¿Mi aplicación "contiene cifrado"?

372

Estoy cargando un binario por primera vez. iTunes Connect me ha preguntado:

Las leyes de exportación requieren que los productos que contienen cifrado estén debidamente autorizados para la exportación.
El incumplimiento puede resultar en sanciones severas.
Para más información, haga clic aquí.
¿Su producto contiene cifrado?

Yo uso https://, pero solo a través de NSURLConnectiony UIWebView.

Mi lectura de esto es que mi aplicación no "contiene cifrado", pero me pregunto si esto se explica en alguna parte. "Penalizaciones severas" no suena nada agradable, así que "Creo que es correcto" es un poco incompleto ... una respuesta autorizada sería mejor.

Gracias.

Steven Fisher
fuente
Si su aplicación solo realiza llamadas a HTTPS, no se requiere documentación en App Store Connect. Pero debe enviar un Informe de autoclasificación directamente a la Oficina de Industria y Seguridad de los Estados Unidos (BIS). Ver buen resumen de Apple: Exportar documentación de cumplimiento para encriptación
vvkatwss vvkatwss
¿Alguien sabe para la tabla que quieren que completemos si usamos InMobi SDK (basado en la India) si esto se considera un componente que no es de EE. UU. y no fabricado en EE. UU.
isJulian00

Respuestas:

215

[ ACTUALIZACIÓN : El uso de HTTPS ahora está exento de la ERN a fines de septiembre de 2016] https://stackoverflow.com/a/40919650/4976373


Desafortunadamente, creo que su aplicación "contiene cifrado" en términos de BIS de EE. UU. Incluso si solo usa HTTPS (si su aplicación no es una excepción incluida en la pregunta 2).

Cita de Preguntas frecuentes sobre iTunes Connect :

" ¿Cómo sé si puedo seguir el proceso de Registro e Informes de Exportadores (ERN)?

Si tu aplicación usa , accede, implementa o incorpora algoritmos de cifrado estándar de la industria para fines distintos de los enumerados como exenciones en la pregunta 2, debe enviar una autorización ERN . Ejemplos de cifrado estándar son: AES, SSL, https . Esta autorización requiere que envíe un informe anual a dos agencias del gobierno de los EE. UU. Con información sobre su aplicación cada enero. "

" Segunda pregunta: ¿Su producto califica para alguna exención prevista en la categoría 5 parte 2?

Existen varias exenciones disponibles en las regulaciones de exportación de EE. UU. Bajo la Categoría 5 Parte 2 (Seguridad de la información y regulaciones de encriptación) para aplicaciones y software que usan, acceden, implementan o incorporan encriptación.

Todos los pasivos asociados con la mala interpretación de las regulaciones de exportación o la reclamación de exención de manera inexacta corren a cargo de los propietarios y desarrolladores de las aplicaciones.

Puede responder "SÍ" a la pregunta si cumple con alguno de los siguientes criterios:

(i) si determina que su aplicación no está clasificada en la Categoría 5, Parte 2 del EAR, según la orientación proporcionada por BIS en la pregunta de cifrado . Se puede acceder a la Declaración de Entendimiento para equipos médicos en el Suplemento No. 3 a la Parte 774 del EAR en el sitio del Código Electrónico de Regulaciones Federales. Visite la Pregunta # 15 en la sección de Preguntas frecuentes de la página de cifrado para ver los elementos de muestra que BIS ha enumerado y que pueden reclamar exenciones para la Nota 4.

(ii) su aplicación usa, accede, implementa o incorpora cifrado solo para autenticación

(iii) su aplicación usa, accede, implementa o incorpora cifrado con longitudes de clave que no exceden 56 bits simétricos, 512 bits asimétricos y / o 112 bits de curva elíptica

(iv) su aplicación es un producto de mercado masivo con longitudes de clave que no exceden los 64 bits simétricos, o si no hay algoritmos simétricos, que no exceden los 768 bits asimétricos y / o la curva elíptica de 128 bits.

Revise la Nota 3 en la Categoría 5 Parte 2 para comprender los criterios para la definición del mercado de masas.

(v) su aplicación está especialmente diseñada y limitada para uso bancario o 'transacciones monetarias'. El término "transacciones monetarias" incluye la recaudación y liquidación de tarifas o funciones de crédito.

(vi) el código fuente de su aplicación está "disponible públicamente", su aplicación se distribuye de forma gratuita al público en general y ha cumplido con los requisitos de notificación establecidos en 740.13. (e).

Visite la página web de cifrado en caso de que necesite más ayuda para determinar si su aplicación califica para alguna exención.

