Meu aplicativo "contém criptografia"?

372

Estou carregando um binário pela primeira vez. O iTunes Connect me perguntou:

As leis de exportação exigem que os produtos que contêm criptografia sejam devidamente autorizados para exportação.
O não cumprimento pode resultar em penalidades severas.
Para mais informações clique aqui.
Seu produto contém criptografia?

Eu uso https://, mas apenas via NSURLConnectione UIWebView.

Minha leitura disso é que meu aplicativo não "contém criptografia", mas estou pensando se isso está escrito em algum lugar. "Penalidades severas" não parecem nada agradáveis, então "acho que está certo" é um pouco superficial ... uma resposta autorizada seria melhor.

Obrigado.

Steven Fisher
fonte
Se o aplicativo fizer apenas chamadas para HTTPS, nenhuma documentação será necessária no App Store Connect. Mas você deve enviar um relatório de auto-classificação ao Bureau of Industry and Security (BIS) dos EUA diretamente. Veja um bom resumo da Apple: Exportar documentação de conformidade para criptografia
vvkatwss vvkatwss
alguém sabe pela tabela que eles querem que preencha se estivermos usando o InMobi SDK (com base na Índia) se for considerado um componente que não é dos EUA e que não é fabricado nos EUA?
isJulian00

Respostas:

215

[ ATUALIZAÇÃO : o uso do HTTPS agora está isento do ERN no final de setembro de 2016] https://stackoverflow.com/a/40919650/4976373


Infelizmente, acredito que seu aplicativo "contém criptografia" em termos do BIS dos EUA, mesmo que você apenas use HTTPS (se seu aplicativo não for uma exceção incluída na pergunta 2).

Citação das perguntas frequentes no iTunes Connect :

" Como sei se posso seguir o processo de Registro e Relatório de Exportador (ERN)?

Se o seu aplicativo usar , acessar, implementar ou incorporar algoritmos de criptografia padrão do setor para outros fins que não os listados como isenções na pergunta 2, você precisará enviar uma autorização do ERN . Exemplos de criptografia padrão são: AES, SSL, https . Esta autorização exige que você envie um relatório anual para duas agências do governo dos EUA com informações sobre seu aplicativo todo mês de janeiro. "

" Segunda pergunta: seu produto está qualificado para as isenções previstas na categoria 5, parte 2?

Existem várias isenções disponíveis nos regulamentos de exportação dos EUA, sob a Categoria 5, Parte 2 (regulamentos de Segurança da informação e criptografia) para aplicativos e software que usam, acessam, implementam ou incorporam criptografia.

Todas as responsabilidades associadas à interpretação incorreta dos regulamentos de exportação ou à reivindicação de isenção incorretamente são assumidas pelos proprietários e desenvolvedores dos aplicativos.

Você pode responder "SIM" à pergunta se atender a algum dos seguintes critérios:

(i) se você determinar que seu aplicativo não está classificado na Categoria 5, Parte 2 do EAR, com base nas orientações fornecidas pelo BIS na pergunta de criptografia . A Declaração de Entendimento para equipamentos médicos no Suplemento Nº 3 à Parte 774 da EAR pode ser acessada no site do Código Eletrônico de Regulamentos Federais. Visite a Pergunta nº 15 na seção FAQ da página de criptografia para obter os itens de amostra listados pelo BIS que podem reivindicar isenções da Nota 4.

(ii) seu aplicativo usa, acessa, implementa ou incorpora criptografia apenas para autenticação

(iii) seu aplicativo usa, acessa, implementa ou incorpora criptografia com comprimentos de chave não superiores a 56 bits simétricos, 512 bits assimétricos e / ou curva elíptica de 112 bits

(iv) seu aplicativo é um produto de mercado de massa com comprimentos de chave que não excedem 64 bits simétricos ou, se não houver algoritmos simétricos, que não excedam 768 bits assimétricos e / ou curva elíptica de 128 bits.

Leia a Nota 3 na Categoria 5, Parte 2, para entender os critérios para a definição do mercado de massa.

(v) seu aplicativo foi especialmente projetado e limitado para uso bancário ou 'transações com dinheiro'. O termo 'transações em dinheiro' inclui a cobrança e a liquidação de tarifas ou funções de crédito.

(vi) o código-fonte do seu aplicativo está "disponível ao público", seu aplicativo é distribuído gratuitamente ao público em geral e você atendeu aos requisitos de notificação fornecidos em 740.13.

Visite a página da web de criptografia caso precise de mais ajuda para determinar se seu aplicativo se qualifica para alguma isenção.

