Meu aplicativo "contém criptografia"?

Estou carregando um binário pela primeira vez. O iTunes Connect me perguntou:

As leis de exportação exigem que os produtos que contêm criptografia sejam devidamente autorizados para exportação.
O não cumprimento pode resultar em penalidades severas.
Para mais informações clique aqui.
Seu produto contém criptografia?

Eu uso https://, mas apenas via NSURLConnectione UIWebView.

Minha leitura disso é que meu aplicativo não "contém criptografia", mas estou pensando se isso está escrito em algum lugar. "Penalidades severas" não parecem nada agradáveis, então "acho que está certo" é um pouco superficial ... uma resposta autorizada seria melhor.

Obrigado.

[ ATUALIZAÇÃO : o uso do HTTPS agora está isento do ERN no final de setembro de 2016] https://stackoverflow.com/a/40919650/4976373

Infelizmente, acredito que seu aplicativo "contém criptografia" em termos do BIS dos EUA, mesmo que você apenas use HTTPS (se seu aplicativo não for uma exceção incluída na pergunta 2).

Citação das perguntas frequentes no iTunes Connect :

" Como sei se posso seguir o processo de Registro e Relatório de Exportador (ERN)?

Se o seu aplicativo usar , acessar, implementar ou incorporar algoritmos de criptografia padrão do setor para outros fins que não os listados como isenções na pergunta 2, você precisará enviar uma autorização do ERN . Exemplos de criptografia padrão são: AES, SSL, https . Esta autorização exige que você envie um relatório anual para duas agências do governo dos EUA com informações sobre seu aplicativo todo mês de janeiro. "

" Segunda pergunta: seu produto está qualificado para as isenções previstas na categoria 5, parte 2?

Existem várias isenções disponíveis nos regulamentos de exportação dos EUA, sob a Categoria 5, Parte 2 (regulamentos de Segurança da informação e criptografia) para aplicativos e software que usam, acessam, implementam ou incorporam criptografia.

Todas as responsabilidades associadas à interpretação incorreta dos regulamentos de exportação ou à reivindicação de isenção incorretamente são assumidas pelos proprietários e desenvolvedores dos aplicativos.

Você pode responder "SIM" à pergunta se atender a algum dos seguintes critérios:

(i) se você determinar que seu aplicativo não está classificado na Categoria 5, Parte 2 do EAR, com base nas orientações fornecidas pelo BIS na pergunta de criptografia . A Declaração de Entendimento para equipamentos médicos no Suplemento Nº 3 à Parte 774 da EAR pode ser acessada no site do Código Eletrônico de Regulamentos Federais. Visite a Pergunta nº 15 na seção FAQ da página de criptografia para obter os itens de amostra listados pelo BIS que podem reivindicar isenções da Nota 4.

(ii) seu aplicativo usa, acessa, implementa ou incorpora criptografia apenas para autenticação

(iii) seu aplicativo usa, acessa, implementa ou incorpora criptografia com comprimentos de chave não superiores a 56 bits simétricos, 512 bits assimétricos e / ou curva elíptica de 112 bits

(iv) seu aplicativo é um produto de mercado de massa com comprimentos de chave que não excedem 64 bits simétricos ou, se não houver algoritmos simétricos, que não excedam 768 bits assimétricos e / ou curva elíptica de 128 bits.

Leia a Nota 3 na Categoria 5, Parte 2, para entender os critérios para a definição do mercado de massa.

(v) seu aplicativo foi especialmente projetado e limitado para uso bancário ou 'transações com dinheiro'. O termo 'transações em dinheiro' inclui a cobrança e a liquidação de tarifas ou funções de crédito.

(vi) o código-fonte do seu aplicativo está "disponível ao público", seu aplicativo é distribuído gratuitamente ao público em geral e você atendeu aos requisitos de notificação fornecidos em 740.13.

Visite a página da web de criptografia caso precise de mais ajuda para determinar se seu aplicativo se qualifica para alguma isenção.

Se você acredita que seu aplicativo se qualifica para uma isenção, responda "SIM" à pergunta ".

Não é difícil obter aprovação para seu aplicativo da maneira correta. O SSL (HTTPS / TLS) ainda está criptografado e, a menos que você o esteja usando apenas para autenticação, você deverá obter a aprovação adequada. Acabei de receber a aprovação e meu aplicativo está na loja agora para algo que usa SSL para criptografar o tráfego de dados (não apenas autenticação).

Aqui está uma entrada de blog que fiz para que outros possam fazer isso da maneira correta.

restrições de exportação do iTunes da Apple

Fiz a mesma pergunta à Apple e obtive a resposta (de um especialista em conformidade de exportação sênior): "o envio de informações por https está forçando os dados a passarem por um canal seguro a partir do SSL; portanto, ele se enquadra nos requisitos do governo dos EUA para Revisão e aprovação do CCATS. " Observe que não importa que a Apple já tenha feito isso para a implementação do SSL, mas para o governo, se você usar a criptografia que é a mesma (para eles) que você a teria codificado. Também atualizei nosso blog ( http://blog.theanimail.com ), já que Tim vinculou a ele com atualizações e detalhes sobre o processo. Espero que ajude.

Se você usa a estrutura de segurança ou as bibliotecas CommonCrypto fornecidas pela Apple, você inclui criptografia no seu aplicativo e precisa responder sim - simplesmente porque as bibliotecas foram fornecidas pela Apple não o tiram do gancho.

Com relação à pergunta original, postagens recentes nos Fóruns de desenvolvimento da Apple me levam a acreditar que você precisa responder sim, mesmo que tudo que você usa seja SSL.

