我的应用程序是否“包含加密”?

[ 更新 :截至2016年9月下旬,使用HTTPS已从ERN中免除] https://stackoverflow.com/a/40919650/4976373

不幸的是,我相信你的应用“包含加密”就我们的bis而言,即使你只是使用https(如果你的应用不是问题2中包含的一个例外)。

引用 FAQ on iTunes Connect :

“ 我如何知道我是否可以遵循出口商注册和报告(ERN)流程?

如果你的应用程序 使用 ,访问、实施或合并行业标准加密算法,用于问题2所列豁免以外的目的, 您需要提交一份ERN授权书。 . 标准加密的例子有:aes、ssl, HTTPS . 此授权要求您每年1月向两个美国政府机构提交一份关于您的应用程序的年度报告。 他说:“这是一个很好的选择。”

“ 第二个问题:您的产品是否符合第5类第2部分规定的豁免条件?

对于使用、访问、实施或合并加密的应用程序和软件,美国出口条例第5类第2部分(信息安全和加密条例)规定了若干豁免。

所有与错误解释出口法规或错误申请豁免相关的责任均由应用程序的所有者和开发者承担。

如果满足以下任一标准,您可以回答问题:

(i)如果您确定您的应用程序不属于第5类,则根据BIS在 encryption question . EAR第774部分增补3中的医疗设备谅解声明可在联邦法规电子代码网站查阅。请访问BIS所列示例项目加密页面常见问题部分的问题15,这些示例项目可以申请注释4豁免。

(ii)您的应用程序仅使用、访问、实施或合并加密进行身份验证

(iii)您的应用程序使用、访问、实施或合并密钥长度不超过56位对称、512位非对称和/或112位椭圆曲线的加密。

(iv)您的应用程序是密钥长度不超过64位对称的大众市场产品,或者如果没有对称算法,则不超过768位不对称和/或128位椭圆曲线。

请回顾第5类第2部分的注释3,了解大众市场定义的标准。

(v)您的应用程序专门设计并限制用于银行业务或“货币交易”。术语“货币交易”包括收取和结算票价或信贷功能。

(vi)您的应用程序的源代码是公共可用,您的应用程序免费分发给一般公众,并且您已经满足740.13(e)中规定的通知要求。

请访问 encryption 网页,以防您需要进一步的帮助,以确定您的应用程序是否符合任何豁免。

如果您认为您的应用程序符合豁免条件,请回答问题。

以正确的方式获得应用程序的批准并不难。ssl(https/tls)仍然是加密的,除非您只是使用它进行身份验证,否则您应该获得适当的批准。我刚刚得到批准,我的应用程序现在正在商店中,用于使用SSL加密数据流量(而不仅仅是身份验证)。

这是我写的一篇博文,这样其他人就可以用正确的方式来做。

apple itunes export restrictions

我问了苹果同样的问题并得到了答案(来自一位高级出口合规专家),即“通过HTTPS发送信息正迫使数据通过SSL的安全通道,因此它属于美国政府对CCAT审查和批准的要求。”请注意,苹果已经这样做并不重要。对于他们的SSL实现,但是对于政府来说,如果您使用的加密与您自己对其进行编码的加密相同(对于他们)。我也更新了我们的博客( http://blog.theanimail.com )因为蒂姆用最新的信息和详细的流程链接到它。希望有帮助。

如果您使用苹果提供的安全框架或公共加密库,您的应用程序中会包含加密,您必须回答“是”,因为库是由苹果提供的,这并不能让您摆脱困境。

关于最初的问题,最近在苹果开发论坛上发表的文章让我相信,即使你只使用SSL,你也需要回答“是”。

截至2016年9月20日,使用https(或其他加密形式)的应用程序不再需要注册: https://web.archive.org/web/201703120607/https://www.bis.doc.gov/index.phP/InformationSecurity2016更新

事实上,在SNAP-R上,您不能再选择“加密注册”:

具体来说,他们注意到:

加密注册不再需要“一些信息” 从注册开始,现在进入补充文件8至742部分。 报告,

这意味着您可能需要向BIS发送年度报告,但您不需要注册,并且您可以在提交应用程序时注意到它是豁免的。

事实上,在SNAP-R上,您不能再选择“加密注册”:

