我的应用程序“包含加密”吗?

时间:2010-01-25 19:43:44

标签: iphone encryption app-store

我是第一次上传二进制文件。 iTunes Connect问我:

  

出口法律要求对包含加密的产品进行适当的出口授权   不遵守规定可能会导致严厉的处罚   有关详细信息,请单击此处   您的产品是否包含加密?

我使用https://,但只能通过NSURLConnectionUIWebView

我对此的解读是我的应用程序没有“包含加密”,但我想知道这是否在任何地方拼写出来。 “严厉处罚”听起来并不令人愉快,所以“我认为这是对的”有点粗略......权威的答案会更好。

感谢。

16 个答案:

答案 0 :(得分:193)

[更新:截至2016年9月底,使用HTTPS现已免除ERN] https://stackoverflow.com/a/40919650/4976373

不幸的是,即使你只是使用HTTPS,我认为你的应用程序“包含加密”,即使你的应用程序不是问题2中包含的例外,也是如此。

引自FAQ on iTunes Connect

如何知道我是否可以遵循出口商注册和报告(ERN)流程?

如果您的应用使用,请访问,实施或合并行业标准加密算法,用于除问题2中列为豁免的目的之外的目的,您需要提交ERN授权。标准加密的示例包括:AES,SSL, https 。此授权要求您每年1月向两个美国政府机构提交有关您的应用程序信息的年度报告。 “

第二个问题:您的产品是否有资格获得第5类第2部分规定的任何豁免?

对于使用,访问,实施或合并加密的应用程序和软件,美国出口法规在第5类第2部分(信息安全和加密法规)中有几项豁免。

与错误解释出口法规或要求豁免不正确相关的所有责任均由应用程序的所有者和开发者承担。

如果您符合以下任何条件,则可以对问题回答“是”:

(i)如果您根据国际清算银行在encryption question提供的指导确定您的应用未被归类为EAR第2部分的第5部分。 EAR第7​​74部分补编第3号中的医疗设备谅解声明可在联邦电子法规网站上查阅。请访问加密页面的FAQ部分中的问题#15,了解BIS列出的可以申请注释4豁免的样本项目。

(ii)您的应用仅使用,访问,实施或合并加密以进行身份​​验证

(iii)您的应用使用,访问,实施或合并加密,密钥长度不超过56位对称,512位非对称和/或112位椭圆曲线

(iv)您的应用是一种大众市场产品,密钥长度不超过64位对称,或者如果没有对称算法,不超过768位非对称和/或128位椭圆曲线。

请查看第5类第2部分中的注释3,以了解大众市场定义的标准。

(v)您的应用程序是专为银行用途或“货币交易”而设计和限制的。“货币交易”一词包括票价或信用功能的收集和结算。

(vi)您的应用的源代码是“公开可用的”,您的应用免费向公众发布,并且您已满足740.13规定的通知要求。(e)。

如果您需要进一步的帮助来确定您的应用是否有资格获得任何豁免,请访问encryption网页。

如果您认为自己的应用符合豁免资格,请回答问题“是”。“

答案 1 :(得分:88)

以正确的方式获得批准您的应用并不难。 SSL(HTTPS / TLS)仍然是加密的,除非您仅将其用于身份验证,否则您应该获得适当的批准。我刚收到批准,我的应用程序现在在商店中,用于使用SSL加密数据流量(而不仅仅是身份验证)。

以下是我制作的博客文章,以便其他人可以正确的方式执行此操作。

apple itunes export restrictions

答案 2 :(得分:46)

我向Apple询问了同样的问题并得到了答案(来自高级出口合规专家),“通过https发送信息迫使数据通过SSL的安全通道,因此属于美国政府CCATS审查和批准的要求。“请注意,Apple已经为他们的SSL实现做了这个并不重要,但是对于政府来说,如果你使用与他们自己编码相同的加密(对他们来说)。我还更新了我们的博客(http://blog.theanimail.com),因为蒂姆将其与该流程的更新和详细信息相关联。希望有所帮助。

答案 3 :(得分:37)

如果你使用Apple提供的安全框架或CommonCrypto库,你确实在你的应用程序中加入了加密,你必须回答是 - 所以只是因为Apple提供的库不会让你摆脱困境。

关于原始问题,Apple开发论坛上的最新帖子让我相信即使您使用的是SSL,也需要回答“是”。

答案 4 :(得分:31)

截至2016年9月20日,使用https(或其他形式的加密)的应用不再需要注册:https://web.archive.org/web/20170312060607/https://www.bis.doc.gov/index.php/informationsecurity2016-updates

事实上,在SNAP-R上,您无法再选择加密注册': enter image description here

具体来说,他们注意到:

  

不再需要加密注册 - 一些信息   从注册现在进入补充。第742部分第8号   报告。

这意味着您可能需要向BIS发送年度报告,但您不需要注册,您可以在提交应用时注明它是免除的。

答案 5 :(得分:28)

对于只使用TLS连接到自己的Web服务器的应用程序开发人员来说,所有这些都非常令人困惑。因为ATS(应用程序传输安全)变得越来越重要,我们鼓励将所有内容转换为https - 我认为更多的开发人员会遇到这个问题。