Si cree que su aplicación califica para una exención, responda "SÍ" a la pregunta ".

MikhailSP
fuente
77
Esa es una gran respuesta. De hecho, es tan genial que lo he aceptado. Sin embargo, el enlace no es necesariamente seguible. Para acceder al documento, inicie sesión en iTunes Connect, haga clic en el enlace Preguntas frecuentes en la parte inferior de la página, luego haga clic en Cumplimiento de World Wide Trade para la App Store.
Steven Fisher
39
Hay una actualización llamada "Nota 4" que exime a la mayoría de las aplicaciones comerciales de la Categoría 5 Parte 2: bis.doc.gov/index.php/policy-guidance/encryption/... Esto significa que la mayoría de las aplicaciones que usan cifrado para admitir su función principal son bien sin registro
Andrew Alcock
77
@AndrewAlcock Solo si su función principal no es "Seguridad de la información", ni "Una computadora, incluidos los sistemas operativos, sus partes y componentes", ni "Enviar, recibir o almacenar información (excepto en apoyo de entretenimiento, transmisiones comerciales masivas, derechos digitales gestión o gestión de registros médicos); " ni "Networking (incluye operación, administración, administración y aprovisionamiento". Desafortunadamente creo que muchas aplicaciones de negocios aún requerirían registro. ¡Sin embargo, los juegos probablemente estén bien ahora!
JosephH
26
Entonces, si mi aplicación accede a una API a través de https, ¿califica o no? ¿Podría dar ejemplos de esos cuatro criterios?
H.Rabiee
17
No puede esperar que todos los desarrolladores de aplicaciones independientes en un garaje retengan un abogado. Es costoso y puede llevar mucho tiempo con toda la sobrecarga de explicaciones.
Cindeselia
91

No es difícil obtener la aprobación de su aplicación de la manera adecuada. SSL (HTTPS / TLS) sigue siendo cifrado y, a menos que lo esté utilizando solo para autenticación, debe obtener la aprobación adecuada. Acabo de recibir la aprobación, y mi aplicación está en la tienda ahora por algo que usa SSL para cifrar el tráfico de datos (no solo la autenticación).

Aquí hay una entrada de blog que hice para que otros puedan hacer esto de la manera adecuada.

restricciones de exportación de apple itunes

Tige Phillips
fuente
1
Buena información, pero la pregunta no es si es difícil obtener aprobación, sino si es necesaria. Según esta respuesta oficial , puede que no sea así (la nota 3 y la nota 4 aquí pueden apuntar al mismo resultado).
Paul Kulchenko
Gracias por esto. Parece que ahora la solicitud inicial de CIN / PIN debe enviarse por correo de superficie, no enviarse por fax o correo electrónico. En la página correspondiente ( snapr.bis.doc.gov/snapr/docs/fieldHelp.html y busque "Carta de envío electrónico"), no dan una dirección de correo de superficie. Alguien sabe qué es esto?
Chris Prince
1
FYI: nada de esto importa si solo planea tener su aplicación disponible en los EE. UU. Y Canadá. Esto es de los documentos de soporte de iTunes Connect: "(Si) Un desarrollador elige lanzar su aplicación solo en los EE. UU. Y Canadá. - No se requiere CCATS ni ERN de los EE. UU. No se requiere una Declaración de importación de Francia".
PICyourBrain
¿Alguien sabe para la tabla que quieren que completemos si usamos InMobi SDK (basado en la India) si esto se considera un componente que no es de EE. UU. y no fabricado en EE. UU.
isJulian00
Publiqué mi aplicación después de enero. En este caso, ¿debo enviar este informe ahora o puedo esperar hasta el próximo año?
usuario924
47

Le pregunté a Apple la misma pregunta y obtuve la respuesta (de un Especialista Superior en Cumplimiento de Exportaciones), que "enviar información a través de https está obligando a los datos a pasar a través de un canal seguro desde SSL, por lo tanto, cae bajo el requisito del Gobierno de EE. UU. Revisión y aprobación de CCATS ". Tenga en cuenta que no importa que Apple ya haya hecho esto para su implementación SSL, sino para el gobierno, si UTILIZA el cifrado, es lo mismo (para ellos) que lo habría codificado usted mismo. También actualicé nuestro blog ( http://blog.theanimail.com ) ya que Tim lo enlazó con actualizaciones y detalles sobre el proceso. Espero que ayude.

