Verwenden von SSL in einer iPhone App - Export Compliance

74

Ich möchte eine iPhone-App erstellen, die mit einem REST-Webdienst kommuniziert. Da einige benutzersensible Daten (Name, Adresse, Alter usw.) übertragen werden, möchte ich die Verbindungen mit SSL sichern.

Bei meinen vorherigen Eskapaden in den App Store habe ich jedoch festgestellt, dass die erste Frage, die mir gestellt wird, lautet: "Verwendet Ihre Anwendung Verschlüsselung?" Abhängig von der Antwort auf diese und andere Anschlussfragen kann die Einhaltung der US-Exportbestimmungen erforderlich sein.

Mein Unternehmen hat weder seinen Sitz in den USA noch ein US-Büro.

Hat jemand eine App mit SSL für diesen Zweck eingereicht? Wenn ja, mussten Sie irgendetwas tun, um die Erlaubnis zur Verwendung zu erhalten, entweder von Apple oder von der US-Regierung?

John
quelle
Haben Sie eine ERN oder ein CCATS verwendet?
Dan P.
3
Hinweis: Es wurden wesentliche Änderungen am BIS EAR 20. September 2016 vorgenommen, siehe die Antwort von @ user3562927. Die meisten Registrierungen sind nicht mehr erforderlich.
Zaph

Antworten:

50

Update ab dem 20. September 2016

ERNs werden nicht mehr benötigt, daher müssen sich anscheinend viele Apps nicht mehr bei der US-Regierung registrieren. (Möglicherweise müssen Sie jedoch noch einen halbjährlichen Selbstklassifizierungsbericht Supp. Nr. 8 zu Teil 742 einreichen.) Http://www.bis.doc.gov/InformationSecurity2016-updates

(Vielen Dank an @EugenioDeHoyos und @ user3562927 für den Hinweis!)

Diese Website eines Drittanbieters kann Ihnen bei der Erstellung Ihres Berichts behilflich sein: Self-Classification Report Generator (Ein anderer Benutzer hat einen Link hinzugefügt, ich habe ihn selbst nicht ausprobiert.)

Für den Verkauf in Frankreich ist weiterhin eine Registrierung der französischen Regierung erforderlich.

Die häufig gestellten Fragen zu iTunes Connect wurden aktualisiert, um diese Änderung abzudecken. Sie sind die am besten lesbare Referenz, die ich gefunden habe.

Alte Antwort

Der Prozess hat sich seit Sommer 2010 geändert, und Sie benötigen (wahrscheinlich) jetzt eine ERN, keine CCATS, wie dies zu dem Zeitpunkt erforderlich war, als John seine Antwort schrieb.

Siehe Exportbeschränkungen für Apple iTunes für Apps . Die FAQ zu iTunes Connect enthält außerdem viele nützliche Informationen zur Exportkonformität.

Es gibt jetzt auch Einschränkungen für das Verteilen von Apps mit Verschlüsselung im französischen App Store . Weitere Informationen finden Sie in den häufig gestellten Fragen zu iTunes Connect und im Thread zur französischen Exportkonformität in den Devforen .

JosephH
quelle
2
Ab dem 20. September 2016 ist dies NICHT MEHR genau. Sie müssen sich nicht mehr über US BIS registrieren, müssen Ihre App jedoch weiterhin als Verschlüsselung über Apple klassifizieren. Siehe die Antwort von @ user3562927 unten und dieses Dokument, insbesondere "Verschlüsselungsregistrierungen nicht mehr erforderlich - einige der Informationen aus der Registrierung gehen jetzt in den Bericht Supp. Nr. 8 zu Teil 742 ein." bis.doc.gov/InformationSecurity2016-updates
Eugenio De Hoyos
1
@ EugenioDeHoyos Großartig, danke, dass du darauf hingewiesen hast! Ich habe meine Antwort aktualisiert.
JosephH
Danke @JosephH! und danke auch für die ursprüngliche Antwort :)
Eugenio De Hoyos
2
@BrianKnoblauch Siehe bis.doc.gov/index.php/documents/regulation-docs/… Abschnitt 'Beilage Nr. 8 ZU TEIL 742 - SELBSTKLASSIFIZIERUNGSBERICHT FÜR ENCRYPTION ITEMS 'für die Details der CSV-Datei, die per E-Mail gesendet werden soll. Es ist mir immer noch nicht ganz klar, wann Sie einen solchen Bericht einreichen müssen / müssen. Ich vermute, es ist wahrscheinlich, dass viele Leute, die dies tun sollten, dies nicht tun.
JosephH
1
@izzyMachado Der Link, den ich zur Apple-Dokumentation unter help.apple.com/app-store-connect/#/devc3f64248f gebe, ist am besten zu lesen. Natürlich würde ich vorschlagen, dass Sie nur dann mit "Ja" auf "Hat Ihre App-Qualität für eine der Ausnahmen" antworten, wenn Ihre App tatsächlich für die Ausnahmen qualifiziert ist. Es sieht so aus, als ob , wenn Ihre App die Kriterien für die Befreiung erfüllt, kein französischer Papierkram erforderlich ist.
JosephH
13

