¿Mi aplicación "contiene cifrado"?

Estoy cargando un binario por primera vez. iTunes Connect me ha preguntado:

Las leyes de exportación requieren que los productos que contienen cifrado estén debidamente autorizados para la exportación.
El incumplimiento puede resultar en sanciones severas.
Para más información, haga clic aquí.
¿Su producto contiene cifrado?

Yo uso https://, pero solo a través de NSURLConnectiony UIWebView.

Mi lectura de esto es que mi aplicación no "contiene cifrado", pero me pregunto si esto se explica en alguna parte. "Penalizaciones severas" no suena nada agradable, así que "Creo que es correcto" es un poco incompleto ... una respuesta autorizada sería mejor.

Gracias.

[ ACTUALIZACIÓN : El uso de HTTPS ahora está exento de la ERN a fines de septiembre de 2016] https://stackoverflow.com/a/40919650/4976373

Desafortunadamente, creo que su aplicación "contiene cifrado" en términos de BIS de EE. UU. Incluso si solo usa HTTPS (si su aplicación no es una excepción incluida en la pregunta 2).

Cita de Preguntas frecuentes sobre iTunes Connect :

" ¿Cómo sé si puedo seguir el proceso de Registro e Informes de Exportadores (ERN)?

Si tu aplicación usa , accede, implementa o incorpora algoritmos de cifrado estándar de la industria para fines distintos de los enumerados como exenciones en la pregunta 2, debe enviar una autorización ERN . Ejemplos de cifrado estándar son: AES, SSL, https . Esta autorización requiere que envíe un informe anual a dos agencias del gobierno de los EE. UU. Con información sobre su aplicación cada enero. "

" Segunda pregunta: ¿Su producto califica para alguna exención prevista en la categoría 5 parte 2?

Existen varias exenciones disponibles en las regulaciones de exportación de EE. UU. Bajo la Categoría 5 Parte 2 (Seguridad de la información y regulaciones de encriptación) para aplicaciones y software que usan, acceden, implementan o incorporan encriptación.

Todos los pasivos asociados con la mala interpretación de las regulaciones de exportación o la reclamación de exención de manera inexacta corren a cargo de los propietarios y desarrolladores de las aplicaciones.

Puede responder "SÍ" a la pregunta si cumple con alguno de los siguientes criterios:

(i) si determina que su aplicación no está clasificada en la Categoría 5, Parte 2 del EAR, según la orientación proporcionada por BIS en la pregunta de cifrado . Se puede acceder a la Declaración de Entendimiento para equipos médicos en el Suplemento No. 3 a la Parte 774 del EAR en el sitio del Código Electrónico de Regulaciones Federales. Visite la Pregunta # 15 en la sección de Preguntas frecuentes de la página de cifrado para ver los elementos de muestra que BIS ha enumerado y que pueden reclamar exenciones para la Nota 4.

(ii) su aplicación usa, accede, implementa o incorpora cifrado solo para autenticación

(iii) su aplicación usa, accede, implementa o incorpora cifrado con longitudes de clave que no exceden 56 bits simétricos, 512 bits asimétricos y / o 112 bits de curva elíptica

(iv) su aplicación es un producto de mercado masivo con longitudes de clave que no exceden los 64 bits simétricos, o si no hay algoritmos simétricos, que no exceden los 768 bits asimétricos y / o la curva elíptica de 128 bits.

Revise la Nota 3 en la Categoría 5 Parte 2 para comprender los criterios para la definición del mercado de masas.

(v) su aplicación está especialmente diseñada y limitada para uso bancario o 'transacciones monetarias'. El término "transacciones monetarias" incluye la recaudación y liquidación de tarifas o funciones de crédito.

(vi) el código fuente de su aplicación está "disponible públicamente", su aplicación se distribuye de forma gratuita al público en general y ha cumplido con los requisitos de notificación establecidos en 740.13. (e).

Visite la página web de cifrado en caso de que necesite más ayuda para determinar si su aplicación califica para alguna exención.

Si cree que su aplicación califica para una exención, responda "SÍ" a la pregunta ".

No es difícil obtener la aprobación de su aplicación de la manera adecuada. SSL (HTTPS / TLS) sigue siendo cifrado y, a menos que lo esté utilizando solo para autenticación, debe obtener la aprobación adecuada. Acabo de recibir la aprobación, y mi aplicación está en la tienda ahora por algo que usa SSL para cifrar el tráfico de datos (no solo la autenticación).

Aquí hay una entrada de blog que hice para que otros puedan hacer esto de la manera adecuada.

restricciones de exportación de apple itunes

Le pregunté a Apple la misma pregunta y obtuve la respuesta (de un Especialista Superior en Cumplimiento de Exportaciones), que "enviar información a través de https está obligando a los datos a pasar a través de un canal seguro desde SSL, por lo tanto, cae bajo el requisito del Gobierno de EE. UU. Revisión y aprobación de CCATS ". Tenga en cuenta que no importa que Apple ya haya hecho esto para su implementación SSL, sino para el gobierno, si UTILIZA el cifrado, es lo mismo (para ellos) que lo habría codificado usted mismo. También actualicé nuestro blog ( http://blog.theanimail.com ) ya que Tim lo enlazó con actualizaciones y detalles sobre el proceso. Espero que ayude.

Si usa el marco de seguridad o las bibliotecas CommonCrypto proporcionadas por Apple, sí incluye criptografía en su aplicación y debe responder que sí, así que simplemente porque las bibliotecas fueron proporcionadas por Apple no lo libera.

Con respecto a la pregunta original, las publicaciones recientes en los foros de desarrollo de Apple me hacen creer que debe responder que sí, incluso si todo lo que usa es SSL.

Respuesta corta: Sí, pero no tienes que hacer nada.