具体来说,他们注意到:

加密注册不再需要“一些信息” 从注册开始,现在进入补充文件8至742部分。 报告。

这意味着您可能需要向BIS发送一份年度报告,但您不需要注册,并且在提交应用程序时可以注意到它是免税的。

对于一个只使用TLS连接到自己的Web服务器的应用程序开发人员来说,所有这些都会非常令人困惑。因为ATS(应用传输安全)变得越来越重要,我们被鼓励将所有内容转换为HTTPS——我认为会有更多的开发人员遇到这个问题。

我的应用程序只是使用HTTPS协议在服务器和用户之间交换数据。看到免责声明中的“使用加密”这个词有点吓人,所以我给美国政府办公室打了个电话,并与工业和安全局(BIS)的一位代表交谈。 http://www.bis.doc.gov/index.php/about-bis/contact-bis .

该代表向我询问了我的应用程序,由于它通过了“主要功能测试”,因为它与安全/通信没有任何关系,只是使用HTTPS作为将我的客户数据连接到我们的服务器的通道-它属于EAR99类别,这意味着它不需要获得政府许可(参见 https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

我希望这能帮助其他应用程序开发人员。

简短回答:是的,但你不必做任何事

我在网上搜索了几个小时。实际上,这非常简单,您可以在iTunes Connect中验证:

1。你要做的就是

如果您的应用程序仅使用HTTPS或仅对身份验证、令牌等使用加密, 你不需要做什么,只要包括

<key>ITSAppUsesNonExemptEncryption</key><false/>

在你的信息中。plist和你是 完成 .

2.第2条。验证

你可以 验证 这在iTunes Connect中。

• 选择应用程序
• 选择特征
• 选择加密
• 点击“+”
• 跟随对话
• 对于HTTPS或身份验证,答案是 对 和 对

无论如何,你当然应该 读你自己 仔细地通过对话。

非常 有益文章 可以在这里找到:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

是的,根据iTunes Connect出口合规性信息屏幕,如果您使用内置iOS或MacOS加密(keychain、https),则出于美国政府出口法规的目的而使用加密。您是否有资格获得出口合规性豁免取决于您的应用程序做什么以及它如何使用这种加密。所附图片显示iTunes Connect出口合规性屏幕,帮助您确定出口报告义务。特别是,它指出:

如果您正在使用ATS或拨打HTTPS电话,请注意,您需要向美国政府提交一份年终自我分类报告。 了解更多信息

< /块引用>

r美国政府出口条例的目的。您是否有资格获得出口合规性豁免取决于您的应用程序做什么以及它如何使用这种加密。所附图片显示iTunes Connect出口合规性屏幕,帮助您确定出口报告义务。特别是,它指出:

如果您正在使用ATS或拨打HTTPS电话,请注意,您需要向美国政府提交一份年终自我分类报告。 Learn more

@hisnameisjimmy是正确的:当你去提交你的应用程序进行审查并进入出口符合性演练时,你会注意到(至少从今天,2016年12月1日起),你会注意到菜单现在声明https是一个免责的加密版本(如果你每次呼叫都使用它):。

我发现美国工业和安全局的这个常见问题解答非常有用。

encryption

问题15(注4是什么?)重要的是:

…

注释4第2部分第5类中不包括的项目示例包括但不限于:

消费者应用。一些例子:

防止软件或音乐的盗版和盗窃; 音乐、电影、曲调/音乐、数码照片“播放器、录音机和组织者” 游戏/游戏“设备、运行时软件、HDMI和其他组件接口、开发工具 液晶电视、蓝光/DVD、点播视频(VOD)、电影院、数字录像机(DVR)/个人录像机(PVR)设备、在线媒体指南、商业内容完整性和保护、HDMI和其他组件接口(非视频会议); 打印机、复印机、扫描仪、数码相机、互联网相机,包括零件和子组件 家用公用设施和器具

找到了一些非常有用的答案,但为了完整起见,希望添加此URL,因为它会引导您完成以下问题:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

如果您没有显式地使用加密库,或者没有滚动自己的加密代码,那么我认为答案是“否”。