der_flop
fuente
22
"Especialista Senior en Cumplimiento de Exportaciones", ¿en serio? ¿Hay un ejército de Especialistas Junior en Cumplimiento de Exportaciones en Apple que solo dan consejos regulares sobre preguntas de cumplimiento? Creo que te engañaron. Es comprensible que Apple quiera errar por precaución. Pero el acuerdo real que regula las restricciones a la exportación indicaría que están equivocados: httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Udo
@Udo ¿Se refiere a la sección "¿Mod_ssl se ve afectado por el Acuerdo Wasenaar"? Si es así, aunque no sé cuál es la respuesta correcta a la pregunta de OP, me gustaría señalar que el documento al que hace referencia no se aplica, ya que ninguna aplicación de App Store está disponible "sin restricciones para su posterior difusión ". Me encantaría que se demuestre que
estoy
16
@Udo y las personas que votaron por su comentario. Oh, cómo estás tan equivocado . Primero, puede estar usando su sentido común, ese sería su primer error. El sentido común no se aplica cuando se trata de control de exportación. En segundo lugar, httpd.apache.org no es un sitio web afiliado al Departamento de Comercio de los EE. UU., Por lo que si confía en la información de ese sitio, está cometiendo otro error. Por lo que vale, la mayor parte de mi carrera la he pasado escribiendo software de inteligencia, en gran parte para productos de defensa que se exportan a otros países. Sé de lo que estoy hablando (desafortunadamente).
Nate
8
@Nate, ¿eso significa que no hay un ejército de especialistas junior en cumplimiento de exportaciones? :)
bbozo
¿Alguien sabe para la tabla que quieren que completemos si usamos InMobi SDK (basado en la India) si esto se considera un componente que no es de EE. UU. y no fabricado en EE. UU.
isJulian00
38

Si usa el marco de seguridad o las bibliotecas CommonCrypto proporcionadas por Apple, sí incluye criptografía en su aplicación y debe responder que sí, así que simplemente porque las bibliotecas fueron proporcionadas por Apple no lo libera.

Con respecto a la pregunta original, las publicaciones recientes en los foros de desarrollo de Apple me hacen creer que debe responder que sí, incluso si todo lo que usa es SSL.

Tim
fuente
Esto es correcto que yo sepa. Las leyes de exportación de cifrado son draconianas en cuanto a su rigor (considerando el hecho de que el software se puede transmitir a través de una red sin esfuerzo), pero este requisito no tiene nada que ver con si un enfoque o implementación de cifrado particular está "autorizado", sino que el sistema (su aplicación) utilizándola se examina primero. #IANAL, sin embargo.
Justin Searls
¿Alguien sabe para la tabla que quieren que completemos si usamos InMobi SDK (basado en la India) si esto se considera un componente que no es de EE. UU. y no fabricado en EE. UU.
isJulian00
34

Respuesta corta: Sí, pero no tienes que hacer nada.

Estuve buscando esto en la web durante algunas horas. En realidad es bastante fácil y puedes verificar esto en iTunes Connect:

1. Todo lo que tienes que hacer

Si su aplicación usa solo HTTPS o usa cifrado solo para autenticación, tokens, etc., no hay nada que tenga que hacer, solo incluya

<key>ITSAppUsesNonExemptEncryption</key><false/>

en tu Info.plist y listo .

2. Verificación

Puede verificar esto en iTunes Connect.

  • selecciona tu aplicación
  • elegir características
  • eligió cifrado
  • haga clic en "+"
  • sigue el diálogo
  • para https o autenticación, la respuesta es y

En cualquier caso, debe leerse atentamente a través del diálogo.


Un artículo muy útil se puede encontrar aquí:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Simon C.
fuente
77
Estoy leyendo lo siguiente de Apple: "El uso de encriptación de su aplicación se limita a hacer llamadas a través de HTTPS. Tenga en cuenta que será responsable de enviar un informe de autoclasificación al final del año". Creo que aún debe clasificarse como exento cada enero aquí: bis.doc.gov/index.php/policy-guidance/encryption/…
Joshua Plicque
¿Alguien sabe para la tabla que quieren que completemos si usamos InMobi SDK (basado en la India) si esto se considera un componente que no es de EE. UU. y no fabricado en EE. UU.
isJulian00
33

Todo esto puede ser muy confuso para un desarrollador de aplicaciones que simplemente usa TLS para conectarse a sus propios servidores web. Debido a que ATS (App Transport Security) se está volviendo más importante y se nos recomienda convertir todo a https, creo que más desarrolladores se encontrarán con este problema.

