Содержит ли мое приложение шифрование?

Я загружаю двоичный файл впервые. iTunes Connect спросил меня:

Законы об экспорте требуют, чтобы продукты, содержащие шифрование, были должным образом авторизованы для экспорта.
Невыполнение может привести к серьезным штрафам.
Для получения дополнительной информации, нажмите здесь.
Ваш продукт содержит шифрование?

Я пользуюсь https://, но только через NSURLConnectionи UIWebView.

Насколько я понимаю, мое приложение «не содержит шифрования», но мне интересно, если это где-то прописано. «Суровые штрафы» вовсе не кажутся приятными, поэтому «я думаю, что это правильно» немного отрывочно… авторитетный ответ был бы лучше.

Спасибо.

[ ОБНОВЛЕНИЕ : использование HTTPS теперь освобождено от ERN с конца сентября 2016 года] https://stackoverflow.com/a/40919650/4976373

К сожалению, я считаю, что ваше приложение «содержит шифрование» с точки зрения BIS США, даже если вы просто используете HTTPS (если ваше приложение не является исключением, включенным в вопрос 2).

Цитата из FAQ по iTunes Connect :

« Как узнать, могу ли я следовать процессу регистрации и отчетности экспортеров (ERN)?

Если ваше приложение использует , осуществляет доступ, внедряет или включает в себя стандартные алгоритмы шифрования для целей, отличных от тех, которые перечислены в качестве исключений в вопросе 2, вам необходимо подать заявку на авторизацию ERN . Примеры стандартного шифрования: AES, SSL, https . Это разрешение требует, чтобы вы представляли ежегодный отчет в два правительственных учреждения США с информацией о вашем приложении каждый январь. "

« Второй вопрос: соответствует ли ваш продукт каким-либо исключениям, предусмотренным в категории 5, часть 2?

Существует несколько исключений, доступных в правилах экспорта США по категории 5, часть 2 (правила информационной безопасности и шифрования) для приложений и программного обеспечения, которые используют, осуществляют доступ, внедряют или включают шифрование.

Все обязательства, связанные с неверным толкованием правил экспорта или неточным заявлением об освобождении, несут владельцы и разработчики приложений.

Вы можете ответить «ДА» на вопрос, если вы соответствуете одному из следующих критериев:

(i) если вы определите, что ваше приложение не относится к категории 5, часть 2 EAR, на основании указаний, предоставленных BIS по вопросу шифрования . С Заявлением о взаимопонимании по медицинскому оборудованию в Дополнении № 3 к Части 774 EAR можно ознакомиться на сайте Электронного кодекса Федерального регламента. Пожалуйста, посетите Вопрос № 15 в разделе часто задаваемых вопросов на странице шифрования для образцов элементов, перечисленных BIS, которые могут претендовать на исключения Примечание 4.

(ii) ваше приложение использует, осуществляет доступ, внедряет или включает шифрование только для аутентификации

(iii) ваше приложение использует, осуществляет доступ, внедряет или включает шифрование с длиной ключа, не превышающей 56-битную симметричную, 512-битную асимметричную и / или 112-битную эллиптическую кривую

(iv) ваше приложение является продуктом массового рынка с длиной ключа, не превышающей 64-битную симметричную, или, если нет симметричных алгоритмов, не превышающей 768-битную асимметричную и / или 128-битную эллиптическую кривую.

Пожалуйста, ознакомьтесь с примечанием 3 в категории 5, часть 2, чтобы понять критерии определения массового рынка.

(v) ваше приложение специально разработано и ограничено для банковского использования или «денежных транзакций». Термин «денежные операции» включает сбор и оплату тарифов или функции кредита.

(vi) исходный код вашего приложения является «общедоступным», ваше приложение распространяется бесплатно для широкой публики, и вы выполнили требования к уведомлениям, предусмотренные в 740.13. (e).

Пожалуйста, посетите шифрование веб-страницу на случай, если вам понадобится дополнительная помощь в определении того, соответствует ли ваше приложение каким-либо исключениям.

Если вы считаете, что ваше приложение имеет право на исключение, ответьте «ДА» на вопрос ».

Нетрудно получить одобрение для вашего приложения надлежащим образом. SSL (HTTPS / TLS) по-прежнему является шифрованием, и, если вы используете его только для аутентификации, вы должны получить соответствующее одобрение. Я только что получил одобрение, и мое приложение сейчас в магазине для чего-то, что использует SSL для шифрования трафика данных (а не только аутентификацию).

Вот запись в блоге, которую я сделал, чтобы другие могли сделать это правильно.

ограничения на экспорт Apple ITunes

Я задал Apple тот же вопрос и получил ответ (от специалиста по соблюдению экспортных требований), что «отправка информации через https вынуждает данные проходить через защищенный канал из SSL, поэтому подпадает под действие требований правительства США для Обзор и одобрение CCATS. " Обратите внимание, что не имеет значения, что Apple уже сделала это для своей реализации SSL, но для правительства, если вы используете шифрование, такое же (для них), как вы бы его кодировали сами. Я также обновил наш блог ( http://blog.theanimail.com ), так как Тим связал с ним обновления и подробную информацию о процессе. Надеюсь, это поможет.

Если вы используете платформу безопасности или библиотеки CommonCrypto, предоставляемые Apple, вы включаете криптографию в свое приложение, и вы должны ответить «да» - просто потому, что библиотеки, предоставленные Apple, не снимают вас с крючка.

Что касается первоначального вопроса, последние сообщения на форумах Apple Development Forum заставляют меня поверить, что вам нужно ответить «да», даже если вы используете только SSL.

