¿Mi aplicación “contiene cifrado”?

Estoy cargando un binario por primera vez. iTunes Connect me ha preguntado:

Las leyes de exportación requieren que los productos que contengan encriptación estén debidamente autorizados para la exportación.
El incumplimiento puede dar lugar a sanciones severas.
Para más información, haga clic aquí.
¿Su producto contiene cifrado?

Uso https:// , pero solo a través de NSURLConnection y UIWebView .

Mi lectura de esto es que mi aplicación no “contiene cifrado”, pero me pregunto si esto se explica en cualquier lugar. Las “sanciones severas” no suenan nada agradables, por lo que “creo que es correcto” es un poco superficial … una respuesta autorizada sería mejor.

Gracias.

[ ACTUALIZACIÓN : el uso de HTTPS ahora está exento de la ERN a partir de finales de septiembre de 2016] https://stackoverflow.com/a/40919650/4976373


Lamentablemente, creo que su aplicación “contiene cifrado” en términos de BIS de EE. UU. Incluso si solo usa HTTPS (si su aplicación no es una excepción incluida en la pregunta 2).

Cita de las preguntas frecuentes en iTunes Connect :

¿Cómo sé si puedo seguir el proceso de registro e informe de exportadores (ERN)?

Si su aplicación utiliza , accede, implementa o incorpora algoritmos de cifrado estándar de la industria para fines distintos a los enumerados como exenciones en la pregunta 2, debe enviar una autorización de ERN . Ejemplos de encriptación estándar son: AES, SSL, https . Esta autorización requiere que envíe un informe anual a dos agencias del gobierno de EE. UU. Con información sobre su aplicación cada enero. ”

2da pregunta: ¿Su producto califica para cualquier exención prevista en la categoría 5 parte 2?

Existen varias exenciones disponibles en las regulaciones de exportación de EE. UU. Bajo la Categoría 5, Parte 2 (Regulaciones de seguridad de la información y encriptación) para aplicaciones y software que usan, acceden, implementan o incorporan encriptación.

Todos los pasivos asociados con la mala interpretación de las regulaciones de exportación o reclamar la exención de forma incorrecta son responsabilidad de los propietarios y desarrolladores de las aplicaciones.

Puede responder “SÍ” a la pregunta si cumple alguno de los siguientes criterios:

(i) si determina que su aplicación no está clasificada en la Categoría 5, Parte 2 de la EAR, de acuerdo con la orientación brindada por BIS en la pregunta de cifrado . Se puede acceder a la Declaración de entendimiento para equipos médicos en el Suplemento No. 3 a la Parte 774 del EAR en el sitio del Código electrónico de reglamentos federales. Visite la Pregunta # 15 en la sección de preguntas frecuentes de la página de encriptación para los elementos de muestra que BIS ha enumerado que pueden reclamar exenciones de la Nota 4.

(ii) su aplicación utiliza, accede, implementa o incorpora cifrado solo para autenticación

(iii) su aplicación utiliza, accede, implementa o incorpora encriptación con longitudes de clave que no excedan 56 bits simétricos, 512 bits asimétricos y / o curva elíptica de 112 bits

(iv) su aplicación es un producto de mercado masivo con longitudes de clave que no exceden los 64 bits simétricos, o si no hay algoritmos simétricos, que no excedan los 768 bits asimétricos y / o la curva elíptica de 128 bits.

Por favor revise la Nota 3 en la Categoría 5 Parte 2 para comprender los criterios para la definición de mercado masivo.

(v) su aplicación está especialmente diseñada y limitada para uso bancario o ‘transacciones monetarias’. El término “transacciones monetarias” incluye la recaudación y liquidación de tarifas o funciones de crédito.

(vi) el código fuente de su aplicación está “a disposición del público”, su aplicación se distribuye gratuitamente al público en general y usted cumple con los requisitos de notificación provistos bajo 740.13. (e).

Visite la página web de encriptación en caso de que necesite más ayuda para determinar si su aplicación califica para alguna exención.

Si cree que su aplicación califica para una exención, responda “SÍ” a la pregunta “.

No es difícil obtener la aprobación de tu aplicación de la manera adecuada. SSL (HTTPS / TLS) sigue siendo el cifrado y, a menos que lo esté utilizando solo para la autenticación, entonces debe obtener la aprobación adecuada. Acabo de recibir aprobación, y mi aplicación ahora está en la tienda por algo que usa SSL para cifrar el tráfico de datos (no solo la autenticación).

Aquí hay una entrada de blog que hice para que otros puedan hacer esto de la manera correcta.

Apple iTunes restricciones de exportación

Le hice la misma pregunta a Apple y obtuve la respuesta (de un Especialista en Cumplimiento con Exportación Sr.), que “el envío de información a través de https obliga a que los datos pasen por un canal seguro de SSL, por lo tanto, cumple con los requisitos del Gobierno de EE. UU. Revisión y aprobación de CCATS “. Tenga en cuenta que no importa que Apple ya haya hecho esto para su implementación de SSL, sino para el gobierno, si UTILIZA cifrado que sea el mismo (para ellos) que usted mismo lo hubiera codificado. También actualicé nuestro blog ( http://blog.theanimail.com ) desde que Tim lo vinculó con actualizaciones y detalles sobre el proceso. Espero que ayude.