Jetzt im November 2017 ...

Das ist wirklich legal, also ist dies ein Hinweis darauf, was ich nützlich fand und wie ich Dinge interpretiert habe. Nimm es nicht als Rat (es ist nicht).

Die Apple-FAQ, wie in anderen Antworten hier erwähnt, ist ein ausgezeichneter Ausgangspunkt: https://itunespartner.apple.com/de/apps/faq/Managing%20Your%20Apps_Export%20Compliance

Dies führt zu folgenden Schritten: Wechseln Sie in iTunes Connect zu Ihrer App. Wählen Sie oben die Registerkarte "Funktionen" und anschließend "Verschlüsselung". Klicken Sie auf der Hauptseite auf "Exportkonformitätsdokumentation für iOS hinzufügen". Die erste Frage lautet: "Exportkonformität: Ist Ihre App für die Verwendung von Kryptografie ausgelegt ..." Wählen Sie "Ja". Die folgenden Fragen lauten (und ich kopiere und füge ein):

Erfüllt Ihre App eine der folgenden Bedingungen:
(a) Qualifiziert für eine oder mehrere Ausnahmen gemäß Kategorie 5 Teil 2
(b) Die Verwendung der Verschlüsselung ist auf die Verschlüsselung innerhalb des Betriebssystems (iOS oder macOS) beschränkt.
(C) Nur Anrufe tätigen ( s) über HTTPS
(d) App wird nur in den USA und / oder Kanada zur Verfügung gestellt

(c) ist die SSL-Stilreferenz (gemäß Ihrer Frage). Wählen Sie daher Ja zu dieser Frage. [Beachten Sie, dass der untere Rand der Anleitung auf diesem Bildschirm einen Link zum obigen FAQ-Link enthält.]

Bei Auswahl von "Ja" steht in einem der Popup-Anleitungen (und ich zitiere):

Wenn Sie ATS verwenden oder HTTPS anrufen, beachten Sie bitte, dass Sie der US-Regierung einen Selbstklassifizierungsbericht zum Jahresende vorlegen müssen. Mehr erfahren

Und zurück in den FAQ lautet ein Schlüsselzitat:

Warum erfordert meine App eine Überprüfung der Verschlüsselung, wenn ich nicht in den USA lebe? Kann ich die Überprüfung der Verschlüsselung umgehen, wenn ich meine App nur in meinem Heimatland freigebe?

Ihre App wird auf einen Apple-Server in den USA hochgeladen. Dies bedeutet, dass Ihre App aus den USA exportiert wird und den US-Exportgesetzen unterliegt. Diese Anforderung gilt auch dann, wenn Sie nur planen, innerhalb Ihres eigenen Landes zu vertreiben.

Das letzte Stück, denke ich, beantwortet das zweite Stück Ihrer Frage ... Sie müssen sich trotzdem daran halten, auch wenn Sie nicht in den USA sind und nicht beabsichtigen, außerhalb Ihres eigenen Landes zu vertreiben ...

Nach dem, was ich heute (im November 2017) gelesen habe, müssen bei Verwendung von SSL (HTTPS) in einer iOS-App, auch außerhalb der USA, Kästchen in iTunes Connect angekreuzt werden ... (Der Vorgang wurde unter den Funktionen gestartet tab 'oben beschrieben). Darüber hinaus müssen Sie einen jährlichen Selbstklassifizierungsbericht erstellen.

