Enthält meine Anwendung "Verschlüsselung"?

Question

Ich lade zum ersten Mal eine Binärdatei hoch. iTunes Connect hat mich gefragt:

Die Exportgesetze schreiben vor, dass Produkte, die Verschlüsselung enthalten, ordnungsgemäß für den Export genehmigt werden müssen.
Die Nichteinhaltung der Vorschriften kann zu schweren Strafen führen.
Für weitere Informationen klicken Sie bitte hier.
Enthält Ihr Produkt eine Verschlüsselung?

Ich benutze https:// aber nur über NSURLConnection y UIWebView .

Ich habe das so verstanden, dass meine Anwendung keine "Verschlüsselung enthält", aber ich frage mich, ob das irgendwo geschrieben steht. "Schwere Strafen" klingt überhaupt nicht angenehm, also ist "ich denke, das ist richtig" ein bisschen dürftig... eine verbindliche Antwort wäre besser.

Merci.

Answer 1

UPDATE: Die Verwendung von HTTPS ist nun seit Ende September 2016 von der ERN ausgenommen.

https://stackoverflow.com/a/40919650/4976373

---

Leider bin ich der Meinung, dass Ihre Anwendung im Sinne des US-BIS eine Verschlüsselung enthält, auch wenn Sie nur HTTPS verwenden (falls Ihre Anwendung nicht zu den in Frage 2 genannten Ausnahmen gehört).

Zitat von FAQ zu iTunes Connect :

" Woher weiß ich, ob ich das Verfahren zur Registrierung und Meldung von Ausführern (ERN) durchführen kann?

Wenn Ihre App verwendet auf branchenübliche Verschlüsselungsalgorithmen zugreift, sie einsetzt oder sie für andere als die unter Frage 2 aufgeführten Zwecke verwendet, Sie müssen eine ERN-Genehmigung beantragen . Beispiele für Standardverschlüsselung sind: AES, SSL, https . Diese Genehmigung setzt voraus, dass Sie jedes Jahr im Januar einen Bericht mit Informationen über Ihre App bei zwei US-Regierungsbehörden einreichen. "

" 2. Frage: Fällt Ihr Produkt unter eine der Ausnahmeregelungen der Kategorie 5 Teil 2?

In den US-Ausfuhrbestimmungen unter Kategorie 5 Teil 2 (Informationssicherheits- und Verschlüsselungsvorschriften) sind mehrere Ausnahmen für Anwendungen und Software vorgesehen, die Verschlüsselung verwenden, darauf zugreifen, sie implementieren oder einbeziehen.

Alle Verpflichtungen, die mit einer falschen Auslegung der Ausfuhrbestimmungen oder einer unzutreffenden Inanspruchnahme der Befreiung verbunden sind, werden von den Eigentümern und Entwicklern der Anwendungen getragen.

Sie können die Frage mit "JA" beantworten, wenn Sie eines der folgenden Kriterien erfüllen:

(i) wenn Sie feststellen, dass Ihre Anwendung nicht in Kategorie 5, Teil 2 der EAR eingestuft ist, und zwar auf der Grundlage der vom BIS bereitgestellten Anleitung unter Verschlüsselungsfrage . Die Absichtserklärung für medizinische Geräte in der Ergänzung Nr. 3 zu Teil 774 der EAR kann auf der Website Electronic Code of Federal Regulations eingesehen werden. Auf der Verschlüsselungsseite finden Sie unter Frage Nr. 15 im Abschnitt "Häufig gestellte Fragen" (FAQ) Beispiele für Gegenstände, die das BIS aufgelistet hat und für die Ausnahmeregelungen der Anmerkung 4 in Anspruch genommen werden können.

(ii) Ihre Anwendung verwendet, greift darauf zu, implementiert oder integriert Verschlüsselung nur zur Authentifizierung

(iii) Ihre Anwendung verwendet, greift darauf zu, implementiert oder integriert eine Verschlüsselung mit Schlüssellängen von höchstens 56 Bit symmetrisch, 512 Bit asymmetrisch und/oder 112 Bit elliptischer Kurve

(iv) Ihre Anwendung ist ein Massenmarktprodukt mit Schlüssellängen von höchstens 64 Bit symmetrisch oder, falls keine symmetrischen Algorithmen verwendet werden, höchstens 768 Bit asymmetrisch und/oder 128 Bit elliptische Kurve.

Bitte lesen Sie Anmerkung 3 in Kategorie 5 Teil 2, um die Kriterien für die Definition des Massenmarktes zu verstehen.

