我的应用程序"包含加密"吗？

我是第一次上传二进制文件.iTunes Connect问我:

出口法律要求对包含加密的产品进行适当的出口授权.
不遵守规定可能会导致严厉的处罚.
更多信息,请点击这里.
您的产品是否包含加密？

我用https://,但只用NSURLConnection和UIWebView.

我读到这个是我的应用程序没有"包含加密",但我想知道这是否在任何地方拼写."严厉处罚"听起来并不令人愉快,所以"我认为这是对的"有点粗略......权威的答案会更好.

谢谢.

1> 小智..：

---

[ 更新:截至2016年9月底,使用HTTPS现已免除ERN] /sf/ask/17360801/

---

不幸的是,即使你只是使用HTTPS,我认为你的应用程序"包含加密",即使你的应用程序不是问题2中包含的例外.

引用iTunes Connect上的常见问题解答:

" 我如何知道我是否可以遵循出口商注册和报告(ERN)流程？

如果您的应用程序使用,访问,实施或合并行业标准加密算法,而不是作为问题2中列为豁免的目的,则需要提交ERN授权.标准加密的示例包括:AES,SSL,https.此授权要求您每年1月向两家美国政府机构提交有关您的应用程序信息的年度报告."

" 第二个问题:您的产品是否有资格获得第5类第2部分规定的任何豁免？

对于使用,访问,实施或合并加密的应用程序和软件,美国出口法规在第5类第2部分(信息安全和加密法规)中有几项豁免.

与错误解释出口法规或要求豁免不正确相关的所有责任均由应用程序的所有者和开发者承担.

如果您符合以下任何条件,则可以对问题回答"是":

(i)如果您根据BIS在加密问题上提供的指导确定您的应用程序未被归类为EAR第2部分的第5部分.EAR第7​​74部分补编第3号中的医疗设备谅解声明可在联邦电子法规网站上查阅.请访问加密页面的FAQ部分中的问题#15,了解BIS列出的可以申请注释4豁免的样本项目.

(ii)您的应用程序仅使用,访问,实施或合并加密以进行身份​​验证

(iii)您的应用使用,访问,实施或合并加密,密钥长度不超过56位对称,512位非对称和/或112位椭圆曲线

(iv)您的应用程序是大众市场产品,密钥长度不超过64位对称,或者如果没有对称算法,不超过768位非对称和/或128位椭圆曲线.

请查看第5类第2部分中的注释3,以了解大众市场定义的标准.

(v)您的应用程序是专门为银行用途或"金钱交易"而设计和限制的."货币交易"一词包括票价或信贷功能的收集和结算.

(vi)您的应用程序的源代码是"公开可用的",您的应用程序免费向公众分发,并且您已满足740.13.(e)中提供的通知要求.

如果您需要进一步的帮助来确定您的应用是否符合任何豁免条件,请访问加密网页.

如果您认为您的应用有资格获得豁免,请回答"是"问题."

---

有一个名为"Note 4"的更新,它将大多数商业应用程序免于第5类第2部分:http://www.bis.doc.gov/index.php/policy-guidance/encryption/identifying-encryption-items#Three这意味着大多数使用加密*来支持*他们的主要功能的应用都没有注册

---

因此,如果我的应用程序通过https访问api,它是否符合条件？你能举出这四个标准的例子吗？

---

您不能指望车库中的每个独立应用程序开发人员都可以聘请律师.所有解释开销都很昂贵并且可能耗费时间.

---

这是一个很好的答案.事实上,我已经接受了它.但是,链接不一定是可以跟随的.要访问该文档,请登录iTunes Connect,单击页面底部的常见问题解答链接,然后单击App Store的全球贸易合规性.

---

@AndrewAlcock只有当他们的主要功能不是"信息安全",或"计算机,包括操作系统,零件和组件",或"发送,接收或存储信息(支持娱乐,大众商业广播,数字版权除外)管理或医疗记录管理);" 也不是"网络(包括操作,管理,管理和配置).不幸的是,我认为许多商业应用程序仍然需要注册.但游戏现在可能还可以!

