it-swarm.com.de

Enthält meine Anwendung "Verschlüsselung"?

Ich lade zum ersten Mal eine Binärdatei hoch. iTunes Connect hat mich gefragt:

Exportgesetze verlangen, dass Produkte, die Verschlüsselung enthalten, ordnungsgemäß für den Export autorisiert werden.
Die Nichtbeachtung kann schwere Strafen nach sich ziehen.
Für weitere Informationen klicken Sie hier.
Enthält Ihr Produkt eine Verschlüsselung?

Ich benutze https://, aber nur über NSURLConnection und UIWebView.

Meiner Meinung nach enthält meine App keine "Verschlüsselung", aber ich frage mich, ob dies irgendwo anders geschrieben ist. "Schwere Strafen" klingt überhaupt nicht angenehm, daher ist "Ich denke das ist richtig" ein bisschen skizzenhaft ... eine verbindliche Antwort wäre besser.

Vielen Dank.

329
Steven Fisher

[ [~ # ~] Update [~ # ~] : Die Verwendung von HTTPS ist ab Ende September 2016 von der ERN ausgenommen.] https://stackoverflow.com/a/40919650/497637


Leider glaube ich, dass Ihre App eine Verschlüsselung in Bezug auf US-BIS enthält, auch wenn Sie nur HTTPS verwenden (sofern Ihre App keine Ausnahme in Frage 2 darstellt).

Zitat aus FAQ zu iTunes Connect :

" Woher weiß ich, ob ich den Exporter Registration and Reporting (ERN) -Prozess verfolgen kann?

Wenn Ihre App verwendet, auf Verschlüsselungsalgorithmen nach Industriestandard zugreift, diese implementiert oder einbezieht, die nicht den unter Frage 2 aufgeführten Ausnahmen entsprechen, Sie müssen eine ERN-Autorisierung beantragen . Beispiele für Standardverschlüsselung sind: AES, SSL, https . Für diese Autorisierung müssen Sie zwei US-Regierungsbehörden jährlich einen Bericht mit Informationen zu Ihrer App vorlegen. "

" 2. Frage: Gilt Ihr Produkt für Ausnahmen gemäß Kategorie 5, Teil 2?

Für Anwendungen und Software, die Verschlüsselung verwenden, darauf zugreifen, implementieren oder einbinden, sind in den US-Exportbestimmungen unter Kategorie 5 Teil 2 (Informationssicherheits- und Verschlüsselungsbestimmungen) mehrere Ausnahmen verfügbar.

Alle Verpflichtungen, die mit einer falschen Auslegung der Exportbestimmungen oder einer unrichtigen Inanspruchnahme der Ausnahmeregelung verbunden sind, werden von den Eigentümern und Entwicklern der Apps getragen.

Sie können die Frage mit „JA“ beantworten, wenn Sie eines der folgenden Kriterien erfüllen:

(i) Wenn Sie feststellen, dass Ihre App nicht unter Kategorie 5, Teil 2 der EAR klassifiziert ist, basierend auf den Anweisungen von BIS unter Verschlüsselungsfrage . Die Einverständniserklärung für medizinische Geräte in Anhang Nr. 3 zu Teil 774 der EAR kann unter Electronic Code of Federal Regulations abgerufen werden. Besuchen Sie die Frage Nr. 15 im Abschnitt FAQ auf der Verschlüsselungsseite für die von BIS aufgelisteten Beispielelemente, die Ausnahmen gemäß Anmerkung 4 beanspruchen können.

(ii) Ihre App verwendet, greift darauf zu, implementiert oder integriert Verschlüsselung nur zur Authentifizierung

(iii) Ihre App verwendet, greift darauf zu, implementiert oder integriert eine Verschlüsselung mit Schlüssellängen, die 56 Bit symmetrisch, 512 Bit asymmetrisch und/oder 112 Bit elliptisch nicht überschreiten

(iv) Ihre App ist ein Massenprodukt mit Schlüssellängen von maximal 64 Bit (symmetrisch) oder ohne symmetrische Algorithmen mit maximal 768 Bit (asymmetrisch) und/oder 128 Bit (elliptisch).

Bitte lesen Sie Anmerkung 3 in Kategorie 5, Teil 2, um die Kriterien für die Definition des Massenmarkts zu verstehen.

(v) Ihre App wurde speziell für Bankgeschäfte oder Geldtransaktionen entwickelt und ist auf diese beschränkt. Der Begriff "Geldtransaktionen" umfasst die Erfassung und Abrechnung von Tarifen oder Kreditfunktionen.

