Ứng dụng của tôi có chứa mã hóa mã hóa không?

Tôi đang tải lên một nhị phân lần đầu tiên. iTunes Connect đã hỏi tôi:

Luật xuất khẩu yêu cầu các sản phẩm có chứa mã hóa phải được ủy quyền để xuất khẩu.
Không tuân thủ có thể dẫn đến hình phạt nghiêm trọng.
Để biết thêm thông tin tại đây.
Sản phẩm của bạn có chứa mã hóa không?

Tôi sử dụng https://, nhưng chỉ thông qua NSURLConnectionvà UIWebView.

Tôi đọc được điều này là ứng dụng của tôi không "chứa mã hóa", nhưng tôi tự hỏi liệu điều này có được đánh vần ở bất cứ đâu không. "Hình phạt nặng" nghe có vẻ không dễ chịu chút nào, vì vậy "Tôi nghĩ điều đó đúng" hơi sơ sài ... một câu trả lời có thẩm quyền sẽ tốt hơn.

Cảm ơn.

[ CẬP NHẬT : Sử dụng HTTPS hiện được miễn trừ khỏi ERN kể từ cuối tháng 9 năm 2016] https://stackoverflow.com/a/40919650/4976373

Thật không may, tôi tin rằng ứng dụng của bạn "chứa mã hóa" theo BIS của Hoa Kỳ ngay cả khi bạn chỉ sử dụng HTTPS (nếu ứng dụng của bạn không phải là ngoại lệ được bao gồm trong câu hỏi 2).

Trích dẫn từ FAQ trên iTunes Connect :

" Làm cách nào để biết tôi có thể thực hiện theo quy trình Báo cáo và Đăng ký Nhà xuất khẩu (ERN) không?

Nếu ứng dụng của bạn sử dụng , truy cập, thực hiện hoặc kết hợp các thuật toán mã hóa tiêu chuẩn của ngành cho các mục đích khác với các mục đích được liệt kê dưới dạng miễn trừ theo câu hỏi 2, bạn cần gửi ủy quyền ERN . Ví dụ về mã hóa tiêu chuẩn là: AES, SSL, https . Ủy quyền này yêu cầu bạn gửi báo cáo hàng năm cho hai cơ quan Chính phủ Hoa Kỳ với thông tin về ứng dụng của bạn mỗi tháng một. "

" Câu hỏi thứ 2: Sản phẩm của bạn có đủ điều kiện cho bất kỳ miễn trừ nào được cung cấp theo loại 5 phần 2 không?

Có một số miễn trừ trong các quy định xuất khẩu của Hoa Kỳ theo Mục 5 Phần 2 (Quy định về bảo mật và mã hóa thông tin) cho các ứng dụng và phần mềm sử dụng, truy cập, thực hiện hoặc kết hợp mã hóa.

Tất cả các khoản nợ liên quan đến việc giải thích sai các quy định xuất khẩu hoặc yêu cầu miễn trừ không chính xác đều do chủ sở hữu và nhà phát triển ứng dụng chịu.

Bạn có thể trả lời câu hỏi CÓ CÓ SỐ đối với câu hỏi nếu bạn đáp ứng bất kỳ tiêu chí nào sau đây:

(i) nếu bạn xác định rằng ứng dụng của bạn không được phân loại trong Loại 5, Phần 2 của EAR dựa trên hướng dẫn do BIS cung cấp tại câu hỏi mã hóa . Có thể truy cập Tuyên bố Hiểu biết về thiết bị y tế trong Phụ lục số 3 đến Phần 774 của EAR tại trang web Quy tắc điện tử của Quy định liên bang. Vui lòng truy cập Câu hỏi số 15 trong phần Câu hỏi thường gặp của trang mã hóa cho các mục mẫu mà BIS đã liệt kê có thể yêu cầu miễn trừ Note 4.

