我当时正在提交我的应用程序,然后去了Spotify Connect上的Testflight,它说“缺少合规性信息”。在了解了这一切并阅读了有关EAR的内容之后,我想知道我是否将带有Spotify API的https用作第5部分第2部分的豁免列表中的合格对象。
我查看了有关此主题的其他堆栈溢出问题,one helpful answer提供了法律文档第2部分第5类的豁免清单:
(i)如果您根据BIS在加密问题上提供的指导确定您的应用程序未归类为EAR的第2部分第5类,可以在《联邦法规电子法规》站点上查阅EAR第774部分补编第3号中关于医疗设备的理解声明。请访问加密页面“常见问题”部分中的问题15,以获取BIS列出的示例项目,这些示例可以要求注释4豁免。
(ii)您的应用仅使用,访问,实现或合并加密用于身份验证
(iii)您的应用使用,访问,实现或合并加密,密钥长度不超过56位对称,512位非对称和/或112位椭圆曲线
(iv)您的应用是大众市场产品,其密钥长度不超过64位对称,或者如果没有对称算法,则不超过768位非对称和/或128位椭圆曲线。 请查看类别5第2部分中的注释3,以了解大众市场定义的标准。
(v)您的应用是专门为银行用途或“货币交易”而设计和限制的。“货币交易”一词包括票价或信用功能的收取和结算。
(vi)您的应用程序的源代码是“公开可用的”,您的应用程序免费分发给了公众,并且您已经满足740.13。(e)规定的通知要求。
从Spotify API来看,我认为在执行某些操作时使用刷新令牌请求令牌时,它仅符合ii点,但是此后,Spotify与用户之间不再进行身份验证,但是信息仍使用https加密。此外,该API不适合类别i或v,并且也不会像vi中所述那样公开我的应用程序源代码。
就密钥的位长而言,我不理解类别iii和iv之间的区别以及不对称和椭圆形之间的区别(我几乎没有加密和互联网方面的经验),但是密钥肯定更长大于56位,但不大于512位。
再一次,我几乎没有在该领域的经验,并且希望遵守该法律,因为违反该法律会导致“严厉惩罚”。