我的应用程序是否“包含加密”?


372

我是第一次上传二进制文件。iTunes Connect问我:

出口法律要求包含加密的产品具有适当的出口授权。
不遵守可能会导致严厉的处罚。
更多信息,请点击这里。
您的产品是否包含加密?

我使用https://,但只能通过NSURLConnection和使用UIWebView

我的理解是,我的应用程序不“包含加密”,但是我想知道它是否在任何地方都已阐明。“严厉处罚”听起来一点都不愉快,因此“我认为是正确的”有点粗略……权威的回答会更好。

谢谢。


如果您的应用仅调用HTTPS,则App Store Connect中不需要任何文档。但是您必须直接向美国工业和安全局(BIS)提交自我分类报告。请参阅Apple的总结:出口合规性文档以进行加密
vvkatwss vvkatwss

如果我们使用InMobi SDK(基于印度),如果有人认为这是非美国组件且非美国制造的,那么有人知道要他们填写的表格吗?
isJulian00 '18

Answers:


214

[ 更新:自2016年9月下旬起,ERN无需使用HTTPS] https://stackoverflow.com/a/40919650/4976373


不幸的是,我相信即使您仅使用HTTPS(如果您的应用程序不是问题2所包含的例外),您的应用程序也就美国BIS而言“包含加密”。

iTunes Connect上的常见问题解答中引用:

如何知道我是否可以遵循出口商注册和报告(ERN)程序?

如果您的应用出于问题2所列的豁免目的以外的目的使用,访问,实现或并入了行业标准加密算法,则需要提交ERN授权。标准加密的示例包括:AES,SSL,https。此授权要求您每年1月向两个美国政府机构提交年度报告,其中包含有关您的应用程序的信息。”

第二个问题:您的产品是否有资格获得类别5第2部分提供的任何豁免?

在美国出口法规中,第5类第2部分(信息安全和加密法规)对使用,访问,实施或合并加密的应用程序和软件有几项豁免。

与误解出口法规或要求豁免不正确相关的所有责任均由应用程序的所有者和开发人员承担。

如果满足以下任一条件,则可以对问题回答“是”:

(i)根据BIS在加密问题上提供的指导,确定您的应用程序未归类为EAR的第2部分第5类。可以在《联邦法规电子法规》站点上查阅EAR第7​​74部分补编第3号中关于医疗设备的理解声明。请访问加密页面“常见问题”部分中的问题15,以获取BIS列出的示例项目,这些示例可以要求注释4豁免。

(ii)您的应用仅使用,访问,实现或合并加密以进行身份​​验证

(iii)您的应用使用,访问,实现或合并了密钥长度不超过56位对称,512位非对称和/或112位椭圆曲线的加密

(iv)您的应用是大众市场产品,密钥长度不超过64位对称,或者如果没有对称算法,则不超过768位非对称和/或128位椭圆曲线。

请查看类别5第2部分中的注释3,以了解大众市场定义的标准。

(v)您的应用程序是专门为银行用途或“货币交易”设计的,并且受到限制。术语“金钱交易”包括票价或信用功能的收集和结算。

(vi)您的应用程序的源代码是“公开可用的”,您的应用程序免费分发给了公众,并且您已满足740.13。(e)规定的通知要求。

如果您需要进一步的帮助来确定您的应用是否符合任何豁免条件,请访问加密网页。

如果您认为自己的应用有资格获得豁免,请对问题回答“是”。


7
那是一个很好的答案。实际上,这太棒了,我已经接受了。不过,该链接不一定是可循的。要获取该文档,请登录iTunes Connect,单击页面底部的FAQ链接,然后单击App Store的“全球贸易合规性”。
史蒂芬·费舍尔

39
有一个名为“ Note 4”的更新,该更新将类别5第2部分中的大多数商业应用程序排除在外bis.doc.gov/index.php/policy-guidance/encryption/…这意味着大多数使用加密功能来支持其主要功能的应用程序都是没有注册就罚款
Andrew Alcock 2014年

7
@AndrewAlcock仅当其主要功能不是“信息安全”,也不是“计算机,包括操作系统,零件和组件”,也不是“发送,接收或存储信息(支持娱乐,大规模商业广播,数字版权时除外)管理或病历管理);” 或“网络(包括运营,管理,管理和供应)。”不幸的是,我认为许多商业应用仍需要注册。游戏现在可能还可以!
JosephH 2014年