Se você acredita que seu aplicativo se qualifica para uma isenção, responda "SIM" à pergunta ".

MikhailSP
fonte
7
Essa é uma ótima resposta. Na verdade, é tão bom que aceitei. O link não é necessariamente possível de seguir. Para chegar ao documento, faça o login no iTunes Connect, clique no link Perguntas frequentes na parte inferior da página e clique em Conformidade com o comércio mundial da App Store.
9403 Steven Fisher
39
Há uma atualização chamada "Nota 4" que isenta a maioria dos aplicativos comerciais da Categoria 5 Parte 2: bis.doc.gov/index.php/policy-guidance/encryption/… Isso significa que a maioria dos aplicativos que usam criptografia para oferecer suporte à sua função principal é multa sem registro
Andrew Alcock
7
@AndrewAlcock Somente se sua função principal não for "Segurança da informação", nem "Um computador, incluindo sistemas operacionais, peças e componentes para os mesmos", nem "Enviar, receber ou armazenar informações (exceto em suporte a entretenimento, transmissões comerciais em massa, direitos digitais) gerenciamento ou gerenciamento de registros médicos); " nem "Networking (inclui a operação, administração, gerenciamento e provisionamento" Infelizmente eu acho que muitos aplicativos de negócios ainda exigiria o registro de jogos é provável bem agora embora..!
Josephh
25
Portanto, se meu aplicativo acessa uma API por https, ele se qualifica ou não? Você poderia dar exemplos desses quatro critérios?
H.Rabiee
16
Você não pode esperar que todo desenvolvedor de aplicativos independente em uma garagem retenha um advogado. É caro e potencialmente demorado com toda a sobrecarga de explicações.
Cindeselia
91

Não é difícil obter aprovação para seu aplicativo da maneira correta. O SSL (HTTPS / TLS) ainda está criptografado e, a menos que você o esteja usando apenas para autenticação, você deverá obter a aprovação adequada. Acabei de receber a aprovação e meu aplicativo está na loja agora para algo que usa SSL para criptografar o tráfego de dados (não apenas autenticação).

Aqui está uma entrada de blog que fiz para que outros possam fazer isso da maneira correta.

restrições de exportação do iTunes da Apple

Tige Phillips
fonte
11
Boas informações, mas a questão não é se é difícil obter aprovação, mas se é necessário. De acordo com esta resposta oficial , pode não ser o caso (as notas 3 e 4 aqui podem apontar para o mesmo resultado).
Paul Kulchenko
Obrigado por isso. Parece que agora a solicitação inicial de CIN / PIN deve ser enviada por superfície, não por fax ou por email. Na página relevante ( snapr.bis.doc.gov/snapr/docs/fieldHelp.html e procure por "Carta de envio eletrônico"), eles não fornecem um endereço de email de superfície. Alguém sabe o que é isso?
Chris Prince
11
Para sua informação, nada disso importa se você planeja disponibilizar seu aplicativo nos EUA e no Canadá. Este é dos documentos de suporte do iTunes Connect: "(Se) Um desenvolvedor escolhe lançar seu aplicativo apenas nos EUA e no Canadá. - Nenhum CCATS ou ERN dos EUA é necessário. Nenhuma Declaração de Importação da França é necessária."
PICyourBrain
alguém sabe pela tabela que eles querem que preencha se estivermos usando o InMobi SDK (com base na Índia) se for considerado um componente que não é dos EUA e que não é fabricado nos EUA?
isJulian00
Publiquei meu aplicativo depois de janeiro. Nesse caso, preciso enviar este relatório agora ou posso esperar até o próximo ano?
User924 25/05
47

Fiz a mesma pergunta à Apple e obtive a resposta (de um especialista em conformidade de exportação sênior): "o envio de informações por https está forçando os dados a passarem por um canal seguro a partir do SSL; portanto, ele se enquadra nos requisitos do governo dos EUA para Revisão e aprovação do CCATS. " Observe que não importa que a Apple já tenha feito isso para a implementação do SSL, mas para o governo, se você usar a criptografia que é a mesma (para eles) que você a teria codificado. Também atualizei nosso blog ( http://blog.theanimail.com ), já que Tim vinculou a ele com atualizações e detalhes sobre o processo. Espero que ajude.

