แอปพลิเคชันของฉัน "มีการเข้ารหัส" หรือไม่?

ฉันกำลังอัปโหลดไบนารี่เป็นครั้งแรก iTunes Connect ถามฉัน:

กฎหมายการส่งออกกำหนดให้ผลิตภัณฑ์ที่มีการเข้ารหัสได้รับอนุญาตอย่างถูกต้องสำหรับการส่งออก
การไม่ปฏิบัติตามอาจส่งผลให้มีบทลงโทษที่รุนแรง
สำหรับข้อมูลเพิ่มเติมคลิกที่นี่
ผลิตภัณฑ์ของคุณมีการเข้ารหัสหรือไม่?

ฉันใช้https://แต่ผ่านNSURLConnectionและUIWebViewเท่านั้น

การอ่านของฉันเกี่ยวกับเรื่องนี้คือแอปของฉันไม่ได้ "มีการเข้ารหัส" แต่ฉันสงสัยว่าจะสะกดทุกที่ "การลงโทษที่รุนแรง" ไม่ได้ฟังดูน่าพอใจเลยดังนั้น "ฉันคิดว่าถูกต้อง" เป็นเพียงร่างคร่าวๆ ... คำตอบที่เชื่อถือได้จะดีกว่า

ขอบคุณ

[ อัพเดท : การใช้ HTTPS ได้รับการยกเว้นจาก ERN เมื่อปลายเดือนกันยายน 2016] https://stackoverflow.com/a/40919650/4976373

น่าเสียดายที่ฉันเชื่อว่าแอปของคุณ "มีการเข้ารหัส" ในแง่ของ US BIS แม้ว่าคุณจะใช้ HTTPS (หากแอปของคุณไม่ใช่ข้อยกเว้นที่รวมอยู่ในคำถาม 2)

อ้างอิงจากคำถามที่พบบ่อยใน iTunes Connect :

" ฉันจะรู้ได้อย่างไรว่าฉันสามารถทำตามกระบวนการลงทะเบียนและรายงานผู้ส่งออก (ERN) ได้หรือไม่

ถ้า app ของคุณใช้ , การเข้าถึงการดำเนินการหรือการรวมเอาวิธีการเข้ารหัสลับมาตรฐานอุตสาหกรรมเพื่อวัตถุประสงค์อื่น ๆ นอกเหนือจากที่ระบุเป็นข้อยกเว้นภายใต้คำถามที่ 2 คุณต้องส่งสำหรับการอนุมัติ ERN ตัวอย่างของการเข้ารหัสมาตรฐาน: AES, SSL, https การอนุญาตนี้ต้องให้คุณส่งรายงานประจำปีไปยังหน่วยงานรัฐบาลสหรัฐสองแห่งพร้อมข้อมูลเกี่ยวกับแอพของคุณทุกเดือนมกราคม "

" คำถามที่ 2: ผลิตภัณฑ์ของคุณมีคุณสมบัติได้รับการยกเว้นภายใต้หมวดหมู่ 5 ส่วนที่ 2 หรือไม่?

มีข้อยกเว้นหลายประการในกฎการส่งออกของสหรัฐอเมริกาภายใต้หมวดหมู่ที่ 5 ส่วนที่ 2 (ระเบียบความปลอดภัยของข้อมูลและการเข้ารหัส) สำหรับแอปพลิเคชันและซอฟต์แวร์ที่ใช้เข้าถึงเข้าถึงนำไปใช้หรือรวมการเข้ารหัส

หนี้สินทั้งหมดที่เกี่ยวข้องกับการตีความกฎการส่งออกที่ผิดพลาดหรือการยกเว้นการอ้างสิทธิ์อย่างไม่ถูกต้องนั้นเป็นความรับผิดชอบของเจ้าของและผู้พัฒนาแอป

คุณสามารถตอบ“ ใช่” สำหรับคำถามหากตรงตามเกณฑ์ใด ๆ ต่อไปนี้:

