Meu aplicativo “contém criptografia”?

Estou carregando um binário pela primeira vez. O iTunes Connect me perguntou:

As leis de exportação exigem que os produtos que contêm criptografia sejam devidamente autorizados para exportação.
O não cumprimento pode resultar em penalidades severas.
Para mais informações clique aqui.
Seu produto contém criptografia?

Eu uso https:// , mas apenas via NSURLConnection e UIWebView .

Minha leitura disso é que meu aplicativo não “contém criptografia”, mas estou me perguntando se isso está escrito em qualquer lugar. “Penalidades severas” não parece nada agradável, então “acho que está certo” é um pouco superficial … uma resposta autoritária seria melhor.

Obrigado.

[ UPDATE : O uso de HTTPS está agora isento do ERN no final de setembro de 2016] https://stackoverflow.com/a/40919650/4976373


Infelizmente, acredito que seu aplicativo “contenha criptografia” em termos de US BIS, mesmo se você usar apenas HTTPS (se seu aplicativo não for uma exceção incluída na pergunta 2).

Cite de FAQ no iTunes Connect :

Como sei se posso seguir o processo de Registro e Relato de Exportação (ERN)?

Se o seu aplicativo usa , acessa, implementa ou incorpora algoritmos de criptografia padrão do setor para finalidades diferentes daquelas listadas como isenções na pergunta 2, você precisa enviar uma autorização do ERN . Exemplos de criptografia padrão são: AES, SSL, https . Essa autorização exige que você envie um relatório anual para duas agências do governo dos EUA com informações sobre seu aplicativo todo mês de janeiro. ”

2ª pergunta: O seu produto se qualifica para quaisquer isenções previstas na parte 2 da categoria 5?

Existem várias isenções disponíveis nos regulamentos de exportação dos EUA, sob a Categoria 5, Parte 2 (Normas de Segurança da Informação e Criptografia), para aplicativos e software que usam, acessam, implementam ou incorporam criptografia.

Todas as responsabilidades associadas à interpretação errônea dos regulamentos de exportação ou à reivindicação de isenção incorreta são suportadas pelos proprietários e desenvolvedores dos aplicativos.

Você pode responder “SIM” à pergunta se atender a um dos seguintes critérios:

(i) se você determinar que seu aplicativo não está classificado na Categoria 5, Parte 2 da EAR, com base na orientação fornecida pelo BIS na pergunta de criptografia . A Declaração de Entendimento para equipamentos médicos no Suplemento No. 3 à Parte 774 da EAR pode ser acessada no site do Código Eletrônico de Regulamentos Federais. Por favor, visite a Questão no. 15 na seção FAQ da página de criptografia para os itens de amostra que o BIS listou que podem reivindicar exceções da Nota 4.

(ii) seu aplicativo usa, acessa, implementa ou incorpora criptografia apenas para autenticação

(iii) seu aplicativo usa, acessa, implementa ou incorpora criptografia com comprimentos de chave que não excedem 56 bits simétricos, 512 bits assimétricos e / ou curva elíptica de 112 bits

(iv) seu aplicativo é um produto de mercado de massa com comprimentos de chave não excedendo 64 bits simétricos, ou, se não houver algoritmos simétricos, não excedendo a curva elíptica assimétrica de 768 bits e / ou 128 bits.

Por favor, revise a Nota 3 na Categoria 5 Parte 2 para entender os critérios para a definição do mercado de massa.

(v) seu aplicativo foi especialmente projetado e limitado para uso bancário ou “transactions com dinheiro”. O termo “transactions em dinheiro” inclui a cobrança e a liquidação de tarifas ou funções de crédito.

(vi) o código-fonte do seu aplicativo está “publicamente disponível”, seu aplicativo é distribuído gratuitamente para o público em geral e você atendeu aos requisitos de notificação fornecidos sob 740.13. (e).

Visite a página da web de criptografia caso precise de mais ajuda para determinar se seu aplicativo está qualificado para alguma isenção.

Se você acredita que seu aplicativo está qualificado para uma isenção, responda “SIM” à pergunta. ”

Não é difícil obter a aprovação do seu aplicativo da maneira correta. SSL (HTTPS / TLS) ainda é criptografia e, a menos que você esteja usando apenas para autenticação, você deve obter a devida aprovação. Acabei de receber aprovação e meu aplicativo está na loja agora para algo que usa SSL para criptografar o tráfego de dados (não apenas a autenticação).

Aqui está uma input de blog que eu fiz para que outras pessoas possam fazer isso da maneira correta.

restrições de exportação do iTunes itunes

Fiz a mesma pergunta à Apple e obtive a resposta (de um especialista em conformidade com exportação sênior) de que “o envio de informações via https está forçando os dados a passar por um canal seguro do SSL, por isso está sob a exigência do governo dos EUA.” Revisão e aprovação do CCATS. ” Note que não importa que a Apple já tenha feito isso para sua implementação de SSL, mas para o governo, se você usa a criptografia que é a mesma (para eles) como você mesmo teria codificado. Eu também atualizei o nosso blog ( http://blog.theanimail.com ) desde que o Tim ligou a ele com atualizações e detalhes sobre o processo. Espero que ajude.

Se você usa a estrutura de segurança ou as bibliotecas CommonCrypto fornecidas pela Apple, você inclui criptografia no seu aplicativo e precisa responder sim – então, simplesmente porque as bibliotecas foram fornecidas pela Apple, isso não o tirou do sério.