Der diesbezügliche Link in den Apple-FAQ ist derzeit defekt (während ich dies schreibe), aber dieser Link ist nützlich: https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high -Leistungscomputer / 223-neue-Verschlüsselung / 1238-wie-man-einen-jährlichen-Selbstklassifizierungsbericht einreicht

Diese Seite enthält die E-Mail-Adressen, an die Ihr Bericht gesendet werden soll (Sie müssen ihn an zwei Stellen senden), wann er gesendet werden muss und welches Format und welche Informationen gesendet werden müssen (eine sorgfältig erstellte, sehr vorgeschriebene CSV-Datei), die ich nicht gefunden habe Dies mit der Suchmaschine bis.doc.gov, wurde jedoch mithilfe einer allgemeinen Suchmaschine gefunden, die nach 'Selbstklassifizierungsbericht zum Jahresende' suchte. Wenn dieser Link in Zukunft nicht mehr funktioniert, kann diese Suche helfen, Ersatz zu finden :)

Ich bin mir noch nicht sicher, wie diese CSV-Datei für eine iOS-App mit SSL erstellt werden soll. Ich hoffe auf Erfolg und werde diesen Beitrag mit Details bearbeiten, wenn dies angemessen erscheint.

Zu diesem Zweck finden Sie in diesem verknüpften Dokument: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (das Sie möglicherweise vergrößern müssen zu lesen) Ich denke, die relevante Zeile ist die 3. (b) (1), da die Einreichungsanforderungen übereinstimmen. Es bezieht sich auf müssen

Supp. einreichen 8, Teil 742, per E-Mail

Dieses Dokument hat auch eine ECCN-Spalte, und ich denke, die relevante ECCN-Nummer ist 5A002 Punkt etwas

In diesem nächsten Dokument finden Sie weitere Informationen zur Auswahl des richtigen ECCN-Codes:

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

Wenn ich dies lese, gehe ich derzeit davon aus, dass sich SSL, wenn es als kleiner Teil einer App verwendet wird, auf Code 5A002.a.4 bezieht

AKTUALISIEREN:

Am Ende der Anleitung zu bis.doc.gov heißt es in der Beschreibung zum Erstellen der CSV-Datei:

  • Die erste Zeile des jährlichen Selbstklassifizierungsberichts muss aus den folgenden 12 Einträgen bestehen: PRODUKTNAME, MODELLNUMMER, HERSTELLER, ECCN, AUTORISIERUNGSTYP, ARTIKELTYP, EINREICHERNAME, TELEFONNUMMER, E-MAIL-ADRESSE, MAILING-ADRESSE, NICHT-US KOMPONENTEN, NICHT US-HERSTELLUNGSSTANDORTE.
  • Es darf kein Eintrag leer bleiben.
  • PRODUKTNAME und ECCN müssen ausgefüllt werden.
  • Geben Sie für MODELLNUMMER und HERSTELLER bei Bedarf "NONE" oder "N / A" ein.
  • Geben Sie als AUTORISIERUNGSTYP ENC oder MMKT ein.
  • Wählen Sie für ARTIKELTYP aus der Liste der Artikeltypen im Supp. 8 bis Teil 742 (a) (6).
  • Die Spaltenüberschriften SUMMITTER NAME bis NON-US MANUFACTURING LOCATIONS beziehen sich auf das gesamte Unternehmen und sollten daher für jedes Produkt gleich eingegeben werden (dh nur eine Kontaktstelle, eine Antwort mit "JA" oder "NEIN" auf eine der Antworten Die gemeldeten Produkte enthalten Verschlüsselungskomponenten, die nicht aus den USA stammen, und für den Bericht ist eine Liste der Produktionsstandorte außerhalb der USA erforderlich. Duplizieren Sie diese Informationen in jede Zeile der Tabelle
  • Die einzig zulässige Verwendung eines Kommas ist das erforderliche Trennzeichen zwischen den 12 Einträgen für jede Werbebuchung. Die einzigen zulässigen Kommas sind diejenigen, die bei der Tabellenkonvertierung automatisch eingefügt werden.

Unter Verwendung von Anhang Nr. 8 zu Teil 742 - Selbstklassifizierungsbericht für Verschlüsselungselemente als weitere Anleitung gelangte ich zu einer CSV-Datei wie der folgenden:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

Beachten Sie, dass dies eine wohlgeformte CSV-Datei sein sollte, was nicht ganz so ist. Ich schlage vor, etwas in einer Tabelle zu erstellen und als CSV zu speichern

Beachten Sie auch, dass dies kein empfohlenes Ergebnis ist - es ist meine beste Interpretation als unqualifizierte Person, die keinen Rat hatte. Das Beispiel .csv am Ende der bis.doc.gov-Anleitung half mir weiter und schien darauf hinzudeuten, dass die ECCN ohne weitere Details nur 5A002 sein könnte. Der ARTIKELTYP muss aus der Liste in Anhang Nr. 8 ausgewählt werden - etwas anderes passt möglicherweise besser zur Art Ihrer App. Ich war mir bei MODELLNUMMER nicht so sicher, aber das Beispiel sah so aus, als würde es Beschreibungen von Versionsnummerntypen verwenden. Vielleicht wäre App Apple ID hier besser. Da es optional ist, spielt es möglicherweise keine Rolle ...