Si utiliza el marco de seguridad o las bibliotecas CommonCrypto proporcionadas por Apple, sí incluye crypto en su aplicación y debe contestar que sí, así que simplemente porque las bibliotecas fueron provistas por Apple no lo desanima.

Con respecto a la pregunta original, las publicaciones recientes en los foros de desarrollo de Apple me llevan a creer que debe responder afirmativamente, incluso si todo lo que usa es SSL.

A partir del 20 de septiembre de 2016, ya no es necesario registrarse para las aplicaciones que usan https (o tal vez otras formas de cifrado): https://www.bis.doc.gov/index.php/informationsecurity2016-updates

De hecho, en SNAP-R ya no puede elegir ‘registro de encriptación’: enter image description here

Específicamente, ellos notan:

Los registros de cifrado ya no son necesarios: parte de la información del registro pasa a la Supp. Informe n. ° 8 a parte 742.

Esto significa que es posible que deba enviar un informe anual al BIS, pero no es necesario que se registre y puede notar al enviar su aplicación que está exenta.

Todo esto puede ser muy confuso para un desarrollador de aplicaciones que simplemente está usando TLS para conectarse a sus propios servidores web. Debido a que ATS (Seguridad de transporte de aplicaciones) es cada vez más importante y se nos anima a convertir todo a https, creo que más desarrolladores se enfrentarán a este problema.

Mi aplicación simplemente intercambia datos entre nuestro servidor y el usuario mediante el protocolo https. Ver las palabras “USAR ENCRIPTACIÓN” en los descargos de responsabilidad da un poco de miedo, así que llamé a la oficina del gobierno de EE. UU. En su oficina y hablé con un representante de la Oficina de Industria y Seguridad (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

El representante me preguntó sobre mi aplicación y, dado que pasó la “prueba de función principal”, ya que no tenía nada que ver con seguridad / comunicaciones y simplemente usa https como un canal para conectar los datos de mis clientes a nuestros servidores, cayó en la categoría EAR99. lo que significa que está exento de obtener el permiso del gobierno (ver https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Espero que esto ayude a otros desarrolladores de aplicaciones.

Respuesta corta: sí, pero no tienes que hacer nada

Estuve buscando en la web durante algunas horas. En realidad, es bastante fácil y puedes verificar esto en itunes connect:

1. Todo lo que tienes que hacer

Si su aplicación solo usa HTTPS o usa encriptación solo para autenticación, tokens, etc., no hay nada que tenga que hacer, solo incluya

 ITSAppUsesNonExemptEncryption 

en su Info.plist y listo .

2. Verificación

Puedes verificar esto en itunes connect.

  • selecciona tu aplicación
  • elegir características
  • eligió el cifrado
  • haga clic en “+”
  • sigue el diálogo
  • para https o autenticación la respuesta es y

En cualquier caso, debe leerse cuidadosamente a través del diálogo.


Un artículo muy útil se puede encontrar aquí:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

@hisnameisjimmy es correcto: lo notará (al menos hasta hoy, 1 de diciembre de 2016) cuando vaya a enviar su aplicación para su revisión y llegue al tutorial sobre Conformidad con las Exportaciones, verá que el menú ahora indica que HTTPS es una versión exenta de cifrado (si lo usa para cada llamada):

enter image description here

enter image description here

Sí, de acuerdo con las pantallas de iTunes Connect Export Compliance Information, si usa encriptación integrada de iOS o MacOS (keychain, https), está usando encriptación para propósitos de las regulaciones de exportación del gobierno de los EE. UU. Si califica para una exención de cumplimiento de exportación depende de lo que hace su aplicación y cómo utiliza esta encriptación. Las imágenes adjuntas muestran las pantallas de iTunes Connect Export Compliance para ayudarlo a determinar sus obligaciones de informes de exportación. En particular, dice:

Si utiliza ATS o realiza una llamada a HTTPS, tenga en cuenta que debe enviar un informe de auto clasificación de fin de año al gobierno de EE. UU. Aprende más

iTunes Connect Export Compliance Information Q1

iTunes Connect Export Compliance Information Q2

Encontré estas preguntas frecuentes de la Oficina de Industria y Seguridad de EE. UU. Muy útiles.

cifrado

La pregunta 15 (¿Qué es la nota 4?) Es el punto importante:

Ejemplos de artículos que están excluidos de la Categoría 5, Parte 2 por la Nota 4 incluyen, entre otros, los siguientes:

Aplicaciones de consumo Algunos ejemplos:

prevención de piratería y robo para software o música; música, películas, melodías / música, fotos digitales – reproductores, grabadores y organizadores juegos / juegos – dispositivos, software runtime, HDMI y otras interfaces de componentes, herramientas de desarrollo LCD TV, Blu-ray / DVD, video a pedido (VOD), cine , grabadoras de video digital (DVR) / grabadoras de video personales (PVR) – dispositivos, guías de medios en línea, integridad de contenido comercial y protección, HDMI y otras interfaces de componentes (no videoconferencia); impresoras, fotocopiadoras, escáneres, cámaras digitales, cámaras de Internet, incluidas las piezas y subconjuntos de productos domésticos y electrodomésticos

Encontré algunas de estas respuestas muy útiles, pero quería agregar esta URL para que esté completa, ya que lo guía a través de las siguientes preguntas:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Si no está utilizando explícitamente una biblioteca de cifrado, o está transfiriendo su propio código de cifrado, entonces creo que la respuesta es “no”.