关于iphone:我的应用程序“包含加密”吗?

Does my application “contain encryption”?

我第一次上传二进制文件。iTunes Connect要求我:

Export laws require that products containing encryption be properly authorized for export.
Failure to comply could result in severe penalties.
For further information, click here.
Does your product contain encryption?

我使用https://,但只通过NSURLConnectionUIWebView

我的理解是我的应用程序不"包含加密",但我想知道它是否在任何地方被拼写出来。严厉的惩罚"听起来一点也不好听,所以"我认为这是对的"有点粗略…权威的回答会更好。

谢谢。


[更新:截至2016年9月下旬,使用HTTPS已从ERN中免除]https://stackoverflow.com/a/40919650/4976373

不幸的是,我相信你的应用"包含加密"就我们的bis而言,即使你只是使用https(如果你的应用不是问题2中包含的一个例外)。

引自iTunes Connect常见问题解答:

"我如何知道我是否可以遵循出口商注册和报告(ERN)流程?

如果您的应用程序使用、访问、实施或合并行业标准加密算法,而不是出于问题2中列出的豁免目的,您需要提交一份ERN授权。标准加密的例子有:aes、ssl、https。此授权要求您每年1月向两个美国政府机构提交一份关于您的应用程序的年度报告。"

"第二个问题:您的产品是否符合第5类第2部分规定的豁免条件?

对于使用、访问、实施或合并加密的应用程序和软件,美国出口条例第5类第2部分(信息安全和加密条例)中有几种豁免。

所有与错误解释出口法规或错误申请豁免相关的责任均由应用程序的所有者和开发者承担。

如果满足以下任何条件,您可以回答"是"。

(i)如果您根据BIS在加密问题上提供的指导确定您的应用程序不属于EAR第2部分第5类。EAR第774部分增补3中的医疗设备谅解声明可在联邦法规电子代码网站上查阅。请访问BIS所列示例项目加密页面常见问题部分的问题15,这些示例项目可以申请注释4豁免。

(ii)您的应用程序仅使用、访问、实施或合并加密进行身份验证

(iii)您的应用程序使用、访问、实施或合并密钥长度不超过56位对称、512位非对称和/或112位椭圆曲线的加密。

(iv)您的应用程序是密钥长度不超过64位对称的大众市场产品,或者如果没有对称算法,则不超过768位不对称和/或128位椭圆曲线。

请回顾第5类第2部分的注释3,了解大众市场定义的标准。

(v)您的应用程序是专门为银行使用或"货币交易"而设计和限制的。"货币交易"一词包括票价或信贷功能的收集和结算。

(vi)您的应用程序的源代码是"公开的",您的应用程序免费分发给公众,并且您已经满足740.13(e)中规定的通知要求。

如果您需要进一步的帮助来确定您的应用是否符合任何豁免条件,请访问加密网页。

如果您认为您的应用程序符合豁免条件,请回答"是"。


以正确的方式获得应用程序的批准并不难。ssl(https/tls)仍然是加密的,除非您只是使用它进行身份验证,否则您应该获得适当的批准。我刚刚得到批准,我的应用程序现在正在商店中,用于使用SSL加密数据流量(而不仅仅是身份验证)。

这是我写的一篇博文,这样其他人就可以用正确的方式来做。

苹果iTunes出口限制


我问了苹果同样的问题并得到了答案(来自一位高级出口合规专家),即"通过HTTPS发送信息迫使数据通过一个安全的SSL通道,因此它属于美国政府对CCAT审查和批准的要求。"请注意,苹果已经这样做并不重要。对于他们的SSL实现,但是对于政府而言,如果您使用的加密与您自己对其进行编码的加密相同(对他们而言)。我也更新了我们的博客(http://blog.theanimail.com),因为tim将更新和详细的过程链接到了它。希望有帮助。


如果您使用苹果提供的安全框架或公共加密库,您的应用程序中确实包含了加密,您必须回答"是",因为库是由苹果提供的,不会让您脱身。

关于最初的问题,最近在苹果开发论坛上发表的文章让我相信,即使你只使用SSL,你也需要回答"是"。


截至2016年9月20日,使用https(或其他加密形式)的应用程序不再需要注册:https://web.archive.org/web/201703120607/https://www.bis.doc.gov/index.php/informationSecurity2016-updates

事实上,在SNAP-R上,您不能再选择"加密注册":enter image description here

具体来说,他们注意到:

Encryption Registrations no longer required – some of the information
from the registration now goes into the Supp. No. 8 to Part 742
report.