Краткий ответ: да, но вам не нужно ничего делать

Я искал в Интернете это несколько часов. На самом деле это довольно просто, и вы можете проверить это в itunes connect:

1. Все, что вам нужно сделать

Если ваше приложение использует только HTTPS или использует шифрование только для аутентификации, токенов и т. Д., Вам ничего не нужно делать, просто включите

<key>ITSAppUsesNonExemptEncryption</key><false/>

в вашем Info.plist и все готово .

2. Проверка

Вы можете проверить это в Itunes Connect.

• выберите ваше приложение
• выбрал функции
• выбрал шифрование
• нажмите "+"
• следить за диалогом
• для https или аутентификации ответ - да и да

В любом случае вы должны, конечно, внимательно прочитать себя в диалоге.

Очень полезную статью можно найти здесь:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Все это может сбить с толку разработчика приложений, который просто использует TLS для подключения к своим собственным веб-серверам. Поскольку ATS (App Transport Security) становится все более важным, и мы призываем все конвертировать в https - я думаю, что больше разработчиков столкнется с этой проблемой.

Мое приложение просто обменивается данными между нашим сервером и пользователем по протоколу https. Видеть слова «ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ» в заявлении об отказе от ответственности немного страшно, поэтому я позвонил в офис правительства США в их офисе и поговорил с представителем Бюро промышленности и безопасности (BIS) http: //www.bis.doc. .gov / index.php / about-bis / contact-bis .

Представитель спросил меня о моем приложении, и, поскольку оно прошло «тест основной функции» в том смысле, что оно не имеет ничего общего с безопасностью / связью и просто использует https в качестве канала для подключения данных моих клиентов к нашим серверам - оно попало в категорию EAR99 это означает, что он не может получить разрешение правительства (см. https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn. ).

Надеюсь, это поможет другим разработчикам приложений.

По состоянию на 20 сентября 2016 г. регистрация больше не требуется для приложений, использующих https (или, возможно, другие формы шифрования): https://web.archive.org/web/20170312060607/https://www.bis.doc. GOV / index.php / informationsecurity2016-обновления

Фактически, в SNAP-R вы больше не можете выбирать «регистрацию шифрования»:

В частности, они отмечают:

Регистрация шифрования больше не требуется - часть информации от регистрации теперь поступает в Supp. № 8 до части 742 доклада.

Это означает, что вам может потребоваться отправить годовой отчет в BIS, но вам не нужно регистрироваться, и вы можете отметить, что при подаче заявления оно освобождается.

Да, в соответствии с экранами Информации о соответствии экспорта экспорта iTunes Connect, если вы используете встроенное шифрование iOS или MacOS (цепочка для ключей, https), вы используете шифрование для целей экспортных правил правительства США. Имеете ли вы право на освобождение от соблюдения экспортных требований, зависит от того, что делает ваше приложение и как оно использует это шифрование. Прикрепленные изображения показывают экраны соответствия экспорту iTunes Connect, чтобы помочь вам определить свои обязательства по отчетам об экспорте. В частности, в нем говорится:

Если вы используете ATS или звоните в HTTPS, имейте в виду, что вы должны подать годовой отчет о самостоятельной классификации в правительство США. Учить больше

@hisnameisjimmy правильно: вы заметите (по крайней мере, на сегодняшний день, 1 декабря 2016 г.), когда вы отправите свое приложение на проверку и пройдете по пошаговой инструкции Экспортного соответствия, вы заметите, что в меню теперь говорится, что HTTPS является освобожденной версией шифрование (если вы используете его для каждого звонка):

Я нашел этот FAQ от Бюро промышленности и безопасности США очень полезным.

шифрование

Вопрос 15 (Что такое Примечание 4?) Является важным моментом:

...

Примеры элементов, которые исключены из категории 5, часть 2 примечанием 4, включают, но не ограничиваются следующим:

Потребительские приложения. Некоторые примеры:

предотвращение пиратства и кражи программного обеспечения или музыки; музыка, фильмы, мелодии / музыка, цифровые фотографии - плееры, рекордеры и органайзеры игры / игры - устройства, исполняемое программное обеспечение, интерфейсы HDMI и других компонентов, средства разработки LCD TV, Blu-ray / DVD, видео по запросу (VoD), кино цифровые видеомагнитофоны (DVR) / персональные видеомагнитофоны (PVR) - устройства, онлайновые гиды, целостность и защита коммерческого контента, интерфейсы HDMI и других компонентов (не видеоконференцсвязь); принтеры, копиры, сканеры, цифровые камеры, интернет-камеры - включая детали и узлы, бытовые приборы и устройства

Нашел некоторые из этих ответов очень полезными, но хотел добавить этот URL для полноты, так как он проведет вас через вопросы:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Инструкции по заполнению форм SNAP-R 2020 можно найти по этой ссылке. Также обновлены инструкции к Ежегодному отчету о самостоятельной классификации к 2020 году.

https://stackoverflow.com/a/61431496/1217670

Простые ответы: да (приложение имеет шифрование) и да (приложение использует исключительное шифрование). В моем приложении я просто открываю веб-сайт моей компании в WKWebView, но поскольку он использует «https», он будет рассматриваться как исключительное шифрование. Документ Apple для получения дополнительной информации: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Кроме того, вы можете просто добавить ключ «ITSAppUsesNonExemptEncryption» и значение «NO» в файле info.plist вашего приложения. и таким образом iTunes connect больше не будет задавать вам эти вопросы. Дополнительная информация: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Вы можете выполнить эти 3 простых шага, чтобы проверить, освобождено ли ваше приложение или нет: https://help.apple.com/app-store-connect/#/dev63c95e436

Возможно, вам придется подать эту ежегодную самостоятельную классификацию в правительство США. Для получения дополнительной информации: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

Если вы явно не используете библиотеку шифрования или не используете собственный код шифрования, тогда я думаю, что ответ «нет»