(vi) Der Quellcode Ihrer App ist "öffentlich verfügbar", Ihre App wird kostenlos an die breite Öffentlichkeit verteilt und Sie haben die Benachrichtigungsanforderungen gemäß 740.13 erfüllt.

Besuchen Sie die Webseite encryption , wenn Sie weitere Hilfe benötigen, um festzustellen, ob Ihre App für Ausnahmen geeignet ist.

Wenn Sie der Meinung sind, dass Ihre App für eine Ausnahme qualifiziert ist, beantworten Sie die Frage mit "JA". "

198
MikhailSP

Es ist nicht schwer, die Genehmigung für Ihre App auf die richtige Weise zu erhalten. SSL (HTTPS/TLS) ist immer noch eine Verschlüsselung. Wenn Sie es nicht nur zur Authentifizierung verwenden, sollten Sie die entsprechende Genehmigung einholen. Ich habe gerade die Genehmigung erhalten und meine App ist jetzt im Store für etwas, das SSL zum Verschlüsseln des Datenverkehrs verwendet (nicht nur zur Authentifizierung).

Hier ist ein Blog-Eintrag, den ich gemacht habe, damit andere dies auf die richtige Weise tun können.

Apple iTunes Exportbeschränkungen

88
Tige Phillips

Ich stellte Apple genau die gleiche Frage und erhielt die Antwort (von einem Sr. Export Compliance Specialist), dass "das Senden von Informationen über https die Daten zwingt, einen sicheren SSL-Kanal zu durchlaufen, daher fällt es unter die Forderung der US-Regierung nach einer CCATS-Überprüfung und -Zulassung. " Beachten Sie, dass es nicht wichtig ist, dass Apple dies bereits für die SSL-Implementierung getan hat, sondern für die Regierung, wenn Sie eine Verschlüsselung verwenden, die (für sie) dieselbe ist, wie Sie sie selbst codiert hätten. Ich habe auch unseren Blog ( http://blog.theanimail.com ) aktualisiert, da Tim mit Updates und Details zum Prozess verlinkt hat. Ich hoffe, das hilft.

46
der_flop

Wenn Sie das von Apple bereitgestellte Sicherheitsframework oder die CommonCrypto-Bibliotheken verwenden, nehmen Sie Crypto in Ihre App auf und müssen mit "Ja" antworten. Nur weil die von Apple bereitgestellten Bibliotheken Sie nicht vom Haken nehmen.

In Bezug auf die ursprüngliche Frage habe ich kürzlich in den Apple - Entwicklungsforen veröffentlichte Posts gelesen, dass Sie mit "Ja" antworten müssen, auch wenn Sie nur SSL verwenden.

37
Tim

Ab dem 20. September 2016 ist für Apps, die https (oder möglicherweise andere Formen der Verschlüsselung) verwenden, keine Registrierung mehr erforderlich: https://web.archive.org/web/20170312060607/https://www. bis.doc.gov/index.php/informationsecurity2016-updates

Tatsächlich können Sie auf SNAP-R nicht mehr "Verschlüsselungsregistrierung" wählen: enter image description here

Insbesondere stellen sie fest:

Verschlüsselungs-Registrierungen werden nicht mehr benötigt - einige der Informationen aus der Registrierung gehen jetzt in das Supp. Nr. 8 zu Teil 742 Bericht.

Dies bedeutet, dass Sie möglicherweise einen Jahresbericht an BIS senden müssen, sich jedoch nicht registrieren müssen und beim Einreichen Ihrer App feststellen können, dass diese ausgenommen ist.

31
hisnameisjimmy

All dies kann für einen App-Entwickler, der lediglich TLS verwendet, um eine Verbindung zu seinen eigenen Webservern herzustellen, sehr verwirrend sein. Weil ATS (App Transport Security) immer wichtiger wird und wir aufgefordert werden, alles auf https umzustellen - ich denke, dieses Problem wird bei weiteren Entwicklern auftreten.

Meine App tauscht einfach Daten zwischen unserem Server und dem Benutzer über das https-Protokoll aus. Die Worte "USES ENCRYPTION" in den Haftungsausschlüssen zu sehen, ist ein bisschen beängstigend. Deshalb habe ich das Büro der US-Regierung angerufen und mit einem Vertreter des Bureau of Industry and Security (BIS) gesprochen http: // www .bis.doc.gov/index.php/about-bis/contact-bis .