der_flop
fonte
22
"Sr. especialista em conformidade de exportação", sério? Existe um exército de especialistas em conformidade de exportação júnior na Apple que apenas dão conselhos mais ou menos sobre questões de conformidade? Eu acho que você foi enganado. É compreensível que a Apple queira errar por precaução. Mas o contrato real que regula as restrições de exportação indica que eles estão errados: httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Udo
@Udo Você está se referindo à seção "O mod_ssl é afetado pelo Acordo Wasenaar"? Se você estiver, enquanto eu não souber qual é a resposta correta para a pergunta do OP, gostaria de salientar que o documento a que você se refere não se aplica, já que nenhum aplicativo da App Store é disponibilizado "sem restrições à sua divulgação posterior. " Eu muito, muito amor a ser provado errado ...
Ivan Vučica
16
@Udo e as pessoas que votaram positivamente no seu comentário. Oh, como você está tão errado . Primeiro, você pode estar usando seu bom senso - esse seria seu primeiro erro. O senso comum não se aplica quando se trata de controle de exportação. Em segundo lugar, httpd.apache.org não é um site afiliado ao Departamento de Comércio dos EUA. Portanto, se você confia em qualquer informação desse site, está cometendo outro erro. Pelo que vale, grande parte da minha carreira foi gasta escrevendo software de inteligência, grande parte para produtos de defesa que são exportados para outros países. Eu sei do que estou falando (infelizmente).
Nate
8
@Nate, isso significa que não há um exército de especialistas em conformidade de exportação júnior? :)
bbozo
alguém sabe pela tabela que eles querem que preencha se estivermos usando o InMobi SDK (com base na Índia) se for considerado um componente que não é dos EUA e que não é fabricado nos EUA?
isJulian00
38

Se você usa a estrutura de segurança ou as bibliotecas CommonCrypto fornecidas pela Apple, você inclui criptografia no seu aplicativo e precisa responder sim - simplesmente porque as bibliotecas foram fornecidas pela Apple não o tiram do gancho.

Com relação à pergunta original, postagens recentes nos Fóruns de desenvolvimento da Apple me levam a acreditar que você precisa responder sim, mesmo que tudo que você usa seja SSL.

Tim
fonte
Isso está correto ao meu conhecimento. As leis de exportação de criptografia são draconianas em quão rigorosas são (considerando o fato de que o software pode ser transmitido sem esforço por uma rede), mas esse requisito não tem nada a ver com o fato de uma abordagem ou implementação de criptografia específica ser "autorizada", mas com o fato de o sistema (seu aplicativo), é testado primeiro. #IANAL, no entanto.
5308 Justin Searls
alguém sabe pela tabela que eles querem que preencha se estivermos usando o InMobi SDK (com base na Índia) se for considerado um componente que não é dos EUA e que não é fabricado nos EUA?
isJulian00
34

Resposta curta: Sim, mas você não precisa fazer nada

Eu estava pesquisando na web por algumas horas. Na verdade, é bem fácil e você pode verificar isso no itunes connect:

1. Tudo o que você precisa fazer

Se o seu aplicativo usa apenas HTTPS ou criptografia apenas para autenticação, tokens etc., não há nada que você precise fazer, inclua apenas

<key>ITSAppUsesNonExemptEncryption</key><false/>

no seu Info.plist e pronto .

2. Verificação

Você pode verificar isso no iTunes Connect.

  • selecione seu aplicativo
  • escolheu recursos
  • escolheu criptografia
  • clique em "+"
  • siga a caixa de diálogo
  • para https ou autenticação, a resposta é sim e sim

De qualquer forma, é claro que você deve ler-se atentamente na caixa de diálogo.


Um artigo muito útil pode ser encontrado aqui:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Simon C.
fonte
7
Estou lendo o seguinte na Apple: "O uso de criptografia do seu aplicativo se limita a fazer chamadas por HTTPS. Observe que você será responsável por enviar um relatório de auto-classificação no final do ano". Eu acho que você ainda precisa se auto-classificar como isento todo mês de janeiro aqui: bis.doc.gov/index.php/policy-guidance/encryption/…
Joshua Plicque
alguém sabe pela tabela que eles querem que preencha se estivermos usando o InMobi SDK (com base na Índia) se for considerado um componente que não é dos EUA e que não é fabricado nos EUA?
isJulian00
33

Tudo isso pode ser muito confuso para um desenvolvedor de aplicativos que simplesmente usa o TLS para se conectar aos seus próprios servidores da web. Como o ATS (App Transport Security) está se tornando mais importante e somos incentivados a converter tudo para https - acho que mais desenvolvedores encontrarão esse problema.

Meu aplicativo simplesmente troca dados entre nosso servidor e o usuário usando o protocolo https. Ver as palavras "USOS CRIPTOGRAFIA" nos avisos de isenção de responsabilidade é um pouco assustador, então liguei para o escritório do governo dos EUA no escritório deles e falei com um representante do Bureau of Industry and Security (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

O representante me perguntou sobre o meu aplicativo e, uma vez que passou no "teste de função principal", pois não tinha nada a ver com segurança / comunicação e simplesmente usa https como um canal para conectar os dados dos meus clientes aos nossos servidores - caiu na categoria EAR99 o que significa que está isento de obter permissão do governo (consulte https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Espero que isso ajude outros desenvolvedores de aplicativos.

