Uygulamam “şifreleme içeriyor mu?”

İlk kez bir ikili dosya yüklüyorum. iTunes Connect bana şunu sordu:

İhracat yasaları, şifreleme içeren ürünlerin ihracat için uygun şekilde yetkilendirilmesini gerektirir.
Buna uyulmaması ağır cezalara neden olabilir.
Daha fazla bilgi için buraya tıklayın.
Ürününüz şifreleme içeriyor mu?

Kullanıyorum https://ama sadece NSURLConnectionve ile UIWebView.

Bunu okumam, uygulamamın "şifreleme içermediğini", ancak bunun herhangi bir yere yazıldığını merak ediyorum. "Ciddi cezalar" hiç hoş gelmiyor, bu yüzden "bence bu doğru" biraz kabataslak ... yetkili bir cevap daha iyi olurdu.

Teşekkürler.

[ GÜNCELLEME : HTTPS kullanımı artık Eylül 2016 sonu itibariyle ERN'den muaftır] https://stackoverflow.com/a/40919650/4976373

Ne yazık ki, uygulamanızın sadece HTTPS kullansanız bile (uygulamanız soru 2'de yer alan bir istisna değilse) ABD BIS açısından "şifreleme" içerdiğine inanıyorum.

İTunes Connect'teki SSS'den alıntı :

" İhracatçı Kayıt ve Raporlama (ERN) sürecini takip edip edemeyeceğimi nasıl bilebilirim?

Uygulamanız , soru 2 kapsamındaki istisnalar olarak listelenenler dışındaki amaçlar için endüstri standardı şifreleme algoritmalarını kullanıyorsa , bunlara erişiyorsa, bunları kullanıyorsa veya uygularsa, bir ERN yetkisi için başvurmanız gerekir . Standart şifreleme örnekleri şunlardır: AES, SSL, https . Bu yetkilendirme, her Ocak ayında uygulamanızla ilgili bilgileri içeren iki ABD Hükümet ajansına yıllık rapor göndermenizi gerektirir. "

" 2. Soru: Ürününüz, kategori 5 bölüm 2'de sağlanan muafiyetlere uygun mu?

ABD ihracat yönetmeliklerinde, şifreleme kullanan, erişen, uygulayan veya dahil eden uygulamalar ve yazılımlar için Kategori 5 Bölüm 2 (Bilgi Güvenliği ve Şifreleme düzenlemeleri) altındaki çeşitli muafiyetler bulunmaktadır.

İhracat düzenlemelerinin yanlış yorumlanması veya yanlış muafiyet iddia edilmesiyle ilişkili tüm yükümlülükler, uygulama sahipleri ve geliştiricileri tarafından karşılanır.

Aşağıdaki kriterlerden herhangi birini karşılıyorsanız soruya “EVET” cevabını verebilirsiniz:

(i) uygulamanızın şifreleme sorusunda BIS tarafından sağlanan yönergelere göre EAR'ın Kategori 5, Bölüm 2 altında sınıflandırılmadığını belirlerseniz . EAR'ın 3 - 774 nolu Ekinde yer alan Tıbbi ekipmanlara ilişkin Anlaşma Beyanına, Federal Yasal Düzenlemeler Elektronik Yasası sitesinden erişilebilir. BIS'in listelediği Not 4 muafiyetlerini talep edebilecek örnek öğeler için lütfen şifreleme sayfasının SSS bölümündeki Soru # 15'i ziyaret edin.

(ii) uygulamanız şifrelemeyi yalnızca kimlik doğrulaması için kullanır, bunlara erişir, uygular veya dahil eder

(iii) uygulamanız 56 bit simetrik, 512 bit asimetrik ve / veya 112 bit eliptik eğriyi aşmayan anahtar uzunlukları ile şifreleme kullanıyor, erişiyor, uyguluyor veya içeriyor

(iv) uygulamanız, anahtar uzunlukları 64 bit simetrik olmayan veya simetrik algoritma içermeyen, 768 biti asimetrik ve / veya 128 bit eliptik eğriyi aşmayan bir kitlesel pazar ürünüdür.

Kitle piyasası tanımı kriterlerini anlamak için lütfen Kategori 5 Bölüm 2 Not 3'ü inceleyin.

(v) uygulamanız bankacılık kullanımı veya 'para işlemleri' için özel olarak tasarlanmış ve sınırlıdır. 'Para işlemleri' terimi ücretlerin veya kredi fonksiyonlarının tahsili ve tahsilini içerir.

(vi) uygulamanızın kaynak kodu "herkese açıktır", uygulamanız ücretsiz olarak herkese açık olarak dağıtılır ve 740.13 uyarınca sağlanan bildirim gereksinimlerini karşılamış olursunuz. (e).