UPDATE (Jan 2019): Endlich meine Einreichung für 2018 gemacht und ging für:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]

Die Änderungen betrafen "N / A" als Modellnummer und "NEIN" für NICHT-US-KOMPONENTEN. 'NEIN', da meine App keine gekauften Komponenten enthält (USA oder NICHT-USA) - der Verschlüsselungscode ist nur die iOS-Verschlüsselungsbibliothek.

Marcus
quelle
3
Vielen Dank für UPDATE: Ich werde jetzt <App name>, <App Sku>, SELF, 5D002, MMKT, Other (iOS App), <Your name>, <Your phone number>, <Your email>, <Your home address>, no, n/awie hier vorgeschlagen mit simonfairbairn.com/bis-year-end-self-classification-report ECCN = 5D002 fortfahren, da SSL OpenSource AUTHORIZATION TYPE = MMKT ist, weil ich auf "Massenmarkt" hoffe ^^ ITEM TYPE = (xlix) Andere (bitte angeben).
Ronny Elflein r11lein
4
Es scheint 5D992für die meisten Massenmarkt-Apps geeignet zu sein, die nur Kryptografiekomponenten wie SSL verwenden und nicht 5D002(siehe "Anmerkung 3 zu Kategorie 5, Teil 2").
Theo
Weiß jemand, ob wir JA für Nicht-US-Komponenten auswählen, wenn wir das inMobi-Werbe-SDK verwenden (das Unternehmen hat seinen Sitz in Singapur, hat aber Niederlassungen in den USA)?
isJulian00
1
@izzyMachado Ich dachte, meine gesamte App ist nicht für uns, da sie in Großbritannien entwickelt und kompiliert wurde. Deshalb dachte ich in der Spalte "Nicht-US-Komponenten" JA. Ich könnte mich jedoch irren ...
Marcus
1
@izzyMachado Eigentlich danke, dass du das gemeldet hast. Ich denke, ich muss 'NEIN' eingeben, da dies alles Teil meiner App ist - keine externe gekaufte Komponente.
Marcus
11

Ich bin tatsächlich zu Apple zurückgekehrt und es stellt sich heraus, dass jede Anwendung, die SSL verwendet, (leider) genehmigt werden muss. Es gibt anscheinend einige Ausnahmen, z. B. wenn die Anwendung SSL nur für einen einzelnen Zahlungsvorgang verwendet.

Weitere Informationen finden Sie unter Massenmarktverschlüsselung CCATS-Warenklassifizierung für iPhone-Anwendungen in 8 einfachen Schritten und Exportkonformität für die iPhone-Verschlüsselung für Apps, die HTTPS (TLS) -Verbindungen herstellen .

John
quelle
Dies hängt auch von der Verwendung der Kryptographie ab. Wenn Sie nur Kryptografie zur Authentifizierung verwenden, benötigen Sie keine Exportlizenz des Handelsministeriums. So eNULLChiffriersätze sind in Ordnung (aber ich bin mir nicht sicher , wie nützlich sie sind).
Jww
2
Der zweite Link ist jetzt tot.
DevC
1
Erster Link ist auch tot
Andrewb
2
Links tot, beide
Mike
10

Alle diese Antworten sind seit dem 20. September 2016 veraltet. Ich habe gerade mit den SNAP-R-Leuten (Regierung) telefoniert und sie sagten, dass am 20. September neue Gesetze gelandet sind. Die neue Regelung beseitigt die Notwendigkeit, Ihre App zu registrieren, nur weil sie Verschlüsselung verwendet.