Der Vertreter fragte mich nach meiner App und da sie den "primären Funktionstest" bestanden hatte, hatte sie nichts mit Sicherheit/Kommunikation zu tun und benutzte einfach https als Kanal für die Verbindung meiner Kundendaten mit unseren Servern - sie fiel in die Kategorie EAR99 Das heißt, es ist von der Erlaubnis der Regierung ausgenommen (siehe https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Ich hoffe das hilft anderen App Entwicklern.

29
Ed Trujillo

Kurze Antwort: Ja, aber Sie müssen nichts tun

Ich habe einige Stunden lang im Internet danach gesucht. Eigentlich ist es ziemlich einfach und Sie können dies in iTunes Connect überprüfen:

1. Alles was Sie tun müssen

Wenn Ihre App nur HTTPS verwendet oder die Verschlüsselung nur für Authentifizierung, Token usw. verwendet , müssen Sie nichts tun, sondern nur einschließen.

<key>ITSAppUsesNonExemptEncryption</key><false/>

in deiner Info.plist und du bist fertig .

2. Überprüfung

Sie können dies in iTunes connect überprüfen .

  • wähle deine App aus
  • wählte Funktionen
  • verschlüsselung gewählt
  • klicken Sie auf "+"
  • folge dem dialog
  • für https oder Authentifizierung lautet die Antwort yes und yes

In jedem Fall sollten Sie sich den Dialog sorgfältig durchlesen .


Einen sehr hilfreichen Artikel finden Sie hier:

https://www.cocoanetics.com/2017/02/iTunes-connect-encryption-info/

24
Simon C.

Ja. Wenn Sie die integrierte iOS- oder MacOS-Verschlüsselung (Schlüsselbund, https) verwenden, verwenden Sie laut den Bildschirmen mit den Informationen zum Export von iTunes Connect die Verschlüsselung für die Zwecke der Exportbestimmungen der US-Regierung. Ob Sie sich für eine Ausnahme zur Einhaltung der Exportbestimmungen qualifizieren, hängt davon ab, was Ihre App tut und wie sie diese Verschlüsselung verwendet. Angehängte Bilder zeigen die Export-Compliance-Bildschirme von iTunes Connect, um Sie bei der Bestimmung Ihrer Exportberichtspflichten zu unterstützen. Insbesondere heißt es:

Wenn Sie ATS nutzen oder HTTPS anrufen, müssen Sie der US-Regierung einen Bericht zur Selbsteinstufung zum Jahresende vorlegen. Weitere Informationen

iTunes Connect Export Compliance Information Q1

iTunes Connect Export Compliance Information Q2

18
dferrero

@hisnameisjimmy ist richtig: Sie werden feststellen, dass HTTPS eine ausgenommene Version von HTTPS ist, wenn Sie Ihre App zur Überprüfung einreichen und die exemplarische Vorgehensweise zur Exportkonformität aufrufen (Stand: 1. Dezember 2016) Verschlüsselung (wenn Sie sie für jeden Anruf verwenden):

enter image description here

enter image description here

16
Jake

Ich fand das FAQ vom US Bureau of Industry and Security sehr hilfreich.

Verschlüsselung

Frage 15 (Was ist Anmerkung 4?) Ist der wichtige Punkt:

...

Beispiele für Gegenstände, die in Anmerkung 4 von Kategorie 5, Teil 2, ausgenommen sind, sind unter anderem:

Consumer-Anwendungen. Einige Beispiele:

piraterie und Diebstahlschutz für Software oder Musik; Musik, Filme, Musik/Musik, digitale Fotos - Player, Rekorder und Organisatoren Spiele/Gaming - Geräte, Laufzeitsoftware, HDMI und andere Komponentenschnittstellen, Entwicklungstools LCD TV, Blu-ray/DVD , Video on Demand (VoD), Kino, digitale Videorecorder (DVRs)/persönliche Videorecorder (PVRs) - Geräte, Online-Medienführer, Integrität und Schutz von kommerziellen Inhalten, HDMI- und andere Komponentenschnittstellen (keine Videokonferenzen); Kopierer, Scanner, Digitalkameras, Internetkameras - einschließlich Teile und Unterbaugruppen für Haushaltsgeräte und -geräte

7
user2089118

Ich fand einige dieser Antworten sehr nützlich, wollte diese URL jedoch der Vollständigkeit halber hinzufügen, da sie Sie durch die folgenden Fragen führt:

https://itunespartner.Apple.com/de/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

3
mtpultz

Wenn Sie nicht explizit eine Verschlüsselungsbibliothek verwenden oder Ihren eigenen Verschlüsselungscode rollen, lautet die Antwort meines Erachtens "Nein".

0
Jason