(i) ถ้าคุณตรวจสอบว่าแอปของคุณไม่ได้จัดอยู่ในหมวด 5 ส่วนที่ 2 ของ EAR อยู่บนพื้นฐานของคำแนะนำที่มีให้โดย BIS ที่คำถามการเข้ารหัส คำชี้แจงของความเข้าใจสำหรับอุปกรณ์ทางการแพทย์ในภาคผนวกหมายเลข 3 ถึงส่วนที่ 774 ของ EAR สามารถดูได้ที่เว็บไซต์ Electronic Code of Federal Regulations กรุณาเยี่ยมชมคำถาม # 15 ในส่วนคำถามที่พบบ่อยของหน้าการเข้ารหัสสำหรับรายการตัวอย่าง BIS ได้ระบุไว้ที่สามารถเรียกร้องข้อยกเว้น 4 หมายเหตุ

(ii) แอปของคุณใช้เข้าถึงใช้งานหรือรวมการเข้ารหัสเพื่อการรับรองความถูกต้องเท่านั้น

(iii) แอปของคุณใช้เข้าถึงใช้งานหรือรวมการเข้ารหัสที่มีความยาวคีย์ไม่เกิน 56 บิตสมมาตร, 512 บิตไม่สมมาตรและ / หรือเส้นโค้งรูปไข่ 112 บิต

(iv) แอปของคุณเป็นผลิตภัณฑ์ตลาดขนาดใหญ่ที่มีความยาวคีย์ไม่เกิน 64 บิตสมมาตรหรือหากไม่มีอัลกอริทึมแบบสมมาตรไม่เกิน 768 บิตไม่สมมาตรและ / หรือเส้นโค้งรูปไข่ 128 บิต

โปรดตรวจสอบหมายเหตุ 3 ในหมวดหมู่ 5 ส่วนที่ 2 เพื่อทำความเข้าใจเกณฑ์สำหรับคำจำกัดความของตลาดมวลชน

(v) แอปของคุณได้รับการออกแบบมาเป็นพิเศษและ จำกัด สำหรับการใช้งานธนาคารหรือ 'ธุรกรรมการเงิน' คำว่า 'การทำธุรกรรมการเงิน' รวมถึงการรวบรวมและการชำระราคาหรือฟังก์ชั่นเครดิต

(vi) ซอร์สโค้ดของแอปของคุณคือ“ เปิดเผยต่อสาธารณชน” แอปของคุณเผยแพร่โดยไม่เสียค่าใช้จ่ายแก่บุคคลทั่วไปและคุณปฏิบัติตามข้อกำหนดการแจ้งเตือนที่ระบุไว้ภายใต้ 740.13 (e)

โปรดไปที่หน้าเว็บการเข้ารหัสในกรณีที่คุณต้องการความช่วยเหลือเพิ่มเติมในการพิจารณาว่าแอปของคุณมีคุณสมบัติสำหรับการยกเว้นหรือไม่

หากคุณเชื่อว่าแอปของคุณมีคุณสมบัติได้รับการยกเว้นโปรดตอบ“ ใช่” กับคำถาม "

ไม่ยากที่จะได้รับการอนุมัติสำหรับแอปของคุณอย่างถูกวิธี SSL (HTTPS / TLS) ยังคงมีการเข้ารหัสและนอกจากว่าคุณใช้เพื่อการรับรองความถูกต้องคุณควรได้รับการอนุมัติที่เหมาะสม ฉันเพิ่งได้รับการอนุมัติและแอพของฉันอยู่ในร้านแล้วสำหรับบางสิ่งที่ใช้ SSL เพื่อเข้ารหัสการรับส่งข้อมูล (ไม่ใช่แค่การรับรองความถูกต้อง)