---

Apple现在更新了他们的FAQ,其中包含有关2016年9月20日不再需要ERN的BIS变更的新信息:[如果BIS说不再需要ERN,为什么Apple仍然要求它？](https:// itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Trade%20Compliance#25874393)"如果您没有资格获得豁免,Apple要求您提供简短的书面声明,确认您理解您提交的法律义务国际清算银行要求提供年终自我分类报告."

2> 小智..：

---

以正确的方式获得您的应用程序的批准并不难.SSL(HTTPS/TLS)仍然是加密的,除非您仅将其用于身份验证,否则您应该获得适当的批准.我刚收到批准,我的应用程序现在在商店中,用于使用SSL加密数据流量(而不仅仅是身份验证).

这是我做的博客文章,以便其他人可以正确的方式做到这一点.

apple itunes出口限制

3> der_flop..：

---

我向Apple询问了同样的问题并得到了答案(来自高级出口合规专家),"通过https发送信息迫使数据通过SSL的安全通道,因此它符合美国政府对CCATS审查和批准." 请注意,Apple已经为他们的SSL实现做了这个并不重要,但是对于政府来说,如果你使用与你自己编码相同的加密(对他们来说).我还更新了我们的博客(http://blog.theanimail.com),因为蒂姆与它关联,并提供有关流程的更新和详细信息.希望有所帮助.

---

"高级出口合规专家",认真吗？Apple是否有一支初级出口合规专家团队,他们只就合规问题提出如此建议？我觉得你被欺骗了 Apple可能会谨慎行事,这是可以理解的.但是,规范出口限制的实际协议将表明它们是错误的:http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html

---

@Udo和赞成他评论的人.**哦,你怎么这么错**.一,你可能正在使用你的常识 - 这将是你的第一个错误.在出口管制方面,常识不适用.其次,httpd.apache.org不是隶属于美国商务部的网站,所以如果你信任该网站上的任何信息,那你就犯了另一个错误.值得一提的是,我职业生涯的大部分时间都花在编写情报软件上,其中大部分用于出口到其他国家的国防产品.我知道我在说什么(不幸的是).

---

@Nate,这是否意味着没有军队的初级出口合规专家？:)

4> 小智..：

---

如果您使用Apple提供的安全框架或CommonCrypto库,您确实在您的应用程序中包含加密,您必须回答是 - 因此,仅仅因为Apple提供的库不会让您失望.

关于原始问题,Apple开发论坛上的最新帖子让我相信即使您使用的是SSL,也需要回答"是".

5> Ed Trujillo..：

---

对于只使用TLS连接到自己的Web服务器的应用程序开发人员来说,所有这些都非常令人困惑.因为ATS(App Transport Security)变得越来越重要,我们被鼓励将所有内容转换为https - 我认为更多的开发人员会遇到这个问题.

我的应用程序只是使用https协议在我们的服务器和用户之间交换数据.在免责声明中看到"使用加密"这个词有点可怕,所以我在美国政府办公室给他们的办公室打电话,并与工业和安全局(BIS)的代表进行了交谈http://www.bis.doc .gov/index.php/about-bis/contact-bis.

该代表向我询问了我的应用程序,因为它通过了"主要功能测试",因为它与安全/通信无关,只是使用https作为将我的客户数据连接到我们的服务器的渠道 - 它属于EAR99类别这意味着它不受政府许可(参见https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn)

我希望这有助于其他应用开发者.