Mi aplicación simplemente intercambia datos entre nuestro servidor y el usuario utilizando el protocolo https. Ver las palabras "ENCRIPTACIÓN DE USOS" en los descargos de responsabilidad es un poco aterrador, así que llamé a la oficina del gobierno de los Estados Unidos en su oficina y hablé con un representante de la Oficina de Industria y Seguridad (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

El representante me preguntó acerca de mi aplicación y, dado que pasó la "prueba de función principal" porque no tenía nada que ver con la seguridad / comunicaciones y simplemente usa https como un canal para conectar los datos de mis clientes a nuestros servidores, cayó en la categoría EAR99 lo que significa que está exento de obtener el permiso del gobierno (consulte https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Espero que esto ayude a otros desarrolladores de aplicaciones.

Ed Trujillo
fuente
Esto es de memoria y no he visto la pantalla desde hace tiempo, pero: si recorre el cargador ahora, puede responder Sí a la pregunta de cifrado, la siguiente pregunta se refiere a exenciones. Explica con cierto detalle, y no tuve ningún problema para contar mi aplicación como cifrada y de todos modos.
Steven Fisher
55
En resumen, una aplicación de consumidor promedio que usa https para la comunicación cliente-servidor generalmente cae bajo la exención de la Nota 4. Por lo tanto, un desarrollador independiente promedio simplemente debe elegir "Sí" y luego nuevamente "Sí" y continuar directamente con el envío. Las preguntas frecuentes de iTunes Connect incluso tienen un enlace a esta pregunta # 5 en las preguntas frecuentes que explican la Nota 4 e incluso tienen algunos ejemplos: bis.doc.gov/index.php/policy-guidance/encryption/…
Vitalii
1
@Vitalii este enlace ahora es un 404
1800 INFORMACIÓN
@ 1800INFORMATION las cosas cambian. Mi comentario está fechado en 2016. Hubo algunos cambios en los requisitos desde entonces. Es mejor confiar en los documentos de Apple: help.apple.com/app-store-connect/#/devc3f64248f
Vitalii
¿Alguien sabe para la tabla que quieren que completemos si usamos InMobi SDK (basado en la India) si esto se considera un componente que no es de EE. UU. y no fabricado en EE. UU.
isJulian00
31

A partir del 20 de septiembre de 2016, ya no es necesario registrarse para aplicaciones que usan https (u otras formas de encriptación): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-updates

De hecho, en SNAP-R ya no puede elegir 'registro de cifrado': ingrese la descripción de la imagen aquí

Específicamente, notan:

Ya no se requieren registros de cifrado: parte de la información del registro ahora se incluye en el Supl. No. 8 al informe de la Parte 742.

Esto significa que es posible que deba enviar un informe anual a BIS, pero no es necesario que se registre y, al enviar su aplicación, puede notar que está exenta.

hisnameisjimmy
fuente
Gracias pero el enlace está roto. ¿Podrías encontrar el artículo original en algún lugar de internet?
azulado
23

Sí, de acuerdo con las pantallas de Información de cumplimiento de exportación de iTunes Connect, si utiliza cifrado iOS o MacOS integrado (llavero, https), está utilizando el cifrado para fines de las regulaciones de exportación del gobierno de los EE. UU. Si califica para una exención de cumplimiento de exportación depende de lo que haga su aplicación y de cómo use este cifrado. Las imágenes adjuntas muestran las pantallas de cumplimiento de exportación de iTunes Connect para ayudarlo a determinar sus obligaciones de informes de exportación. En particular, establece:

Si está utilizando ATS o llamando a HTTPS, tenga en cuenta que debe presentar un informe de autoclasificación de fin de año al gobierno de los EE. UU. Aprende más

Información de cumplimiento de exportación de iTunes Connect Q1

Información de cumplimiento de exportación de iTunes Connect Q2

dferrero
fuente
22
Creo que un título de abogado puede ser necesario para darle sentido a cualquier cosa bajo ese enlace "Más información" ... No hay absolutamente nada que indique CÓMO se hace este "informe de autoclasificación de fin de año".
Tim Tisdall
77
Entonces, ¿un simple botón que abre una URL https en el navegador para que los usuarios puedan encontrar mi cuenta de Twitter me obligará a presentar un informe de autoclasificación de fin de año al gobierno de los Estados Unidos? wow
Suhaib
44
Fue difícil de encontrar, así que aquí está el enlace a las pautas del informe de autoclasificación (hasta que lo vuelvan a mover): bis.doc.gov/index.php/policy-guidance/encryption/…
helleye el
2
@Suhaib: abrir un enlace en el navegador probablemente no cuenta: su aplicación no está usando https, su aplicación está abriendo otra aplicación. Esa aplicación puede o no usar HTTPS (en este caso lo hace, esa aplicación es safari o chrome o
similares
1
¿Saben cómo hacer este informe anual de autoclasificación? (como no abogados jaja)
Rony Azrak
20