(v) Ihre App ist speziell für Bankgeschäfte oder "Geldtransaktionen" konzipiert und beschränkt. Der Begriff "Geldtransaktionen" umfasst die Erhebung und Abrechnung von Fahrpreisen oder Kreditfunktionen.

(vi) der Quellcode Ihrer App ist "öffentlich zugänglich", Ihre App wird kostenlos an die Allgemeinheit verteilt, und Sie haben die Meldeanforderungen gemäß 740.13.(e) erfüllt.

Bitte besuchen Sie Verschlüsselung Webseite, falls Sie weitere Hilfe benötigen, um festzustellen, ob Ihre Anwendung für Ausnahmen in Frage kommt.

Wenn Sie der Meinung sind, dass Ihre Anwendung für eine Befreiung in Frage kommt, beantworten Sie die Frage bitte mit "JA".

Answer 2

Es ist nicht schwer, die Genehmigung für Ihre App auf dem richtigen Weg zu erhalten. SSL (HTTPS/TLS) ist immer noch eine Verschlüsselung, und wenn Sie es nicht nur zur Authentifizierung verwenden, sollten Sie die richtige Genehmigung erhalten. Ich habe gerade die Genehmigung erhalten, und meine App ist jetzt im Store für etwas, das SSL zur Verschlüsselung des Datenverkehrs verwendet (nicht nur zur Authentifizierung).

Hier ist ein Blogeintrag, den ich verfasst habe, damit andere dies auf die richtige Weise tun können.

apple itunes exportbeschränkungen

Answer 3

Kurze Antwort: Ja, aber Sie müssen nichts tun

Ich habe einige Stunden lang im Internet danach gesucht. Eigentlich ist es ziemlich einfach und Sie können dies in itunes connect überprüfen:

1. Alles, was Sie tun müssen

Wenn Ihre Anwendung nur HTTPS oder Verschlüsselung nur für die Authentifizierung, Token usw. verwendet, Sie brauchen nichts zu tun, Sie müssen nur die

<key>ITSAppUsesNonExemptEncryption</key><false/>

in Ihrer Info.plist und Sie sind fertig .

2. Überprüfung

Sie können Überprüfen Sie dies in itunes connect.

• Wählen Sie Ihre Anwendung
• gewählte Funktionen
• Verschlüsselung gewählt
• Klicken Sie auf "+".
• Folgen Sie dem Dialog
• für https oder Authentifizierung lautet die Antwort ja y ja

In jedem Fall sollten Sie natürlich selbst lesen sorgfältig durch den Dialog.

---

Eine sehr hilfreicher Artikel finden Sie hier:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Answer 4

All dies kann für einen Anwendungsentwickler, der lediglich TLS für die Verbindung zu seinen eigenen Webservern verwendet, sehr verwirrend sein. Da ATS (App Transport Security) immer wichtiger wird und wir dazu angehalten sind, alles auf https umzustellen, denke ich, dass mehr Entwickler auf dieses Problem stoßen werden.

Meine Anwendung tauscht lediglich Daten zwischen unserem Server und dem Benutzer über das https-Protokoll aus. Die Worte "USES ENCRYPTION" in den Haftungsausschlüssen zu sehen, ist etwas beängstigend, also rief ich bei der US-Regierung an und sprach mit einem Vertreter des Bureau of Industry and Security (BIS) http://www.bis.doc.gov/index.php/about-bis/contact-bis .

Der Vertreter fragte mich nach meiner Bewerbung, und da sie die "p https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Ich hoffe, dies hilft anderen App-Entwicklern.

Answer 5

Ich habe Apple genau dieselbe Frage gestellt und die Antwort (von einem leitenden Export Compliance Specialist) erhalten, dass "das Senden von Informationen über https die Daten zwingt, durch einen sicheren Kanal von SSL zu gehen, daher fällt es unter die Anforderung der US-Regierung für eine CCATS-Prüfung und Genehmigung." Beachten Sie, dass es keine Rolle spielt, dass Apple dies bereits für seine SSL-Implementierung getan hat, aber für die Regierung ist es dasselbe (für sie), wenn Sie eine Verschlüsselung verwenden, als hätten Sie sie selbst kodiert. Ich habe auch unseren Blog aktualisiert ( http://blog.theanimail.com ), da Tim darauf verlinkt hat, mit Aktualisierungen und Details über den Prozess. Ich hoffe, das hilft.