我的应用只是使用https协议在我们的服务器和用户之间交换数据。在免责声明中看到“使用加密”这个词有点可怕,所以我在美国政府办公室给他们的办公室打电话,并向工业和安全局(BIS)的代表http://www.bis.doc.gov/index.php/about-bis/contact-bis发了言。

该代表向我询问了我的应用程序,因为它通过了“主要功能测试”,因为它与安全/通信无关,只是使用https作为将我的客户数据连接到我们的服务器的渠道 - 它落在了EAR99类别意味着它不受政府许可(见https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn

我希望这有助于其他应用开发者。

答案 6 :(得分:21)

简短回答:是的,但你不必做任何事情

我在网上搜索了几个小时。实际上它非常简单,您可以在itunes connect中验证这一点:

<强> 1。所有你需要做的

如果您的应用仅使用HTTPS或仅使用加密进行身份验证,令牌等,您无需执行任何操作,只需添加 

<key>ITSAppUsesNonExemptEncryption</key><false/>

在您的Info.plist中,您已完成

<强> 2。验证

您可以在iTunes中连接验证

  • 选择您的应用
  • 选择了功能
  • 选择加密
  • 点击&#34; +&#34;
  • 按照对话框
  • 用于https或身份验证,答案为

在任何情况下,您都应该通过对话框仔细自己阅读

可在此处找到非常有用的文章

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

答案 7 :(得分:17)

是的,根据iTunes Connect导出合规信息屏幕,如果您使用内置iOS或MacOS加密(钥匙串,https),则您将加密用于美国政府出口法规。您是否有资格获得出口合规性豁免取决于您的应用程序的功能以及它如何使用此加密。附加图像显示iTunes Connect Export合规性屏幕,以帮助您确定出口报告义务。特别是,它声明:

  

如果您正在使用ATS或拨打HTTPS,请注意您需要向美国政府提交年终自我分类报告。 Learn more

iTunes Connect Export Compliance Information Q1

iTunes Connect Export Compliance Information Q2

答案 8 :(得分:16)

@hisnameisjimmy是正确的:您会注意到(至少截至今天,2016年12月1日)当您提交您的应用以供审核并达到导出合规性演练时,您会注意到菜单现在指出HTTPS是一个免除加密版本(如果您为每次通话使用它):

enter image description here

enter image description here

答案 9 :(得分:7)

我发现美国工业和安全局的此常见问题非常有用。

encryption

问题15(注4是什么?)是重点:

...

注释4中排除第5类第2部分的项目示例包括但不限于以下内容:

消费者应用程序。一些例子:

  

软件或音乐的盗版和盗窃预防;       音乐,电影,曲调/音乐,数码照片 - 播放器,录像机和组织者       游戏/游戏 - 设备,运行时软件,HDMI和其他组件接口,开发工具       液晶电视,蓝光/ DVD,视频点播(VoD),电影院,数字视频录像机(DVR)/个人视频录像机(PVR) - 设备,在线媒体指南,商业内容完整性和保护,HDMI和其他组件接口(不是视频会议);       打印机,复印机,扫描仪,数码相机,互联网相机 - 包括零件和子组件       家用电器和电器

答案 10 :(得分:6)

我与App Review小组(WWDC20)进行了一次实验。

我的问题是:

  1. 我的应用仅通过HTTPS拨打电话。我应该选择是还是否?
  2. 如果我的应用可以在以下国家/地区使用,我应该向美国政府发送报告吗? 仅限于德国(在美国不可用)?

答案:

  1. 如果仅使用HTTPS,则可以选择

  2. 第二个问题的答案尚不清楚。 Helpful link如果使用自定义加密,看起来像是。

答案 11 :(得分:3)

发现其中一些答案非常有用,但是为了完整性,我想添加此网址,因为它会引导您完成以下问题:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

答案 12 :(得分:2)

可在此链接上找到填写2020 SNAP-R表格的说明。 此外,《年度自我分类报告》中的说明还针对2020年进行了更新。

https://stackoverflow.com/a/61431496/1217670

答案 13 :(得分:1)

简单的答案是“是”(应用程序已加密)和“是”(应用程序使用了豁免加密)。 在我的应用程序中,我只是在WKWebView中打开公司的网站,但是由于它使用“ https”,因此将被视为免税加密。 Apple文档以获取更多信息:https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

或者,您可以仅在应用程序的info.plist文件中添加键“ ITSAppUsesNonExemptEncryption”和值“ NO”。这样,iTunes连接就不会再问您这个问题了。 更多信息:https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

您可以按照以下3个简单步骤来验证您的应用程序是否被豁免:https://help.apple.com/app-store-connect/#/dev63c95e436

您可能需要将此年度自我分类提交给美国政府。有关更多信息:https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

答案 14 :(得分:0)

如果您没有明确使用加密库或滚动自己的加密代码,那么我认为答案是“不”

答案 15 :(得分:0)

看起来像 HTTPS 计数

“了解详情”链接:
https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification Looks like HTTPS counts

相关问题
最新问题