@hisnameisjimmy es correcto: Notará (al menos a partir de hoy, 1 de diciembre de 2016) cuando envíe su aplicación para su revisión y llegue al tutorial de Cumplimiento de exportación, notará que el menú ahora indica que HTTPS es una versión exenta de cifrado (si lo usa para cada llamada):

ingrese la descripción de la imagen aquí

ingrese la descripción de la imagen aquí

Jake
fuente
Ha sido así durante un tiempo, pero esa respuesta no responde a la pregunta: Sí, su aplicación contiene cifrado. Además, sí, una pregunta futura te permite salir de eso. Lo que también es exactamente lo que dice la respuesta aceptada, solo la respuesta aceptada lo dice mejor. Editar: Además, su edición de esa respuesta es redundante.
Steven Fisher
¿El uso limitado del cifrado dentro del sistema operativo incluye datos que se respaldan automáticamente en la nube?
Ian Warburton
¿Alguien sabe para la tabla que quieren que completemos si usamos InMobi SDK (basado en la India) si esto se considera un componente que no es de EE. UU. y no fabricado en EE. UU.
isJulian00
8

Encontré estas preguntas frecuentes de la Oficina de Industria y Seguridad de los EE. UU. Muy útiles.

cifrado

La pregunta 15 (¿Qué es la Nota 4?) Es el punto importante:

...

Los ejemplos de artículos que están excluidos de la Categoría 5, Parte 2 por la Nota 4 incluyen, entre otros, los siguientes:

Aplicaciones de consumo. Algunos ejemplos:

piratería y prevención de robo de software o música; música, películas, melodías / música, fotos digitales - reproductores, grabadoras y organizadores juegos / juegos - dispositivos, software de tiempo de ejecución, HDMI y otras interfaces de componentes, herramientas de desarrollo TV LCD, Blu-ray / DVD, video a pedido (VoD), cine , grabadoras de video digital (DVR) / grabadoras de video personales (PVR) - dispositivos, guías de medios en línea, integridad y protección de contenido comercial, HDMI y otras interfaces de componentes (no videoconferencia); impresoras, fotocopiadoras, escáneres, cámaras digitales, cámaras de Internet, incluidas piezas y subconjuntos, electrodomésticos y electrodomésticos

usuario2089118
fuente
6

Encontré algunas de estas respuestas muy útiles, pero quería agregar esta URL para completarla, ya que le guía a través de las preguntas:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

mtpultz
fuente
Buen enlace Creo que la mayoría de las personas que se enfrentan a esto en estos días calificarán para una exención bajo "El uso del cifrado se limita al cifrado dentro del sistema operativo (iOS o macOS)" o "Solo hace llamadas a través de HTTPS".
Steven Fisher
0

Las respuestas simples son Sí (la aplicación tiene encriptación) y Sí (la aplicación usa encriptación exenta). En mi solicitud, solo estoy abriendo el sitio web de mi empresa en WKWebView, pero como usa "https", se considerará como cifrado exento. Documento de Apple para obtener más información: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Alternativamente, puede agregar la clave "ITSAppUsesNonExemptEncryption" y el valor "NO" en el archivo info.plist de su aplicación. y de esta manera iTunes connect ya no te hará más preguntas. Más información: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Puede seguir estos 3 simples pasos para verificar si su aplicación está exenta o no: https://help.apple.com/app-store-connect/#/dev63c95e436

Es posible que deba enviar esta auto-clasificación anual al gobierno de EE. UU. Para más información: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

patel dhruval
fuente
-1

Si no está utilizando explícitamente una biblioteca de encriptación, o está rodando su propio código de encriptación, entonces creo que la respuesta es "no"

Jason
fuente
10
Solo para elaborar: está utilizando el cifrado (TLS), pero está debidamente autorizado para la exportación desde los Estados Unidos (y se envió con el iPhone), por lo que está bien.
BlueRaja - Danny Pflughoeft
Comentario inteligente, BlueRaja. Estaba pensando solo en no escribir el código, pero pensándolo desde su ángulo, es obvio que el HTTPS de Apple ya está autorizado. Eso hace que la pregunta sea mucho más simple, creo.
Steven Fisher el
11
El hecho de que una biblioteca tenga licencia para exportar no significa que su producto que usa la biblioteca también tenga licencia. Sé que esto no tiene sentido lógicamente, pero este es el gobierno que estamos discutiendo. Vea el enlace en la respuesta de Tim o pregunte directamente a Apple o al BIS de EE. UU. Si desea una respuesta autorizada.
Steve Madsen