryption/…
helleye

2
@Suhaib - l'apertura di un collegamento nel browser probabilmente non conta - l'app non utilizza https, l'app sta aprendo un'altra app. Quell'app può o meno usare HTTPS (in questo caso, l'app è Safari o Chrome o simili)
csga5000

1
Ragazzi avete capito come fare questo rapporto annuale di autoclassificazione? (come non avvocati haha)
Rony Azrak,

20

@hisnameisjimmy è corretto: noterai (almeno a partire da oggi, 1 ° dicembre 2016) quando vai a inviare la tua app per la revisione e raggiungi la procedura dettagliata sulla conformità delle esportazioni, noterai che il menu ora afferma che HTTPS è una versione esente di crittografia (se la usi per ogni chiamata):

inserisci qui la descrizione dell'immagine

inserisci qui la descrizione dell'immagine


È stato così per un po ', ma quella risposta non risponde alla domanda: Sì, l'applicazione contiene la crittografia. Inoltre, sì, una domanda futura ti consente di uscirne. Che è anche esattamente ciò che dice la risposta accettata, solo la risposta accettata lo dice meglio. Modifica: inoltre, la modifica a quella risposta è ridondante.
Steven Fisher,

Limitato all'uso della crittografia all'interno del sistema operativo include i dati di cui viene automaticamente eseguito il backup nel cloud?
Ian Warburton,

qualcuno sa per la tabella che vuole che compiliamo se utilizziamo InMobi SDK (basato fuori dall'India) se questo è considerato un componente non statunitense e non fabbricato?
isJulian00

8

Ho trovato queste domande frequenti dall'Ufficio per l'industria e la sicurezza degli Stati Uniti molto utili.

crittografia

La domanda 15 (Cos'è la nota 4?) È il punto importante:

...

Esempi di elementi esclusi dalla categoria 5, parte 2 dalla nota 4 includono, ma non sono limitati a, i seguenti:

Applicazioni per il consumatore. Qualche esempio:

prevenzione della pirateria e del furto di software o musica; musica, film, melodie / musica, foto digitali - lettori, registratori e organizzatori giochi / giochi - dispositivi, software di runtime, interfacce HDMI e altri componenti, strumenti di sviluppo TV LCD, Blu-ray / DVD, video on demand (VoD), cinema , videoregistratori digitali (DVR) / videoregistratori personali (PVR) - dispositivi, guide multimediali online, integrità e protezione dei contenuti commerciali, interfacce HDMI e altri componenti (non videoconferenza); stampanti, fotocopiatrici, scanner, fotocamere digitali, fotocamere Internet - comprese parti e sottoassiemi di utilità e apparecchi domestici


6

Trovate alcune di queste risposte molto utili, ma volevo aggiungere questo URL per completezza poiché ti guida attraverso le domande:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148


Buon collegamento. Penso che la maggior parte delle persone che si imbattono in questi giorni si qualificheranno per un'esenzione in "L'uso della crittografia è limitato alla crittografia all'interno del sistema operativo (iOS o macOS)" o "Effettua chiamate solo su HTTPS".
Steven Fisher,


0

Le risposte semplici sono Sì (l'app ha la crittografia) e Sì (l'app utilizza la crittografia esente). Nella mia applicazione, sto solo aprendo il sito Web della mia azienda in WKWebView ma poiché utilizza "https", verrà considerato come crittografia esente. Documento Apple per ulteriori informazioni: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

In alternativa, puoi semplicemente aggiungere la chiave "ITSAppUsesNonExemptEncryption" e il valore "NO" nel file info.plist della tua app. e in questo modo iTunes Connect non ti farà più queste domande. Maggiori informazioni: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Puoi seguire questi 3 semplici passaggi per verificare se l'applicazione è esente o meno: https://help.apple.com/app-store-connect/#/dev63c95e436

Potrebbe essere necessario presentare questa autoclassificazione annuale al governo degli Stati Uniti. Per maggiori informazioni: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification


-1

Se non stai utilizzando esplicitamente una libreria di crittografia o stai eseguendo il rollup del tuo codice di crittografia, penso che la risposta sia "no"


10
Solo per elaborare: stai utilizzando la crittografia (TLS), ma è correttamente autorizzata per l'esportazione dagli Stati Uniti (e viene spedita con l'iPhone), quindi stai bene.
BlueRaja - Danny Pflughoeft,

Commento intelligente, BlueRaja. Stavo solo pensando di non scrivere il codice, ma pensandolo dal tuo punto di vista, è ovvio che l'HTTPS di Apple è già autorizzato. Ciò rende la domanda molto più semplice, penso.
Steven Fisher,

11
Solo perché una libreria è concessa in licenza per l'esportazione non significa che anche il prodotto che utilizza la libreria è concesso in licenza. So che non ha senso logicamente, ma questo è il governo di cui stiamo discutendo. Vedi il link nella risposta di Tim o chiedi direttamente ad Apple o alla BRI se vuoi una risposta autorevole.
Steve Madsen,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.