Uygulamanızın herhangi bir muafiyete uygun olup olmadığını belirlemek için daha fazla yardıma ihtiyacınız olması durumunda lütfen şifreleme web sayfasını ziyaret edin .

Uygulamanızın bir muafiyete uygun olduğunu düşünüyorsanız, lütfen soruyu “EVET” olarak yanıtlayın. "

Uygulamanız için doğru şekilde onay almak zor değil. SSL (HTTPS / TLS) hala şifrelemedir ve yalnızca kimlik doğrulaması için kullanmıyorsanız, uygun onayı almanız gerekir. Az önce onay aldım ve uygulamam veri trafiğini şifrelemek için SSL kullanan bir şey için şimdi mağazada (sadece kimlik doğrulama değil).

İşte başkalarının bunu doğru şekilde yapabilmesi için yaptığım bir blog girişi.

apple itunes ihracat kısıtlamaları

Apple'a aynı soruyu sordum ve yanıtı aldım. CCATS incelemesi ve onayı. " Apple'ın bunu SSL uygulamaları için zaten yapmış olması önemli değil, ancak devlet için, kendiniz kodladığınızla aynı şifrelemeyi (onlara) kullanırsanız unutmayın. Tim'in süreçle ilgili güncellemeler ve ayrıntılarla bağlantı kurmasından bu yana blogumuzu ( http://blog.theanimail.com ) güncelledim. Umarım yardımcı olur.

Apple tarafından sağlanan Güvenlik çerçevesini veya CommonCrypto kütüphanelerini kullanırsanız, Uygulamanıza kripto eklersiniz ve evet yanıtı vermeniz gerekir - bu yüzden Apple tarafından sağlanan kütüphaneler sizi kancadan çıkarmaz.

Orijinal soru ile ilgili olarak, Apple Geliştirme Forumlarındaki son yayınlar, kullandığınız her şey SSL olsa bile evet yanıtı vermeniz gerektiğine inanmamı sağlıyor.

Kısa cevap: Evet, ama hiçbir şey yapmanıza gerek yok

Birkaç saat boyunca internette bunu arıyordum. Aslında oldukça kolaydır ve itunes connect'de bunu doğrulayabilirsiniz:

1. Tüm yapmanız gereken

Uygulamanız yalnızca HTTPS kullanıyorsa veya yalnızca kimlik doğrulama, jetonlar vb. İçin şifreleme kullanıyorsa yapmanız gereken hiçbir şey yoktur,

<key>ITSAppUsesNonExemptEncryption</key><false/>

Info.plist'inizde işiniz bitti .

2. Doğrulama

Bunu itunes connect'de doğrulayabilirsiniz .

• uygulamanızı seçin
• özellikleri seç
• şifrelemeyi seç
• "+" yı tıklayın
• iletişim kutusunu takip et
• https veya kimlik doğrulama için cevap evet ve evet

Her durumda , diyalog aracılığıyla elbette kendinizi dikkatlice okumalısınız .

Çok yararlı bir makale burada bulunabilir:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Tüm bunlar, kendi web sunucularına bağlanmak için TLS kullanan bir uygulama geliştiricisi için çok kafa karıştırıcı olabilir. ATS (App Transport Security) daha önemli hale geldiğinden ve her şeyi https'ye dönüştürmeye teşvik edildiğimiz için - daha fazla geliştiricinin bu sorunla karşılaşacağını düşünüyorum.

Uygulamam, https protokolünü kullanarak sunucumuz ve kullanıcı arasında veri alışverişi yapıyor. Feragatnamelerde "ŞİFRELİ KULLANIR" kelimelerini görmek biraz korkutucu, bu yüzden ABD devlet dairesine ofislerinde bir çağrı yaptım ve Sanayi ve Güvenlik Bürosu'nun (BIS) bir temsilcisiyle konuştum http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Temsilci bana uygulamamı sordu ve güvenlik / iletişim ile ilgisi olmadığı ve müşteri verilerimi sunucularımıza bağlamak için bir kanal olarak https kullandığından "birincil fonksiyon testini" geçtiği için EAR99 kategorisine düştü yani hükümetten izin almaktan muaftır (bkz. https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Umarım bu diğer uygulama geliştiricilere yardımcı olur.

20 Eylül 2016 itibariyle, https (veya belki de diğer şifreleme biçimlerini) kullanan uygulamalar için kayıt gerekli değildir: https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-güncellemeler

Aslında, SNAP-R'de artık 'şifreleme kaydını' seçemezsiniz:

Özellikle şunları not ederler:

Şifreleme Kayıtları artık gerekli değildir - kayıttaki bilgilerin bir kısmı şimdi Supp. 8 ila Bölüm 742 raporu.