Com relação à pergunta original, postagens recentes nos fóruns de desenvolvimento da Apple me levam a acreditar que você precisa responder sim, mesmo que tudo que você use seja SSL.

A partir de 20 de setembro de 2016, o registro não é mais necessário para aplicativos que usam https (ou talvez outras formas de criptografia): https://www.bis.doc.gov/index.php/informationsecurity2016-updates

De fato, no SNAP-R você não pode mais escolher ‘registro de criptografia’: insira a descrição da imagem aqui

Especificamente, eles observam:

Registros de criptografia não são mais necessários – algumas das informações do registro agora vão para o Supp. No. 8 para a parte 742 relatório.

Isso significa que você pode precisar enviar um relatório anual para o BIS, mas não precisa se registrar e pode observar, ao enviar seu aplicativo, que ele está isento.

Tudo isso pode ser muito confuso para um desenvolvedor de aplicativos que está simplesmente usando o TLS para se conectar a seus próprios servidores da web. Como o ATS (App Transport Security) está se tornando mais importante e somos encorajados a converter tudo em https – acho que mais desenvolvedores encontrarão esse problema.

Meu aplicativo simplesmente troca dados entre o nosso servidor e o usuário usando o protocolo https. Vendo as palavras “USOS ENCRIPTAÇÃO” nas isenções de responsabilidade é um pouco assustador, então eu liguei para o escritório do governo dos EUA em seu escritório e falei com um representante do Bureau de Indústria e Segurança (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

O representante me perguntou sobre meu aplicativo e passou no “teste de function primária”, pois não tinha nada a ver com segurança / comunicações e simplesmente usa https como um canal para conectar meus dados de clientes a nossos servidores – caiu na categoria EAR99 o que significa que está isento de obter permissão do governo (consulte https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Espero que isso ajude outros desenvolvedores de aplicativos.

Resposta curta: sim, mas você não precisa fazer nada

Eu estava procurando na web por algumas horas. Na verdade, é bem fácil e você pode verificar isso no itunes connect:

1. Tudo que você precisa fazer

Se o seu aplicativo usa apenas HTTPS ou usa criptografia apenas para autenticação, tokens etc., não há nada que você precise fazer, basta include

 ITSAppUsesNonExemptEncryption 

no seu Info.plist e pronto .

2. Verificação

Você pode verificar isso no iTunes Connect.

  • selecione seu aplicativo
  • escolheu resources
  • escolheu criptografia
  • clique em “+”
  • siga o diálogo
  • para https ou autenticação, a resposta é sim e sim

Em qualquer caso, você deve ler cuidadosamente o diálogo.


Um artigo muito útil pode ser encontrado aqui:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

@hisnameisjimmy está correto: você notará (pelo menos a partir de hoje, 1º de dezembro de 2016) quando enviará seu aplicativo para análise e chegará ao passo a passo de conformidade com a exportação. Você perceberá que o menu agora declara que o HTTPS é uma versão isenta de criptografia (se você usá-lo para cada chamada):

insira a descrição da imagem aqui

insira a descrição da imagem aqui

Sim, de acordo com as canvass de Informações de Conformidade de Exportação do iTunes Connect, se você usar criptografia iOS ou MacOS integrada (chaveiro, https), estará usando criptografia para fins de regulamentações de Exportação do Governo dos EUA. Se você se qualifica para uma isenção de conformidade de exportação, depende do que seu aplicativo faz e de como ele usa essa criptografia. As imagens anexadas mostram as canvass de conformidade de exportação do iTunes Connect para ajudá-lo a determinar suas obrigações de relatório de exportação. Em particular, afirma:

Se você estiver fazendo uso de ATS ou fazendo uma chamada para HTTPS, por favor, note que você é obrigado a apresentar um relatório de auto-sorting de final de ano para o governo dos EUA. Saber mais

Informações de conformidade de exportação do iTunes Connect Q1

Informações de conformidade de exportação do iTunes Connect Q2

Eu encontrei este FAQ do Bureau de Indústria e Segurança dos EUA muito útil.

encriptação

A pergunta 15 (Qual é a nota 4?) É o ponto importante:

Exemplos de itens que são excluídos da Categoria 5, Parte 2 pela Nota 4 incluem, mas não estão limitados a, o seguinte:

Aplicações do consumidor. Alguns exemplos:

prevenção de pirataria e roubo para software ou música; música, filmes, melodias / música, fotos digitais – jogadores, gravadores e organizadores de jogos / jogos – dispositivos, software runtime, HDMI e outras interfaces de componentes, ferramentas de desenvolvimento TV LCD, Blu-ray / DVD, vídeo sob demanda (VoD), cinema gravadores de vídeo digital (DVRs) / gravadores de vídeo pessoais (PVRs) – dispositivos, guias de mídia on-line, integridade e proteção de conteúdo comercial, HDMI e outras interfaces de componentes (não videoconferência); impressoras, copiadoras, scanners, câmeras digitais, câmeras de Internet – incluindo peças e subconjuntos utilidades domésticas e eletrodomésticos

Achei algumas dessas respostas muito úteis, mas queria adicionar essa URL para ser completa, já que ela explica as questões:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Se você não estiver usando explicitamente uma biblioteca de criptografia ou rolando seu próprio código de criptografia, então acho que a resposta é “não”