25
因此,如果我的应用通过https访问api,它是否合格?您能举例说明这四个标准吗?
拉比(H.Rabiee)

16
您不能指望车库中的每个独立应用程序开发人员都会聘请律师。所有解释开销都很昂贵,而且可能很耗时。
Cindeselia's

91

以适当的方式获得批准您的应用并不难。SSL(HTTPS / TLS)仍然是加密,除非您仅将其用于身份验证,否则您应该获得适当的批准。我刚刚获得批准,并且我的应用程序现在已经在商店中出售,可以使用SSL加密数据流量(而不仅仅是身份验证)。

这是我写的博客条目,以便其他人可以以正确的方式进行。

苹果iTunes出口限制


1
好的信息,但问题不是要很难获得批准,而是是否需要批准。根据该正式答复,在这种情况下可能并非如此(此处的注3和注4 可能指向相同的结果)。
Paul Kulchenko 2013年

谢谢你 现在看来,最初对CIN / PIN的请求必须通过邮寄的方式发送,而不是通过传真或电子邮件发送。在相关页面上(snapr.bis.doc.gov/snapr/docs/fieldHelp.html并搜索“电子提交信”),他们没有提供平邮地址。有谁知道这是什么吗?
克里斯·普林斯

1
仅供参考-如果您仅打算在美国和加拿大提供您的应用,那么这无关紧要。这来自iTunes Connect支持文档:“(如果)开发人员选择仅在美国和加拿大发布他的应用程序。-不需要美国CCATS或ERN。不需要法国进口声明。”
PICyourBrain

如果我们使用InMobi SDK(基于印度),如果有人认为这是非美国组件且非美国制造的,那么有人知道要他们填写的表格吗?
isJulian00 '18

我在一月份后发布了我的应用。在这种情况下,我需要立即发送此报告,还是可以等到明年?
user924

47

我问苹果公司同样的问题,并得到了答案(来自高级出口合规专家),“通过https发送信息会迫使数据通过SSL的安全通道,因此,这符合美国政府的要求, CCATS审核和批准。” 请注意,苹果已经为SSL实施了此操作并不重要,但对于政府而言,如果您使用的加密与他们自己进行的加密相同(对他们而言)。我还更新了我们的博客(http://blog.theanimail.com),因为Tim链接了该博客,并提供了更新和有关流程的详细信息。希望能有所帮助。


22
“高级出口合规专家”,认真吗?苹果公司是否有一支由初级出口法规遵从专家组成的大军,只能就法规遵从问题提供一般性建议?我想你被骗了。苹果愿意谨慎行事是可以理解的。但是实际的管制出口限制协议将表明它们是错误的:httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Udo 2010年

@Udo您是否在指“ Wasenaar协议是否影响了mod_ssl”部分?如果您是这样,虽然我不知道OP问题的正确答案是什么,但我想指出您引用的文档不适用,因为没有提供 App Store应用程序,“其进一步传播不受限制”。我非常非常希望被证明是错误的...
IvanVučica2012年

16
@Udo和支持他的评论的人。 哦,你怎么这么错。一个,您可能会使用常识-这将是您的第一个错误。关于出口管制,常识不适用。其次,httpd.apache.org不是美国商务部的附属网站,因此,如果您信任该网站上的任何信息,那么您将犯另一个错误。就其价值而言,我的职业生涯大部分时间都花在编写情报软件上,其中大部分用于出口到其他国家的国防产品。我知道我在说什么(不幸的是)。
Nate 2012年

8
@Nate,这是否意味着没有初级出口合规专家大军?:)
bbozo 2015年

如果我们使用InMobi SDK(来自印度),如果有人认为这是非美国组件且非美国制造的,那么有人知道要他们填写的表格吗?
isJulian00 '18

38

如果您使用Apple提供的安全性框架或CommonCrypto库,则您的应用程序中确实包含了加密,并且您必须回答yes-仅仅是因为Apple提供的库并没有使您摆脱困境。

关于原始问题,Apple开发论坛上的最新帖子使我相信,即使您只使用SSL,也需要回答是。


据我所知这是正确的。加密出口法的严格程度(考虑到软件可以毫不费力地通过网络传输的事实)太严格了,但是此要求与特定的加密方法或实现是否“经过授权”无关,而是系统(您的应用程序)利用它的内容将首先经过审查。#IANAL,但是。
贾斯汀·塞尔斯