Ed Trujillo
fonte
Isso é da memória e não vejo a tela há algum tempo, mas: Se você percorrer o remetente agora, poderá responder Sim à pergunta sobre criptografia, a próxima pergunta será sobre isenções. Ele explica com alguns detalhes e não tive problemas em considerar meu aplicativo como tendo criptografia e obtê-lo de qualquer maneira.
Steven Fisher
5
Em resumo, um aplicativo de consumidor médio que usa https para comunicação cliente-servidor geralmente se enquadra na isenção da Nota 4. Portanto, um desenvolvedor independente médio deve simplesmente escolher "Sim" e depois novamente "Sim" e prosseguir diretamente para o envio. As perguntas frequentes do iTunes Connect ainda têm um link para esta pergunta nº 5 nas perguntas frequentes, explicando a Nota 4 e até com alguns exemplos: bis.doc.gov/index.php/policy-guidance/encryption/…
Vitalii
11
@Vitalii este link é agora um 404
1800 INFORMAÇÃO
@ 1800INFORMAÇÃO as coisas mudam. Meu comentário é de 2016. Houve algumas alterações nos requisitos desde então. Melhor confiar nos documentos da Apple: help.apple.com/app-store-connect/#/devc3f64248f
Vitalii
alguém sabe pela tabela que eles querem que preencha se estivermos usando o InMobi SDK (com base na Índia) se for considerado um componente que não é dos EUA e que não é fabricado nos EUA?
isJulian00
31

Em 20 de setembro de 2016, o registro não é mais necessário para aplicativos que usam https (ou talvez outras formas de criptografia): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-updates

De fato, no SNAP-R, você não pode mais escolher 'registro de criptografia': insira a descrição da imagem aqui

Especificamente, eles observam:

Os registros de criptografia não são mais necessários - algumas das informações do registro agora são enviadas para o Suporte. 8 à Parte 742.

Isso significa que você pode precisar enviar um relatório anual ao BIS, mas não precisa se registrar e pode observar ao enviar seu aplicativo que ele está isento.

hisnameisjimmy
fonte
Obrigado, mas o link está quebrado. Você poderia encontrar o artigo original em algum lugar da internet?
azulado
23

Sim, de acordo com as telas de Informações de conformidade com a exportação do iTunes Connect, se você usar a criptografia integrada iOS ou MacOS (chaveiro, https), estará usando a criptografia para fins dos regulamentos de exportação do governo dos EUA. A qualificação para uma isenção de conformidade com a exportação depende do que seu aplicativo faz e como ele usa essa criptografia. As imagens anexadas mostram as telas de conformidade de exportação do iTunes Connect para ajudar a determinar suas obrigações de relatório de exportação. Em particular, afirma:

Se você estiver usando o ATS ou telefonando para HTTPS, observe que é necessário enviar um relatório de auto-classificação no final do ano ao governo dos EUA. Saber mais

Informações de Conformidade com Exportação do iTunes Connect Q1

Informações de conformidade com a exportação de exportação do iTunes Connect Q2

dferrero
fonte
22
Eu acho que um diploma em direito pode ser necessário para entender qualquer coisa nesse link "Saiba mais" ... Não há absolutamente nada lá indicando COMO você faz esse "relatório de auto-classificação no final do ano".
precisa
7
então, um simples botão que abre uma URL https no navegador para que os usuários possam encontrar minha conta no Twitter me obrigará a enviar um relatório de auto-classificação no final do ano ao governo dos EUA? wow
Suhaib
4
Foi difícil de encontrar, por isso aqui está o link para as diretrizes para relatórios de classificação própria (até que movê-lo novamente): bis.doc.gov/index.php/policy-guidance/encryption/...
helleye
2
@Shahaib - abrir um link no navegador provavelmente não conta - seu aplicativo não está usando https, ele está abrindo outro aplicativo. Esse aplicativo pode ou não usar HTTPS (neste caso ele faz, esse aplicativo sendo safari ou cromo ou os gostos)
csga5000
11
Vocês descobriram como fazer esse relatório anual de auto-classificação? (como não advogados haha)
Rony Azrak
20