นี่คือรายการบล็อกที่ฉันทำเพื่อให้คนอื่นสามารถทำได้ในวิธีที่เหมาะสม

แอปเปิ้ล iTunes ข้อ จำกัด การส่งออก

ฉันถามคำถามเดียวกันกับ Apple และได้รับคำตอบ (จากผู้เชี่ยวชาญด้านการปฏิบัติตามกฎข้อบังคับด้านการส่งออกของ Sr. ) ว่า "การส่งข้อมูลผ่าน https เป็นการบังคับให้ข้อมูลผ่านช่องทางที่ปลอดภัยจาก SSL ดังนั้นจึงอยู่ภายใต้ข้อกำหนดของรัฐบาลสหรัฐฯ การตรวจสอบและอนุมัติ CCATS " โปรดทราบว่ามันไม่สำคัญว่า Apple ได้ทำสิ่งนี้ไปแล้วสำหรับการติดตั้ง SSL แต่สำหรับรัฐบาลหากคุณใช้การเข้ารหัสที่เหมือนกัน (สำหรับพวกเขา) อย่างที่คุณจะได้เข้ารหัสมันเอง ฉันยังอัปเดตบล็อกของเรา ( http://blog.theanimail.com ) ตั้งแต่ทิมเชื่อมโยงกับอัปเดตและรายละเอียดเกี่ยวกับกระบวนการ หวังว่าจะช่วย

หากคุณใช้กรอบการรักษาความปลอดภัยหรือไลบรารี CommonCrypto ที่จัดทำโดย Apple คุณจะต้องรวม crypto ในแอพของคุณและคุณต้องตอบว่าใช่ - เพียงเพราะการจัดหาห้องสมุดจาก Apple นั้นไม่ได้ช่วยให้คุณหลุดโลก

เกี่ยวกับคำถามเดิมโพสต์ล่าสุดในฟอรัมการพัฒนาของ Apple ทำให้ฉันเชื่อว่าคุณต้องตอบว่าใช่แม้ว่าคุณจะใช้ SSL ก็ตาม

คำตอบสั้น ๆ : ใช่ แต่คุณไม่ต้องทำอะไรเลย

ฉันกำลังค้นหาเว็บนี้สำหรับบางชั่วโมง จริงๆแล้วมันค่อนข้างง่ายและคุณสามารถตรวจสอบใน iTunes เชื่อมต่อ:

1. สิ่งที่คุณต้องทำ

หากแอปของคุณใช้ HTTPS เท่านั้นหรือใช้การเข้ารหัสเพื่อการรับรองความถูกต้องโทเค็นและอื่น ๆคุณไม่จำเป็นต้องทำอะไรเลย

<key>ITSAppUsesNonExemptEncryption</key><false/>

ใน Info.plist ของคุณและคุณทำเสร็จแล้ว

2. การยืนยัน

คุณสามารถตรวจสอบได้ใน iTunes เชื่อมต่อ

• เลือกแอปของคุณ
• เลือกคุณสมบัติ
• เลือกการเข้ารหัส
• คลิก "+"
• ปฏิบัติตามบทสนทนา
• สำหรับ https หรือการรับรองความถูกต้องคำตอบคือใช่และใช่

ไม่ว่าในกรณีใดคุณควรอ่านตัวเองอย่างระมัดระวังผ่านกล่องโต้ตอบ

บทความที่มีประโยชน์มากสามารถดูได้ที่นี่:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

ทั้งหมดนี้อาจสร้างความสับสนอย่างมากสำหรับนักพัฒนาแอปที่ใช้ TLS เพื่อเชื่อมต่อกับเว็บเซิร์ฟเวอร์ของตนเอง เนื่องจาก ATS (ความปลอดภัยในการขนส่งของแอป) มีความสำคัญมากขึ้นและเราได้รับการสนับสนุนให้แปลงทุกอย่างเป็น https - ฉันคิดว่านักพัฒนาซอฟต์แวร์จำนวนมากกำลังประสบกับปัญหานี้

แอปของฉันเพียงแลกเปลี่ยนข้อมูลระหว่างเซิร์ฟเวอร์ของเราและผู้ใช้โดยใช้โปรโตคอล https การเห็นคำว่า "การใช้งานของผู้ใช้" ในข้อจำกัดความรับผิดชอบนั้นค่อนข้างน่ากลัวดังนั้นฉันจึงโทรไปยังสำนักงานรัฐบาลของสหรัฐอเมริกาและพูดกับตัวแทนของสำนักอุตสาหกรรมและความมั่นคง (BIS) http: //www.bis.doc .gov