Ich habe ihnen meine App (ein Spiel) beschrieben und sie sagten, es sei ein "EAR-99", was bedeutet, dass ich mich nicht registrieren muss. Es ist wahrscheinlich, dass Apple im Begriff ist, seine Website zu aktualisieren. Wenn Sie in der Zwischenzeit versuchen, diesen Prozess durchzuführen, weil Sie SSL / HTTPS verwenden, hören Sie jetzt einfach auf. Sie werden die Formulare nicht einmal erfolgreich ausfüllen können, da sie sich erheblich geändert haben.

Stevey
quelle
1
Einige Links zu den Änderungen vom 20. September : Änderungen an den Informationssicherheitskontrollen von BIS führen zu lockeren Kontrollen, Aufhebung der Registrierungspflicht Dentons , Änderungen der US-Vorschriften für Verschlüsselungsprodukte, Software- und Technologieschatten , Export Administration Regulation (EAR) BIS .
Zaph
1
Ich habe das auch gerade durchgemacht. Mit der SNAP-R-Onlineanwendung können Sie kein Arbeitselement "Verschlüsselungsregistrierung" mehr erstellen. Ich habe auch mit ihnen telefoniert und sie haben mir gesagt, dass ab dem 20. September die Registrierung nicht mehr benötigt wird. Sie müssen Ihre App über Apple weiterhin als verschlüsselt klassifizieren, müssen jedoch keine zusätzliche "Verschlüsselungsregistrierung" mehr ausfüllen.
Eugenio De Hoyos
1
Beachten Sie die Zeile "Verschlüsselungsregistrierungen sind nicht mehr erforderlich - einige der Informationen aus der Registrierung gehen jetzt in den Bericht Supp. Nr. 8 zu Teil 742 ein." in der folgenden Zusammenfassung der BIS-Aktualisierung: bis.doc.gov/InformationSecurity2016-updates
Eugenio De Hoyos
3
Ja, aber müssen wir (jährlich) einen erweiterten „Selbstklassifizierungsbericht“ einreichen oder eine Klassifizierung bei der BIZ beantragen? (argh ...)
Giorgio Daino
1
Nach dem, was ich derzeit lese, scheint es, dass Sie auch ohne Registrierung (über die Ausnahme), wenn Sie TLS verwenden, diesen Selbstklassifizierungsbericht jährlich erstellen müssen ... bis.doc.gov/index.php/policy -guidance / encryption /… - "Ein jährlicher Selbstklassifizierungsbericht ist eine Anforderung für Artikel, die gemäß der Lizenzausnahme ENC - 740.17 (b) (1) exportiert werden, es sei denn, für den Artikel wurde eine Warenklassifizierung (CCATS) eingereicht."
Brian Knoblauch
4

Ich bin heute früher auf diese Frage gestoßen und dachte, ich würde zurückkommen, um über meine Erfahrungen zu berichten.

Unter http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html finden Sie ein Verfahren, das für mich gut funktioniert hat (lesen Sie dort unbedingt das Ganze einschließlich der Kommentare) Seit dem ursprünglichen Beitrag wurden einige Änderungen vorgenommen, hauptsächlich zum Besseren, und die aktualisierten Informationen befinden sich in den Kommentaren.

Der Prozess ist jetzt ziemlich rationalisiert (außer dass Safari und Chrome das SSL-Zertifikat ihrer eigenen Site nicht erkennen. Ein bisschen ironisch. :-); Ich habe die Genehmigung ca. 10-15 Minuten nach dem Absenden der Informationen erhalten.

Ich würde vermuten, dass dies für sie zur Routine geworden ist (zumindest, wenn Sie nur SSL anstelle einer exotischen Krypto verwenden).

Tony Hursh
quelle
3

Da die App sichere SSL-Verbindungen einrichtet und verwendet, wird sie als Verschlüsselungsprodukt betrachtet. Die US-Exportkontrollen hängen davon ab, ob Sie Verschlüsselung verwenden und nicht davon, wo Sie sie finden. Es spielt keine Rolle, dass Sie eine integrierte Funktion verwenden, anstatt Ihre eigene zu schreiben, eine kommerzielle Bibliothek zu verwenden oder einen speziellen Prozessor zu verwenden - es handelt sich immer noch um ein Verschlüsselungselement.

Besuchen Sie die BIS-Website unter www.bis.doc.gov/encryption oder rufen Sie den Helpdesk unter 202-482-0707 an, wenn Sie die Einzelheiten Ihrer App besprechen möchten. Wenn Sie herausfinden, dass Sie eine Verschlüsselungsklassifizierung benötigen, ist auch der Link für den SNAPR vorhanden.

Michael
quelle