Bu, BIS'ye yıllık bir rapor göndermeniz gerekebileceği anlamına gelir, ancak kaydolmanıza gerek yoktur ve uygulamanızı gönderirken muaf olduğunu not edebilirsiniz.

Evet, iTunes Connect Export Uyumluluk Bilgisi ekranlarına göre, yerleşik iOS veya MacOS şifrelemesi (anahtarlık, https) kullanıyorsanız, şifrelemeyi ABD Devlet İhracat düzenlemeleri amacıyla kullanıyorsunuzdur. Dışa aktarma uyumluluğu muafiyeti için hak kazanıp kazanmayacağınız, uygulamanızın ne yaptığına ve bu şifrelemeyi nasıl kullandığına bağlıdır. Ekli resimler, ihracat raporlama yükümlülüklerinizi belirlemenize yardımcı olmak için iTunes Connect Dışa Aktarma Uyumluluk Ekranlarını gösterir. Özellikle şunu belirtmektedir:

ATS'den yararlanıyor veya HTTPS'yi ararsanız, ABD hükümetine bir yıl sonu öz sınıflandırma raporu sunmanız gerektiğini lütfen unutmayın. Daha fazla bilgi edin

@hisnameisjimmy doğrudur: Uygulamanızı incelenmek üzere göndermeye ve İhracat Uyumluluğu adım adımına gittiğinizde (en azından bugün 1 Aralık 2016 itibariyle) fark edeceksiniz, menünün artık HTTPS'nin muaf bir sürümü olduğunu belirttiğini göreceksiniz. şifreleme (her arama için kullanıyorsanız):

ABD Sanayi ve Güvenlik Bürosu'ndan gelen bu SSS'yi çok yararlı buldum.

şifreleme

Soru 15 (Not 4 nedir?) Önemli olan nokta:

...

Not 4'teki Kategori 5, Bölüm 2 dışında bırakılan öğelere örnekler aşağıdakileri içerir, ancak bunlarla sınırlı değildir:

Tüketici uygulamaları. Bazı örnekler:

yazılım veya müzik için korsanlık ve hırsızlık önleme; müzik, filmler, melodiler / müzik, dijital fotoğraflar - oynatıcılar, kaydediciler ve organizatörler oyunlar / oyun - cihazlar, çalışma zamanı yazılımı, HDMI ve diğer bileşen arayüzleri, geliştirme araçları LCD TV, Blu-ray / DVD, isteğe bağlı video (VoD), sinema , dijital video kaydediciler (DVR'ler) / kişisel video kaydediciler (PVR'ler) - cihazlar, çevrimiçi ortam kılavuzları, ticari içerik bütünlüğü ve koruması, HDMI ve diğer bileşen arabirimleri (video konferans değil); yazıcılar, fotokopi makineleri, tarayıcılar, dijital kameralar, İnternet kameraları - parçalar ve alt montajlar dahil ev yardımcı programları ve aletleri

Bu yanıtlardan bazılarını çok yararlı buldum, ancak size soruları yönlendirdiği için bu URL'yi eksiksiz olarak eklemek istedim:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

2020 SNAP-R formlarını doldurma talimatları bu bağlantıda bulunabilir. Ayrıca Yıllık Öz Sınıflandırma Raporu talimatları 2020 için güncellenmiştir.

https://stackoverflow.com/a/61431496/1217670

Basit yanıtlar Evet (Uygulama şifreleme içerir) ve Evet (Uygulama Muaf şifreleme kullanır). Uygulamamda, şirketimin web sitesini WKWebView'da açıyorum, ancak "https" kullandığı için muaf şifreleme olarak kabul edilecektir. Daha fazla bilgi için Apple belgesi: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Alternatif olarak, uygulamanızın info.plist dosyasına "ITSAppUsesNonExemptEncryption" anahtarını ve "NO" değerini ekleyebilirsiniz. ve iTunes connect artık size bu soruları sormayacak. Daha fazla bilgi: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Başvurunuzun muaf olup olmadığını doğrulamak için şu 3 basit adımı izleyebilirsiniz: https://help.apple.com/app-store-connect/#/dev63c95e436

Bu yıllık-öz-sınıflandırmayı ABD devletine göndermeniz gerekebilir. Daha fazla bilgi için: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

Açıkça bir şifreleme kütüphanesi kullanmıyorsanız veya kendi şifreleme kodunuzu kullanmıyorsanız, cevabın "hayır" olduğunu düşünüyorum