这意味着您可能需要向BIS发送一份年度报告,但您不需要注册,并且在提交应用程序时可以注意到它是免税的。


对于一个只使用TLS连接到自己的Web服务器的应用程序开发人员来说,所有这些都会非常令人困惑。因为ATS(应用传输安全)变得越来越重要,我们被鼓励将所有内容转换为HTTPS——我认为会有更多的开发人员遇到这个问题。

我的应用程序只是使用HTTPS协议在服务器和用户之间交换数据。看到免责声明中的"使用加密"这个词有点吓人,所以我给美国政府办公室打了个电话,并与工业和安全局(BIS)的一位代表进行了交谈:http://www.bis.doc.gov/index.php/about-bis/contact-bis。

该代表向我询问了我的应用程序,由于它通过了"主要功能测试",因为它与安全/通信没有任何关系,只是使用HTTPS作为将我的客户数据连接到我们的服务器的通道-它属于EAR99类别,这意味着它不需要获得政府许可(参见https://www.bis.doc.gov/index.php/licensing/commerce control list classification/export control分类号eccn)

我希望这能帮助其他应用程序开发人员。


简短回答:是的,但你不必做任何事

我在网上搜索了几个小时。实际上,这非常简单,您可以在iTunes Connect中验证:

1。你要做的就是

如果您的应用程序仅使用HTTPS或仅使用加密进行身份验证、令牌等,那么您无需做任何事情,只需包括

1
<key>ITSAppUsesNonExemptEncryption</key><false/>

在你的info.plist中,你就完成了。

2。验证

您可以在iTunes Connect中对此进行验证。

  • 选择你的应用程序
  • 选择的功能
  • 选择加密
  • 点击"+"
  • 跟随对话
  • 对于HTTPS或身份验证,答案是"是"和"是"。

在任何情况下,你都应该仔细阅读整个对话。

这里有一篇非常有用的文章:

https://www.cocanetics.com/2017/02/itunes-connect-encryption-info/


是的,根据iTunes Connect出口合规性信息屏幕,如果您使用内置iOS或MacOS加密(keychain、https),则出于美国政府出口法规的目的而使用加密。您是否有资格获得出口合规性豁免取决于您的应用程序做什么以及它如何使用这种加密。所附图片显示iTunes Connect出口合规性屏幕,帮助您确定出口报告义务。特别是,它指出:

If you are making use of ATS or making a call to HTTPS please note that you are required to submit a year-end self classification report to the US government. Learn more

氧化镁

氧化镁


@hisnameisjimmy是正确的:当你去提交你的应用程序进行审查并进入出口合规性演练时,你会注意到(至少到今天,2016年12月1日),你会注意到菜单现在声明https是一个免责的加密版本(如果你每次呼叫都使用它):

氧化镁

氧化镁


我发现美国工业和安全局的这个常见问题解答非常有用。

加密

问题15(注4是什么?)重要的是:

注释4第2部分第5类中不包括的项目示例包括但不限于:

消费者应用。一些例子:

piracy and theft prevention for software or music;
music, movies, tunes/music, digital photos – players, recorders and organizers
games/gaming – devices, runtime software, HDMI and other component interfaces, development tools
LCD TV, Blu-ray / DVD, video on demand (VoD), cinema, digital video recorders (DVRs) / personal video recorders (PVRs) – devices, on-line media guides, commercial content integrity and protection, HDMI and other component interfaces (not videoconferencing);
printers, copiers, scanners, digital cameras, Internet cameras – including parts and sub-assemblies
household utilities and appliances


找到了一些非常有用的答案,但为了完整起见,希望添加此URL,因为它会引导您完成以下问题:

https://itunespartner.apple.com/en/apps/faq/managing%20your%20apps_export%20compliance_21109148


如果您没有显式地使用加密库,或者没有滚动自己的加密代码,那么我认为答案是"否"。