(ii) ứng dụng của bạn sử dụng, truy cập, thực hiện hoặc kết hợp mã hóa để chỉ xác thực

(iii) ứng dụng của bạn sử dụng, truy cập, thực hiện hoặc kết hợp mã hóa với độ dài khóa không vượt quá 56 bit đối xứng, 512 bit không đối xứng và / hoặc đường cong elip 112 bit

(iv) ứng dụng của bạn là một sản phẩm thị trường đại chúng với độ dài khóa không vượt quá 64 bit đối xứng hoặc nếu không có thuật toán đối xứng, không vượt quá 768 bit đường cong bất đối xứng và / hoặc 128 bit.

Vui lòng xem lại Note 3 trong Mục 5 Phần 2 để hiểu các tiêu chí cho định nghĩa thị trường đại chúng.

(v) ứng dụng của bạn được thiết kế đặc biệt và giới hạn cho sử dụng ngân hàng hoặc 'giao dịch tiền'. Thuật ngữ "giao dịch tiền" bao gồm việc thu thập và thanh toán giá vé hoặc chức năng tín dụng.

(vi) mã nguồn của ứng dụng của bạn là có sẵn công khai của Pháp, ứng dụng của bạn được phân phối miễn phí cho công chúng nói chung và bạn đã đáp ứng các yêu cầu thông báo được cung cấp theo 740.13. (e).

Vui lòng truy cập trang web mã hóa trong trường hợp bạn cần trợ giúp thêm trong việc xác định xem ứng dụng của bạn có đủ điều kiện cho bất kỳ miễn trừ nào không.

Nếu bạn tin rằng ứng dụng của bạn đủ điều kiện để được miễn, vui lòng trả lời câu hỏi CÓ CÓ THỂ.

Không khó để có được sự chấp thuận cho ứng dụng của bạn một cách thích hợp. SSL (HTTPS / TLS) vẫn là mã hóa và trừ khi bạn đang sử dụng nó chỉ để xác thực, thì bạn nên có được sự chấp thuận thích hợp. Tôi vừa nhận được phê duyệt và hiện tại ứng dụng của tôi đang ở trong cửa hàng cho một thứ sử dụng SSL để mã hóa lưu lượng dữ liệu (không chỉ xác thực).

Đây là một mục blog tôi đã thực hiện để những người khác có thể làm điều này một cách thích hợp.

táo itunes hạn chế xuất khẩu

Tôi đã hỏi Apple câu hỏi tương tự và nhận được câu trả lời (từ Chuyên gia tuân thủ xuất khẩu của Sr), rằng "việc gửi thông tin qua https đang buộc dữ liệu phải đi qua một kênh bảo mật từ SSL, do đó, nó thuộc yêu cầu của Chính phủ Hoa Kỳ đối với CCATS xem xét và phê duyệt. " Lưu ý rằng không có vấn đề gì khi Apple thực hiện việc này cho việc triển khai SSL của họ, nhưng đối với chính phủ, nếu bạn sử dụng mã hóa giống với (như họ) như bạn đã tự mã hóa nó. Tôi cũng đã cập nhật blog của chúng tôi ( http://blog.theanimail.com ) kể từ khi Tim liên kết với nó với các cập nhật và chi tiết về quy trình. Mong rằng sẽ giúp.

Nếu bạn sử dụng khung Bảo mật hoặc thư viện CommonCrypto do Apple cung cấp, bạn có bao gồm tiền điện tử trong Ứng dụng của mình và bạn phải trả lời có - vì vậy đơn giản là vì các thư viện được cung cấp bởi Apple sẽ không khiến bạn mất hứng.

Liên quan đến câu hỏi ban đầu, các bài đăng gần đây trong Diễn đàn phát triển của Apple khiến tôi tin rằng bạn cần trả lời có ngay cả khi tất cả những gì bạn sử dụng là SSL.

Câu trả lời ngắn: Có, nhưng bạn không phải làm gì cả

Tôi đã tìm kiếm trên web cho điều này trong một vài giờ. Trên thực tế nó khá dễ dàng và bạn có thể xác minh điều này trong itunes kết nối:

1. Tất cả bạn phải làm

Nếu ứng dụng của bạn chỉ sử dụng HTTPS hoặc chỉ sử dụng mã hóa để xác thực, mã thông báo, v.v., bạn không phải làm gì cả, chỉ cần bao gồm

<key>ITSAppUsesNonExemptEncryption</key><false/>

trong Info.plist của bạn và bạn đã hoàn thành .