ตัวแทนถามฉันเกี่ยวกับแอปของฉันและเมื่อผ่านการ "ทดสอบฟังก์ชั่นหลัก" ซึ่งไม่มีส่วนเกี่ยวข้องกับความปลอดภัย / การสื่อสารและใช้ https เป็นช่องทางในการเชื่อมต่อข้อมูลลูกค้าของฉันกับเซิร์ฟเวอร์ของเรา - อยู่ในหมวด EAR99 ซึ่งหมายความว่าเป็นการยกเว้นจากการได้รับอนุญาตจากรัฐบาล (ดูhttps://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

ฉันหวังว่านี่จะช่วยให้นักพัฒนาแอปอื่น ๆ

ตั้งแต่วันที่ 20 กันยายน 2016 การลงทะเบียนไม่จำเป็นสำหรับแอปที่ใช้ https (หรืออาจเป็นรูปแบบการเข้ารหัสอื่น ๆ ): https://web.archive.org/web/20170312060607/https://www.bis.doc gov / index.php / informationsecurity2016 การอัปเดต

ในความเป็นจริงใน SNAP-R คุณไม่สามารถเลือก 'การลงทะเบียนการเข้ารหัส' ได้อีกต่อไป:

โดยเฉพาะพวกเขาทราบว่า:

ไม่จำเป็นต้องลงทะเบียนการเข้ารหัสอีกต่อไป - ข้อมูลบางส่วนจากการลงทะเบียนจะเข้าสู่ส่วนเสริม หมายเลข 8 ถึงส่วนที่ 742 รายงาน

ซึ่งหมายความว่าคุณอาจต้องส่งรายงานประจำปีถึง BIS แต่คุณไม่จำเป็นต้องลงทะเบียนและคุณสามารถจดบันทึกเมื่อส่งแอปของคุณว่าได้รับการยกเว้น

ใช่ตามหน้าจอข้อมูลความสอดคล้องในการส่งออกข้อมูลการเชื่อมต่อ iTunes หากคุณใช้การเข้ารหัส iOS หรือ MacOS ในตัว (พวงกุญแจ, https) แสดงว่าคุณกำลังใช้การเข้ารหัสเพื่อวัตถุประสงค์ของกฎระเบียบการส่งออกของรัฐบาลสหรัฐอเมริกา ไม่ว่าคุณจะมีคุณสมบัติได้รับการยกเว้นการปฏิบัติตามกฎการส่งออกหรือไม่นั้นขึ้นอยู่กับสิ่งที่แอพของคุณทำและวิธีการใช้การเข้ารหัสนี้ รูปภาพที่แนบมาจะแสดงหน้าจอการปฏิบัติตามข้อกำหนดการส่งออกของ iTunes Connect เพื่อช่วยคุณกำหนดภาระหน้าที่ในการรายงานการส่งออก โดยเฉพาะอย่างยิ่งมันระบุว่า:

หากคุณใช้ประโยชน์จาก ATS หรือโทรหา HTTPS โปรดทราบว่าคุณจะต้องส่งรายงานการจำแนกตนเองสิ้นปีไปยังรัฐบาลสหรัฐอเมริกา เรียนรู้เพิ่มเติม

@hisnameisjimmy ถูกต้อง: คุณจะสังเกตเห็น (อย่างน้อยจนถึงวันนี้วันที่ 1 ธันวาคม 2016) เมื่อคุณไปส่งแอพของคุณเพื่อตรวจสอบและเข้าถึงคำแนะนำการส่งออกตามมาตรฐานคุณจะสังเกตเห็นเมนูตอนนี้ว่า HTTPS เป็นรุ่นที่ได้รับการยกเว้น การเข้ารหัส (ถ้าคุณใช้สำหรับการโทรทุกครั้ง):

ฉันพบคำถามที่พบบ่อยนี้จากสำนักอุตสาหกรรมและความปลอดภัยของสหรัฐอเมริกามีประโยชน์มาก

การเข้ารหัส

คำถามที่ 15 (หมายเหตุ 4 คืออะไร) เป็นประเด็นสำคัญ:

...