Resposta curta: Sim, mas você não precisa fazer nada

Eu estava pesquisando na web por algumas horas. Na verdade, é bem fácil e você pode verificar isso no itunes connect:

1. Tudo o que você precisa fazer

Se o seu aplicativo usa apenas HTTPS ou criptografia apenas para autenticação, tokens etc., não há nada que você precise fazer, inclua apenas

<key>ITSAppUsesNonExemptEncryption</key><false/>

no seu Info.plist e pronto .

2. Verificação

Você pode verificar isso no iTunes Connect.

• selecione seu aplicativo
• escolheu recursos
• escolheu criptografia
• clique em "+"
• siga a caixa de diálogo
• para https ou autenticação, a resposta é sim e sim

De qualquer forma, é claro que você deve ler-se atentamente na caixa de diálogo.

Um artigo muito útil pode ser encontrado aqui:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Tudo isso pode ser muito confuso para um desenvolvedor de aplicativos que simplesmente usa o TLS para se conectar aos seus próprios servidores da web. Como o ATS (App Transport Security) está se tornando mais importante e somos incentivados a converter tudo para https - acho que mais desenvolvedores encontrarão esse problema.

Meu aplicativo simplesmente troca dados entre nosso servidor e o usuário usando o protocolo https. Ver as palavras "USOS CRIPTOGRAFIA" nos avisos de isenção de responsabilidade é um pouco assustador, então liguei para o escritório do governo dos EUA no escritório deles e falei com um representante do Bureau of Industry and Security (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

O representante me perguntou sobre o meu aplicativo e, uma vez que passou no "teste de função principal", pois não tinha nada a ver com segurança / comunicação e simplesmente usa https como um canal para conectar os dados dos meus clientes aos nossos servidores - caiu na categoria EAR99 o que significa que está isento de obter permissão do governo (consulte https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Espero que isso ajude outros desenvolvedores de aplicativos.

Em 20 de setembro de 2016, o registro não é mais necessário para aplicativos que usam https (ou talvez outras formas de criptografia): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-updates

De fato, no SNAP-R, você não pode mais escolher 'registro de criptografia':

Especificamente, eles observam:

Os registros de criptografia não são mais necessários - algumas das informações do registro agora são enviadas para o Suporte. 8 à Parte 742.

Isso significa que você pode precisar enviar um relatório anual ao BIS, mas não precisa se registrar e pode observar ao enviar seu aplicativo que ele está isento.

Sim, de acordo com as telas de Informações de conformidade com a exportação do iTunes Connect, se você usar a criptografia integrada iOS ou MacOS (chaveiro, https), estará usando a criptografia para fins dos regulamentos de exportação do governo dos EUA. A qualificação para uma isenção de conformidade com a exportação depende do que seu aplicativo faz e como ele usa essa criptografia. As imagens anexadas mostram as telas de conformidade de exportação do iTunes Connect para ajudar a determinar suas obrigações de relatório de exportação. Em particular, afirma:

Se você estiver usando o ATS ou telefonando para HTTPS, observe que é necessário enviar um relatório de auto-classificação no final do ano ao governo dos EUA. Saber mais

@hisnameisjimmy está correto: você notará (pelo menos a partir de hoje, 1º de dezembro de 2016) quando enviar seu aplicativo para análise e acessar o passo a passo de Conformidade com a Exportação, o menu agora indica que HTTPS é uma versão isenta de criptografia (se você a usar em todas as chamadas):

Encontrei este FAQ do Departamento de Indústria e Segurança dos EUA muito útil.

criptografia

A questão 15 (O que é a Nota 4?) É o ponto importante:

...

Exemplos de itens excluídos da Categoria 5, Parte 2 da Nota 4 incluem, entre outros, o seguinte:

Aplicativos de consumidor. Alguns exemplos:

prevenção de pirataria e roubo de software ou música; músicas, filmes, músicas / músicas, fotos digitais - players, gravadores e organizadores jogos / jogos - dispositivos, software de execução, interfaces HDMI e outros componentes, ferramentas de desenvolvimento TV LCD, Blu-ray / DVD, vídeo sob demanda (VoD), cinema , gravadores de vídeo digital (DVRs) / gravadores de vídeo pessoais (PVRs) - dispositivos, guias de mídia on-line, integridade e proteção de conteúdo comercial, HDMI e outras interfaces de componentes (sem videoconferência); impressoras, copiadoras, scanners, câmeras digitais, câmeras na Internet - incluindo peças e subconjuntos utilitários e eletrodomésticos

Achei algumas dessas respostas muito úteis, mas queria adicionar este URL para garantir que ele seja completo, pois ele orienta você nas perguntas:

https://itunespartner.apple.com/pt/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

As instruções para preencher os formulários 2020 do SNAP-R podem ser encontradas neste link. Além disso, as instruções do Relatório Anual de Auto-Classificação são atualizadas para 2020.

https://stackoverflow.com/a/61431496/1217670

As respostas simples são Sim (o aplicativo possui criptografia) e Sim (o aplicativo usa criptografia isenta). No meu aplicativo, estou apenas abrindo o site da minha empresa no WKWebView, mas como ele usa "https", será considerado como criptografia isenta. Documento da Apple para obter mais informações: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Como alternativa, você pode adicionar a chave "ITSAppUsesNonExemptEncryption" e o valor "NO" no arquivo info.plist do seu aplicativo. e assim o iTunes connect não fará mais essas perguntas. Mais informações: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Você pode seguir estas 3 etapas simples para verificar se seu aplicativo está isento ou não: https://help.apple.com/app-store-connect/#/dev63c95e436

Pode ser necessário enviar essa auto-classificação anual para o governo dos EUA. Para mais informações: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

Se você não estiver usando explicitamente uma biblioteca de criptografia ou lançando seu próprio código de criptografia, acho que a resposta é "não"