2. Xác minh

Bạn có thể xác minh điều này trong itunes kết nối.

• chọn ứng dụng của bạn
• chọn tính năng
• chọn mã hóa
• nhấp vào "+"
• theo hộp thoại
• cho https hoặc xác thực câu trả lời là có và có

Trong mọi trường hợp, bạn tất nhiên nên đọc kỹ bản thân qua hộp thoại.

Một bài viết rất hữu ích có thể được tìm thấy ở đây:

https://www.cocoanetic.com/2017/02/itunes-connect-encoding-info/

Tất cả điều này có thể rất khó hiểu đối với một nhà phát triển ứng dụng chỉ đơn giản là sử dụng TLS để kết nối với máy chủ web của riêng họ. Bởi vì ATS (Bảo mật vận chuyển ứng dụng) đang trở nên quan trọng hơn và chúng tôi được khuyến khích chuyển đổi mọi thứ thành https - Tôi nghĩ rằng nhiều nhà phát triển sẽ gặp phải vấn đề này.

Ứng dụng của tôi chỉ đơn giản là trao đổi dữ liệu giữa máy chủ của chúng tôi và người dùng bằng giao thức https. Thấy dòng chữ "SỬ DỤNG ENCRYPTION" trong phần từ chối là hơi đáng sợ nên tôi đã gọi cho văn phòng chính phủ Hoa Kỳ tại văn phòng của họ và nói chuyện với đại diện của Cục Công nghiệp và An ninh (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Người đại diện hỏi tôi về ứng dụng của tôi và vì nó đã vượt qua "kiểm tra chức năng chính" ở chỗ nó không liên quan gì đến bảo mật / liên lạc và chỉ đơn giản sử dụng https làm kênh kết nối dữ liệu khách hàng của tôi với máy chủ của chúng tôi - nó thuộc danh mục EAR99 điều đó có nghĩa là nó được miễn nhận sự cho phép của chính phủ (xem https://www.bis.doc.gov/index.php/licensing/c Commerce-control-list-classifying / export-control- classifying-number-perfn )

Tôi hy vọng điều này sẽ giúp các nhà phát triển ứng dụng khác.

Kể từ ngày 20 tháng 9 năm 2016, việc đăng ký không còn bắt buộc đối với các ứng dụng sử dụng https (hoặc có thể là các hình thức mã hóa khác): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationationsecurity2016-update

Thực tế, trên SNAP-R, bạn không còn có thể chọn 'đăng ký mã hóa':

Cụ thể, họ lưu ý:

Đăng ký mã hóa không còn cần thiết - một số thông tin từ đăng ký hiện được đưa vào Supp. Báo cáo số 8 đến phần 742.

Điều này có nghĩa là bạn có thể cần gửi báo cáo hàng năm cho BIS, nhưng bạn không cần phải đăng ký và bạn có thể lưu ý khi gửi ứng dụng của mình rằng nó được miễn.

Có, theo màn hình Thông tin tuân thủ xuất khẩu của iTunes Connect, nếu bạn sử dụng mã hóa iOS hoặc MacOS tích hợp (móc khóa, https), bạn đang sử dụng mã hóa cho các mục đích của quy định Xuất khẩu của Chính phủ Hoa Kỳ. Việc bạn có đủ điều kiện để được miễn tuân thủ xuất khẩu hay không tùy thuộc vào ứng dụng của bạn làm gì và cách sử dụng mã hóa này. Hình ảnh đính kèm hiển thị Màn hình tuân thủ xuất khẩu kết nối iTunes để giúp bạn xác định nghĩa vụ báo cáo xuất khẩu của mình. Cụ thể, nó nêu:

Nếu bạn đang sử dụng ATS hoặc thực hiện cuộc gọi tới HTTPS, xin lưu ý rằng bạn được yêu cầu nộp báo cáo tự phân loại cuối năm cho chính phủ Hoa Kỳ. Tìm hiểu thêm