Estuve buscando esto en la web durante algunas horas. En realidad es bastante fácil y puedes verificar esto en iTunes Connect:

1. Todo lo que tienes que hacer

Si su aplicación usa solo HTTPS o usa cifrado solo para autenticación, tokens, etc., no hay nada que tenga que hacer, solo incluya

<key>ITSAppUsesNonExemptEncryption</key><false/>

en tu Info.plist y listo .

2. Verificación

Puede verificar esto en iTunes Connect.

• selecciona tu aplicación
• elegir características
• eligió cifrado
• haga clic en "+"
• sigue el diálogo
• para https o autenticación, la respuesta es sí y sí

En cualquier caso, debe leerse atentamente a través del diálogo.

Un artículo muy útil se puede encontrar aquí:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Todo esto puede ser muy confuso para un desarrollador de aplicaciones que simplemente usa TLS para conectarse a sus propios servidores web. Debido a que ATS (App Transport Security) se está volviendo más importante y se nos recomienda convertir todo a https, creo que más desarrolladores se encontrarán con este problema.

Mi aplicación simplemente intercambia datos entre nuestro servidor y el usuario utilizando el protocolo https. Ver las palabras "ENCRIPTACIÓN DE USOS" en los descargos de responsabilidad es un poco aterrador, así que llamé a la oficina del gobierno de los Estados Unidos en su oficina y hablé con un representante de la Oficina de Industria y Seguridad (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

El representante me preguntó acerca de mi aplicación y, dado que pasó la "prueba de función principal" porque no tenía nada que ver con la seguridad / comunicaciones y simplemente usa https como un canal para conectar los datos de mis clientes a nuestros servidores, cayó en la categoría EAR99 lo que significa que está exento de obtener el permiso del gobierno (consulte https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Espero que esto ayude a otros desarrolladores de aplicaciones.

A partir del 20 de septiembre de 2016, ya no es necesario registrarse para aplicaciones que usan https (u otras formas de encriptación): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-updates

De hecho, en SNAP-R ya no puede elegir 'registro de cifrado':

Específicamente, notan:

Ya no se requieren registros de cifrado: parte de la información del registro ahora se incluye en el Supl. No. 8 al informe de la Parte 742.

Esto significa que es posible que deba enviar un informe anual a BIS, pero no es necesario que se registre y, al enviar su aplicación, puede notar que está exenta.

Sí, de acuerdo con las pantallas de Información de cumplimiento de exportación de iTunes Connect, si utiliza cifrado iOS o MacOS integrado (llavero, https), está utilizando el cifrado para fines de las regulaciones de exportación del gobierno de los EE. UU. Si califica para una exención de cumplimiento de exportación depende de lo que haga su aplicación y de cómo use este cifrado. Las imágenes adjuntas muestran las pantallas de cumplimiento de exportación de iTunes Connect para ayudarlo a determinar sus obligaciones de informes de exportación. En particular, establece:

Si está utilizando ATS o llamando a HTTPS, tenga en cuenta que debe presentar un informe de autoclasificación de fin de año al gobierno de los EE. UU. Aprende más

@hisnameisjimmy es correcto: Notará (al menos a partir de hoy, 1 de diciembre de 2016) cuando envíe su aplicación para su revisión y llegue al tutorial de Cumplimiento de exportación, notará que el menú ahora indica que HTTPS es una versión exenta de cifrado (si lo usa para cada llamada):

Encontré estas preguntas frecuentes de la Oficina de Industria y Seguridad de los EE. UU. Muy útiles.

cifrado

La pregunta 15 (¿Qué es la Nota 4?) Es el punto importante:

...

Los ejemplos de artículos que están excluidos de la Categoría 5, Parte 2 por la Nota 4 incluyen, entre otros, los siguientes:

Aplicaciones de consumo. Algunos ejemplos:

piratería y prevención de robo de software o música; música, películas, melodías / música, fotos digitales - reproductores, grabadoras y organizadores juegos / juegos - dispositivos, software de tiempo de ejecución, HDMI y otras interfaces de componentes, herramientas de desarrollo TV LCD, Blu-ray / DVD, video a pedido (VoD), cine , grabadoras de video digital (DVR) / grabadoras de video personales (PVR) - dispositivos, guías de medios en línea, integridad y protección de contenido comercial, HDMI y otras interfaces de componentes (no videoconferencia); impresoras, fotocopiadoras, escáneres, cámaras digitales, cámaras de Internet, incluidas piezas y subconjuntos, electrodomésticos y electrodomésticos

Encontré algunas de estas respuestas muy útiles, pero quería agregar esta URL para completarla, ya que le guía a través de las preguntas:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Las instrucciones para completar los formularios 2020 SNAP-R se pueden encontrar en este enlace. Además, las instrucciones del Informe anual de autoclasificación se actualizan para 2020.

https://stackoverflow.com/a/61431496/1217670

Las respuestas simples son Sí (la aplicación tiene encriptación) y Sí (la aplicación usa encriptación exenta). En mi solicitud, solo estoy abriendo el sitio web de mi empresa en WKWebView, pero como usa "https", se considerará como cifrado exento. Documento de Apple para obtener más información: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Alternativamente, puede agregar la clave "ITSAppUsesNonExemptEncryption" y el valor "NO" en el archivo info.plist de su aplicación. y de esta manera iTunes connect ya no te hará más preguntas. Más información: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Puede seguir estos 3 simples pasos para verificar si su aplicación está exenta o no: https://help.apple.com/app-store-connect/#/dev63c95e436

Es posible que deba enviar esta auto-clasificación anual al gobierno de EE. UU. Para más información: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

Si no está utilizando explícitamente una biblioteca de encriptación, o está rodando su propio código de encriptación, entonces creo que la respuesta es "no"