ตัวอย่างของไอเท็มที่แยกออกจากหมวด 5 ส่วนที่ 2 โดยหมายเหตุ 4 รวมถึง แต่ไม่ จำกัด เฉพาะสิ่งต่อไปนี้:

แอพพลิเคชั่นสำหรับผู้บริโภค ตัวอย่างบางส่วน:

การป้องกันการละเมิดลิขสิทธิ์และซอฟต์แวร์หรือเพลง; เพลง, ภาพยนตร์, เพลง / เพลง, ภาพถ่ายดิจิทัล - ผู้เล่น, เครื่องบันทึกและจัดงานเกม / เกม - อุปกรณ์, ซอฟต์แวร์รันไทม์, HDMI และอินเทอร์เฟซส่วนประกอบอื่น ๆ , เครื่องมือพัฒนาแอลซีดีทีวี, Blu-ray / DVD, วิดีโอตามต้องการ (VoD), โรงภาพยนตร์ , เครื่องบันทึกวิดีโอดิจิตอล (DVRs) / เครื่องบันทึกวิดีโอส่วนตัว (PVR) - อุปกรณ์, คู่มือสื่อออนไลน์ความสมบูรณ์และการป้องกันเนื้อหาเชิงพาณิชย์, HDMI และอินเทอร์เฟซส่วนประกอบอื่น ๆ (ไม่ใช่การประชุมทางวิดีโอ); เครื่องพิมพ์, เครื่องถ่ายเอกสาร, สแกนเนอร์, กล้องดิจิตอล, กล้องอินเทอร์เน็ต - รวมถึงชิ้นส่วนและอุปกรณ์ประกอบย่อยของใช้ในครัวเรือนและเครื่องใช้ไฟฟ้า

พบคำตอบบางส่วนที่มีประโยชน์มาก แต่ต้องการเพิ่ม URL นี้เพื่อความครบถ้วนเนื่องจากคุณจะได้รับคำตอบ:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

คำแนะนำในการกรอกแบบฟอร์ม SNAP-R 2020 สามารถดูได้ที่ลิงค์นี้ นอกจากนี้คำแนะนำการรายงานการจำแนกตนเองประจำปียังได้รับการอัพเดตสำหรับปี 2020

https://stackoverflow.com/a/61431496/1217670

คำตอบง่ายๆคือใช่ (แอปมีการเข้ารหัส) และใช่ (แอปใช้การเข้ารหัสที่ยกเว้น) ในแอปพลิเคชันของฉันฉันเพิ่งเปิดเว็บไซต์ บริษัท ของฉันใน WKWebView แต่เนื่องจากใช้ "https" จะถือว่าเป็นการเข้ารหัสที่ยกเว้น เอกสาร Apple สำหรับข้อมูลเพิ่มเติม: https://developer.apple.com/documentation/security/complying_with_encrypt_export_regulations?language=objc

หรืออีกทางหนึ่งคุณสามารถเพิ่มคีย์ "ITSAppUsesNonExemptEncryption" และค่า "ไม่" ในไฟล์ info.plist ของแอปของคุณ และวิธีนี้การเชื่อมต่อของ iTunes จะไม่ถามคำถามนั้นอีกต่อไป ข้อมูลเพิ่มเติม: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

คุณสามารถทำตามขั้นตอนง่าย ๆ 3 ขั้นตอนเหล่านี้เพื่อตรวจสอบว่าใบสมัครของคุณได้รับการยกเว้นหรือไม่: https://help.apple.com/app-store-connect/#/dev63c95e436

คุณอาจจำเป็นต้องส่งการจัดหมวดหมู่ด้วยตนเองประจำปีนี้ให้กับรัฐบาลสหรัฐฯ สำหรับข้อมูลเพิ่มเติม: https://www.bis.doc.gov/index.php/policy-guidance/encrypt/4-reports-and-reviews/a-annual-self-classification

หากคุณไม่ได้ใช้ไลบรารีการเข้ารหัสอย่างชัดเจนหรือกลิ้งรหัสการเข้ารหัสของคุณเองฉันคิดว่าคำตอบคือ "ไม่"