@hisnameisjimmy là chính xác: Bạn sẽ nhận thấy (ít nhất là vào ngày hôm nay, ngày 1 tháng 12 năm 2016) khi bạn gửi ứng dụng của mình để xem xét và đạt được hướng dẫn Xuất khẩu tuân thủ, bạn sẽ thấy menu hiện tại HTTPS là phiên bản miễn trừ của mã hóa (nếu bạn sử dụng nó cho mọi cuộc gọi):

Tôi thấy Câu hỏi thường gặp này từ Cục Công nghiệp và An ninh Hoa Kỳ rất hữu ích.

mã hóa

Câu hỏi 15 (Lưu ý 4 là gì?) Là điểm quan trọng:

...

Ví dụ về các mục được loại trừ khỏi Loại 5, Phần 2 của Lưu ý 4 bao gồm, nhưng không giới hạn ở những điều sau:

Ứng dụng tiêu dùng. Vài ví dụ:

vi phạm bản quyền và chống trộm cho phần mềm hoặc âm nhạc; nhạc, phim, giai điệu / âm nhạc, ảnh kỹ thuật số - máy nghe nhạc, máy ghi âm và tổ chức trò chơi / trò chơi - thiết bị, phần mềm thời gian chạy, HDMI và các giao diện thành phần khác, công cụ phát triển TV LCD, Blu-ray / DVD, video theo yêu cầu (VoD), rạp chiếu phim , đầu ghi video kỹ thuật số (DVR) / đầu ghi video cá nhân (PVR) - thiết bị, hướng dẫn phương tiện trực tuyến, bảo vệ và toàn vẹn nội dung thương mại, HDMI và các giao diện thành phần khác (không phải hội nghị truyền hình); máy in, máy photocopy, máy quét, máy ảnh kỹ thuật số, máy ảnh Internet - bao gồm các bộ phận và phụ kiện lắp ráp tiện ích và thiết bị gia dụng

Tìm thấy một số câu trả lời rất hữu ích, nhưng muốn thêm URL này cho đầy đủ vì nó đưa bạn qua các câu hỏi:

https://itunespartner.apple.com/en/apps/faq/Quản lý% 20Your% 20Apps_Export% 20Compliance # 21109148

Các hướng dẫn để hoàn thành các mẫu SNAP-R 2020 có thể được tìm thấy tại liên kết này. Ngoài ra, hướng dẫn Báo cáo Tự phân loại hàng năm được cập nhật cho năm 2020.

https://stackoverflow.com/a/61431496/1217670

Câu trả lời đơn giản là Có (Ứng dụng có mã hóa) và Có (Ứng dụng sử dụng mã hóa Miễn trừ). Trong ứng dụng của mình, tôi chỉ mở trang web của công ty tôi trong WKWebView nhưng vì nó sử dụng "https", nên nó sẽ được coi là mã hóa miễn trừ. Tài liệu của Apple để biết thêm thông tin: https://developer.apple.com/documentation/security/compelling_with_encoding_export_regutions?lingu=objc

Ngoài ra, bạn chỉ có thể thêm khóa "ITSAppUsesNonExeemEncrypt" và giá trị "KHÔNG" trong tệp thông tin ứng dụng của ứng dụng. và cách này kết nối iTunes sẽ không hỏi bạn câu hỏi đó nữa. Thông tin thêm: https://developer.apple.com/documentation/bundleresource/inif_property_list/itsappusesnonexeemencoding?lingu=objc

Bạn có thể làm theo 3 bước đơn giản sau để xác minh xem ứng dụng của bạn có được miễn hay không: https://help.apple.com/app-store-connect/#/dev63c95e436

Bạn có thể cần gửi bản tự phân loại hàng năm này cho chính phủ Hoa Kỳ. Để biết thêm thông tin: https://www.bis.doc.gov/index.php/policy-guidance/encoding/4-reports-and-reviews/a-annual-elf- classifying

Nếu bạn không rõ ràng sử dụng thư viện mã hóa hoặc cuộn mã hóa của riêng mình, thì tôi nghĩ câu trả lời là "không"