如果我们使用InMobi SDK(来自印度),如果有人认为这是非美国组件且非美国制造的,那么有人知道要他们填写的表格吗?
isJulian00 '18

34

简短的回答:是的,但是您不必做任何事情

我在网上搜索了几个小时。其实这很简单,您可以在iTunes连接中验证这一点:

1.您要做的一切

如果您的应用仅使用HTTPS或仅将加密用于身份验证,令牌等,则无需执行任何操作,只需添加

<key>ITSAppUsesNonExemptEncryption</key><false/>

在您的Info.plist中,您就完成了

2.验证

您可以在iTunes连接中对此进行验证

  • 选择你的应用
  • 选择功能
  • 选择加密
  • 点击“ +”
  • 按照对话框
  • 对于HTTPS或认证的答案是肯定的,并

无论如何,您当然应该仔细阅读对话框。


可以在这里找到非常有用的文章

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/


7
我从Apple处读取以下内容:“您的应用程序对加密的使用仅限于通过HTTPS进行呼叫。请注意,您将负责在今年年底提交自分类报告。” 我想你还是要自我归类为每年一月在这里免除:bis.doc.gov/index.php/policy-guidance/encryption/...
约书亚Plicque

如果我们使用InMobi SDK(来自印度),如果有人认为这是非美国组件且非美国制造的,那么有人知道要他们填写的表格吗?
isJulian00 '18

33

对于仅使用TLS连接到其自己的Web服务器的应用程序开发人员而言,所有这些都可能会造成混乱。由于ATS(应用程序传输安全性)变得越来越重要,我们鼓励将所有内容都转换为https-我认为更多的开发人员将遇到此问题。

我的应用程序仅使用https协议在服务器和用户之间交换数据。在免责声明中看到“ USES ENCRYPTION”一词有点吓人,因此我给美国政府办公室打了个电话,并与工业和安全局(BIS)的代表进行了交谈http://www.bis.doc .gov / index.php / about-bis / contact-bis

该代表向我询问了我的应用程序,因为它通过了“主要功能测试”,因为它与安全性/通信无关,而只是使用https作为将我的客户数据连接到我们的服务器的渠道-属于EAR99类别这意味着它无需获得政府许可(请参阅https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn

我希望这对其他应用程序开发人员有所帮助。


这是从内存中提取的,我已经有一段时间没看到屏幕了,但是:如果现在浏览上载器,可以对加密问题回答“是”,下一个问题与豁免有关。它详细解释了,我将应用计为加密并通过加密后没有问题。
史蒂芬·费舍尔

5
综上所述,使用https进行客户端-服务器通信的普通消费者应用程序通常属于注释4豁免范围。因此,一般的独立开发人员只需选择“是”,然后再次选择“是”,然后直接进行提交即可。iTunes Connect FAQ甚至具有指向FAQ中的问题5的链接,解释了Note 4,甚至有一些示例:bis.doc.gov/index.php/policy-guidance/encryption/…– Vitalii
2016年

1
@Vitalii此链接现在是404
1800信息

@ 1800INFORMATION情况发生了变化。我的评论日期为2016年。此后需求有所变化。最好依赖苹果的文档:help.apple.com/app-store-connect
#

如果我们使用InMobi SDK(来自印度),如果有人认为这是非美国组件且非美国制造的,那么有人知道要他们填写的表格吗?
isJulian00 '18

31

自2016年9月20日起,使用https(或其他加密形式)的应用不再需要注册:https//web.archive.org/web/20170312060607/https//www.bis.doc。 gov / index.php / informationsecurity2016-更新

实际上,在SNAP-R上,您不能再选择“加密注册”: 在此处输入图片说明

具体来说,他们指出:

不再需要加密注册-来自注册的某些信息现在进入Supp。第742部分第8号报告。

这意味着您可能需要向BIS发送年度报告,但是您无需注册,并且可以在提交应用程序时注明其是免税的。


谢谢,但链接已断开。您能在互联网上找到原始文章吗?
蓝色

23

是的,根据iTunes Connect出口合规性信息屏幕,如果您使用内置的iOS或MacOS加密(钥匙串,https),则表示出于美国政府出口法规的目的使用了加密。您是否有资格获得出口合规豁免,取决于您的应用程序执行的操作以及如何使用此加密。所附图像显示iTunes Connect出口合规性屏幕,可帮助您确定出口报告义务。它特别指出:

如果您使用的是ATS或拨打HTTPS,请注意,您需要向美国政府提交年终自我分类报告。学到更多

iTunes Connect出口合规信息第一季度

iTunes Connect出口合规信息第二季度


22
我认为可能需要法律学位才能理解“更多信息”链接下的任何内容...绝对没有任何内容表明您如何制作此“年终自我分类报告”。
蒂姆·迪斯达尔

7
如此简单的按钮在浏览器中打开https网址,以便用户可以找到我的twitter帐户,这使我不得不向美国政府提交年终自我分类报告?哇
Suhaib

4
很难找到,因此这是自我分类报告指南的链接(直到他们再次移动它):bis.doc.gov/index.php/policy-guidance/encryption/…–
helleye

2
@Suhaib-在浏览器中打开链接可能不算-您的应用程序未使用https,而您的应用程序正在打开另一个应用程序。该应用可能使用也可能不使用HTTPS(在这种情况下,它确实使用了Safari或chrome等)
csga5000

1
你们知道如何制作这份年度自我分类报告吗?(非律师哈哈)
罗尼·阿兹拉克

20

@hisnameisjimmy是正确的:您会注意到(至少从今天(2016年12月1日)开始)提交应用程序进行审核并到达“出口合规性”演练,您会注意到菜单现在指出HTTPS是该版本的免税版本加密(如果您在每次通话时都使用它):

在此处输入图片说明

在此处输入图片说明


已经有一段时间了,但是这个答案无法回答这个问题:是的,您的应用程序包含加密。另外,是的,未来的问题会让您不满意。这也正是接受的答案所说的,只有接受的答案说得更好。编辑:此外,您对该答案的编辑是多余的。
史蒂芬·费舍尔

是否仅限于在操作系统中使用加密包括自动备份到云的数据?
伊恩·沃伯顿

如果我们使用InMobi SDK(来自印度),如果有人认为这是非美国组件且非美国制造的,那么有人知道要他们填写的表格吗?
isJulian00 '18

8

我发现美国工业和安全局的常见问题解答很有帮助。

加密

问题15(注4是什么)是重点:

...

注释4从类别5,第2部分中排除的项目示例包括但不限于以下各项:

消费者应用程序。一些例子:

防止软件或音乐的盗版和盗窃;音乐,电影,曲调/音乐,数码照片-播放器,记录器和组织者游戏/游戏-设备,运行时软件,HDMI和其他组件接口,开发工具LCD TV,蓝光/ DVD,视频点播(VoD),电影院,数字录像机(DVR)/个人录像机(PVR)–设备,在线媒体指南,商业内容的完整性和保护,HDMI和其他组件接口(非视频会议);打印机,复印机,扫描仪,数码相机,互联网相机-包括零件和子组件,家用公用事业和家用电器




0

简单的答案是是(应用程序已加密)和是(应用程序使用免除加密)。在我的应用程序中,我只是在WKWebView中打开公司的网站,但是由于它使用“ https”,因此将被视为免除加密。Apple文档以获取更多信息: https //developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

或者,您可以仅在应用程序的info.plist文件中添加键“ ITSAppUsesNonExemptEncryption”和值“ NO”。这样,iTunes connect就不会再问您这个问题了。更多信息: https //developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

您可以按照以下3个简单步骤来验证您的应用程序是否被豁免: https //help.apple.com/app-store-connect/#/dev63c95e436

您可能需要将此年度自我分类提交给美国政府。有关更多信息:https : //www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification


-1

如果您不是显式使用加密库或滚动自己的加密代码,那么我认为答案是“否”。


10
仅说明一下:您正在使用加密(TLS),但正确授权它可以从美国导出(并且随iPhone一起提供),因此您还可以。
BlueRaja-Danny Pflughoeft 2010年

聪明的评论,BlueRaja。我只是在考虑不编写代码,而是从您的角度考虑,很明显,Apple的HTTPS已被授权。我认为这使问题变得更加简单。
史蒂芬·费舍尔

11
仅仅因为图书馆已获得出口许可,并不意味着您使用该图书馆的产品也已获得许可。我知道从逻辑上讲这是没有道理的,但这是我们正在讨论的政府。请参阅蒂姆答案中的链接,或者如果需要权威性答案,请直接向Apple或美国BIS咨询。
史蒂夫·马德森 Steve Madsen)2010年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.