@hisnameisjimmy está correto: você notará (pelo menos a partir de hoje, 1º de dezembro de 2016) quando enviar seu aplicativo para análise e acessar o passo a passo de Conformidade com a Exportação, o menu agora indica que HTTPS é uma versão isenta de criptografia (se você a usar em todas as chamadas):

insira a descrição da imagem aqui

insira a descrição da imagem aqui

Jake
fonte
Tem sido assim por um tempo, mas essa resposta não responde à pergunta: Sim, seu aplicativo contém criptografia. Além disso, sim, uma pergunta futura deixa você fora disso. O que também é exatamente o que a resposta aceita diz, apenas a resposta aceita diz isso melhor. Editar: Além disso, sua edição para essa resposta é redundante.
Steven Fisher
O uso limitado da criptografia no sistema operacional inclui dados que são automaticamente copiados para a nuvem?
Ian Warburton
alguém sabe pela tabela que eles querem que preencha se estivermos usando o InMobi SDK (com base na Índia) se for considerado um componente que não é dos EUA e que não é fabricado nos EUA?
isJulian00
8

Encontrei este FAQ do Departamento de Indústria e Segurança dos EUA muito útil.

criptografia

A questão 15 (O que é a Nota 4?) É o ponto importante:

...

Exemplos de itens excluídos da Categoria 5, Parte 2 da Nota 4 incluem, entre outros, o seguinte:

Aplicativos de consumidor. Alguns exemplos:

prevenção de pirataria e roubo de software ou música; músicas, filmes, músicas / músicas, fotos digitais - players, gravadores e organizadores jogos / jogos - dispositivos, software de execução, interfaces HDMI e outros componentes, ferramentas de desenvolvimento TV LCD, Blu-ray / DVD, vídeo sob demanda (VoD), cinema , gravadores de vídeo digital (DVRs) / gravadores de vídeo pessoais (PVRs) - dispositivos, guias de mídia on-line, integridade e proteção de conteúdo comercial, HDMI e outras interfaces de componentes (sem videoconferência); impressoras, copiadoras, scanners, câmeras digitais, câmeras na Internet - incluindo peças e subconjuntos utilitários e eletrodomésticos

user2089118
fonte
6

Achei algumas dessas respostas muito úteis, mas queria adicionar este URL para garantir que ele seja completo, pois ele orienta você nas perguntas:

https://itunespartner.apple.com/pt/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

mtpultz
fonte
Bom link. Acho que a maioria das pessoas que se deparar com isso hoje em dia se qualificará para uma isenção em "O uso da criptografia é limitado à criptografia no sistema operacional (iOS ou macOS)" ou "Somente faz chamadas por HTTPS".
Steven Fisher
1

As instruções para preencher os formulários 2020 do SNAP-R podem ser encontradas neste link. Além disso, as instruções do Relatório Anual de Auto-Classificação são atualizadas para 2020.

https://stackoverflow.com/a/61431496/1217670

phil
fonte
0

As respostas simples são Sim (o aplicativo possui criptografia) e Sim (o aplicativo usa criptografia isenta). No meu aplicativo, estou apenas abrindo o site da minha empresa no WKWebView, mas como ele usa "https", será considerado como criptografia isenta. Documento da Apple para obter mais informações: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Como alternativa, você pode adicionar a chave "ITSAppUsesNonExemptEncryption" e o valor "NO" no arquivo info.plist do seu aplicativo. e assim o iTunes connect não fará mais essas perguntas. Mais informações: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Você pode seguir estas 3 etapas simples para verificar se seu aplicativo está isento ou não: https://help.apple.com/app-store-connect/#/dev63c95e436

Pode ser necessário enviar essa auto-classificação anual para o governo dos EUA. Para mais informações: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

patel dhruval
fonte
-1

Se você não estiver usando explicitamente uma biblioteca de criptografia ou lançando seu próprio código de criptografia, acho que a resposta é "não"

Jason
fonte
10
Só para esclarecer: você está usando criptografia (TLS), mas está devidamente autorizado para exportar dos estados unidos (e enviado com o iPhone), então você está bem.
BlueRaja - Danny Pflughoeft 25/01
Comentário inteligente, BlueRaja. Eu estava pensando apenas em não escrever o código, mas pensando no seu ângulo, é óbvio que o HTTPS da Apple já está autorizado. Isso torna a pergunta muito mais simples, eu acho.
Steven Fisher
11
Só porque uma biblioteca é licenciada para exportação não significa que o seu produto que usa a biblioteca também é licenciado. Eu sei que isso não faz sentido logicamente, mas este é o governo que estamos discutindo. Consulte o link na resposta de Tim ou pergunte diretamente à Apple ou ao BIS dos EUA se desejar uma resposta autorizada.
Steve Madsen