---

总而言之,使用https进行客户端 - 服务器通信的普通消费者应用程序通常属于Note 4豁免.所以一个普通的独立开发者应该只选择"是"然后再选择"是"并直接进行提交.iTunes Connect常见问题解答甚至在FAQ中提供了第5个问题的链接,解释了注释4,甚至还有一些示例:https://www.bis.doc.gov/index.php/policy-guidance/encryption/encryption-faqs# 15

6> hisnameisjim..：

---

截至2016年9月20日,使用https(或其他形式的加密)的应用程序不再需要注册:https://www.bis.doc.gov/index.php/informationsecurity2016-updates

事实上,在SNAP-R上,您无法再选择"加密注册":

具体来说,他们指出:

不再需要加密注册 - 注册中的一些信息现在进入Supp.第842至第742部分报告.

这意味着您可能需要向BIS发送年度报告,但您无需注册,您可以在提交应用时注明它是免税的.

7> Simon C...：

---

简短回答:是的,但你不需要做任何事情

我在网上搜索了几个小时.实际上它非常简单,你可以在itunes connect中验证这一点:

1.所有你需要做的

如果您的应用仅使用HTTPS或仅使用加密进行身份验证,令牌等,则您无需执行任何操作,只需添加即可

ITSAppUsesNonExemptEncryption

在您的Info.plist中,您就完成了.

2.验证

您可以在itunes connect中验证这一点.

选择你的应用

选择功能

选择加密

点击"+"

按照对话框

对于https或身份验证,答案是肯定的,是的

无论如何,您当然应该通过对话框仔细阅读.

---

这里有一篇非常有用的文章:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

---

我正在阅读Apple的以下内容:"您的应用程序使用加密仅限于通过HTTPS拨打电话.请注意,您将负责在年底提交自我分类报告." 我认为你仍然需要在每年的1月份自我归类为免税:https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self -分类

8> dferrero..：

---

是的,根据iTunes Connect导出合规信息屏幕,如果您使用内置iOS或MacOS加密(钥匙串,https),则您使用加密来达到美国政府出口法规的目的.您是否有资格获得出口合规性豁免取决于您的应用程序的功能以及它如何使用此加密.附加图像显示iTunes Connect Export合规性屏幕,以帮助您确定出口报告义务.特别是,它指出:

如果您正在使用ATS或拨打HTTPS,请注意您需要向美国政府提交年终自我分类报告.学到更多

---

我认为法律学位可能是必要的,以便在"了解更多"链接下理解任何事情......绝对没有任何迹象表明你如何制作这份"年终自我分类报告".

---

所以一个简单的按钮在浏览器中打开https网址,这样用户可以找到我的推特账号,这样我就不得不向美国政府提交一份年终自我分类报告？哇

---

很难找到,所以这里是自我分类报告指南的链接(直到他们再次移动):https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports -and-评论/一年度自分类

---

@Suhaib - 在浏览器中打开一个链接可能不计算 - 你的应用程序没有使用https,你的应用程序正在打开另一个应用程序.该应用程序可能使用也可能不使用HTTPS(在这种情况下确实如此,该应用程序是safari或chrome或者喜欢的)

9> Jake..：

---

@hisnameisjimmy是正确的:您会注意到(至少截至今天,2016年12月1日)当您提交您的应用以供审核并达到导出合规性演练时,您会注意到菜单现在指出HTTPS是免除版本的加密(如果您为每次通话使用它):

10> 小智..：

---

我发现美国工业和安全局的这个常见问题很有帮助.

加密

问题15(注4是什么？)是重点:

...

从注释4中排除第5类第2部分的项目示例包括但不限于以下内容:

消费者应用.一些例子:

软件或音乐的盗版和盗窃预防; 音乐,电影,音乐/音乐,数码照片 - 播放器,录像机和组织者游戏/游戏 - 设备,运行时软件,HDMI和其他组件接口,开发工具液晶电视,蓝光/ DVD,视频点播(VoD),电影,数字视频录像机(DVR)/个人视频录像机(PVR) - 设备,在线媒体指南,商业内容完整性和保护,HDMI和其他组件接口(不是视频会议); 打印机,复印机,扫描仪,数码相机,互联网相机 - 包括零件和子组件家用电器和电器