Verwenden von SSL in einer iPhone App - Export Compliance

Ich möchte eine iPhone-App erstellen, die mit einem REST-Webdienst kommuniziert. Da einige benutzersensible Daten (Name, Adresse, Alter usw.) übertragen werden, möchte ich die Verbindungen mit SSL sichern.

Bei meinen vorherigen Eskapaden in den App Store habe ich jedoch festgestellt, dass die erste Frage, die mir gestellt wird, lautet: "Verwendet Ihre Anwendung Verschlüsselung?" Abhängig von der Antwort auf diese und andere Anschlussfragen kann die Einhaltung der US-Exportbestimmungen erforderlich sein.

Mein Unternehmen hat weder seinen Sitz in den USA noch ein US-Büro.

Hat jemand eine App mit SSL für diesen Zweck eingereicht? Wenn ja, mussten Sie irgendetwas tun, um die Erlaubnis zur Verwendung zu erhalten, entweder von Apple oder von der US-Regierung?

Update ab dem 20. September 2016

ERNs werden nicht mehr benötigt, daher müssen sich anscheinend viele Apps nicht mehr bei der US-Regierung registrieren. (Möglicherweise müssen Sie jedoch noch einen halbjährlichen Selbstklassifizierungsbericht Supp. Nr. 8 zu Teil 742 einreichen.) Http://www.bis.doc.gov/InformationSecurity2016-updates

(Vielen Dank an @EugenioDeHoyos und @ user3562927 für den Hinweis!)

Diese Website eines Drittanbieters kann Ihnen bei der Erstellung Ihres Berichts behilflich sein: Self-Classification Report Generator (Ein anderer Benutzer hat einen Link hinzugefügt, ich habe ihn selbst nicht ausprobiert.)

Für den Verkauf in Frankreich ist weiterhin eine Registrierung der französischen Regierung erforderlich.

Die häufig gestellten Fragen zu iTunes Connect wurden aktualisiert, um diese Änderung abzudecken. Sie sind die am besten lesbare Referenz, die ich gefunden habe.

Alte Antwort

Der Prozess hat sich seit Sommer 2010 geändert, und Sie benötigen (wahrscheinlich) jetzt eine ERN, keine CCATS, wie dies zu dem Zeitpunkt erforderlich war, als John seine Antwort schrieb.

Siehe Exportbeschränkungen für Apple iTunes für Apps . Die FAQ zu iTunes Connect enthält außerdem viele nützliche Informationen zur Exportkonformität.

Es gibt jetzt auch Einschränkungen für das Verteilen von Apps mit Verschlüsselung im französischen App Store . Weitere Informationen finden Sie in den häufig gestellten Fragen zu iTunes Connect und im Thread zur französischen Exportkonformität in den Devforen .

Jetzt im November 2017 ...

Das ist wirklich legal, also ist dies ein Hinweis darauf, was ich nützlich fand und wie ich Dinge interpretiert habe. Nimm es nicht als Rat (es ist nicht).

Die Apple-FAQ, wie in anderen Antworten hier erwähnt, ist ein ausgezeichneter Ausgangspunkt: https://itunespartner.apple.com/de/apps/faq/Managing%20Your%20Apps_Export%20Compliance

Dies führt zu folgenden Schritten: Wechseln Sie in iTunes Connect zu Ihrer App. Wählen Sie oben die Registerkarte "Funktionen" und anschließend "Verschlüsselung". Klicken Sie auf der Hauptseite auf "Exportkonformitätsdokumentation für iOS hinzufügen". Die erste Frage lautet: "Exportkonformität: Ist Ihre App für die Verwendung von Kryptografie ausgelegt ..." Wählen Sie "Ja". Die folgenden Fragen lauten (und ich kopiere und füge ein):

Erfüllt Ihre App eine der folgenden Bedingungen:
(a) Qualifiziert für eine oder mehrere Ausnahmen gemäß Kategorie 5 Teil 2
(b) Die Verwendung der Verschlüsselung ist auf die Verschlüsselung innerhalb des Betriebssystems (iOS oder macOS) beschränkt.
(C) Nur Anrufe tätigen ( s) über HTTPS
(d) App wird nur in den USA und / oder Kanada zur Verfügung gestellt

(c) ist die SSL-Stilreferenz (gemäß Ihrer Frage). Wählen Sie daher Ja zu dieser Frage. [Beachten Sie, dass der untere Rand der Anleitung auf diesem Bildschirm einen Link zum obigen FAQ-Link enthält.]

Bei Auswahl von "Ja" steht in einem der Popup-Anleitungen (und ich zitiere):

Wenn Sie ATS verwenden oder HTTPS anrufen, beachten Sie bitte, dass Sie der US-Regierung einen Selbstklassifizierungsbericht zum Jahresende vorlegen müssen. Mehr erfahren

Und zurück in den FAQ lautet ein Schlüsselzitat:

Warum erfordert meine App eine Überprüfung der Verschlüsselung, wenn ich nicht in den USA lebe? Kann ich die Überprüfung der Verschlüsselung umgehen, wenn ich meine App nur in meinem Heimatland freigebe?

Ihre App wird auf einen Apple-Server in den USA hochgeladen. Dies bedeutet, dass Ihre App aus den USA exportiert wird und den US-Exportgesetzen unterliegt. Diese Anforderung gilt auch dann, wenn Sie nur planen, innerhalb Ihres eigenen Landes zu vertreiben.

Das letzte Stück, denke ich, beantwortet das zweite Stück Ihrer Frage ... Sie müssen sich trotzdem daran halten, auch wenn Sie nicht in den USA sind und nicht beabsichtigen, außerhalb Ihres eigenen Landes zu vertreiben ...

Nach dem, was ich heute (im November 2017) gelesen habe, müssen bei Verwendung von SSL (HTTPS) in einer iOS-App, auch außerhalb der USA, Kästchen in iTunes Connect angekreuzt werden ... (Der Vorgang wurde unter den Funktionen gestartet tab 'oben beschrieben). Darüber hinaus müssen Sie einen jährlichen Selbstklassifizierungsbericht erstellen.

Der diesbezügliche Link in den Apple-FAQ ist derzeit defekt (während ich dies schreibe), aber dieser Link ist nützlich: https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high -Leistungscomputer / 223-neue-Verschlüsselung / 1238-wie-man-einen-jährlichen-Selbstklassifizierungsbericht einreicht

Diese Seite enthält die E-Mail-Adressen, an die Ihr Bericht gesendet werden soll (Sie müssen ihn an zwei Stellen senden), wann er gesendet werden muss und welches Format und welche Informationen gesendet werden müssen (eine sorgfältig erstellte, sehr vorgeschriebene CSV-Datei), die ich nicht gefunden habe Dies mit der Suchmaschine bis.doc.gov, wurde jedoch mithilfe einer allgemeinen Suchmaschine gefunden, die nach 'Selbstklassifizierungsbericht zum Jahresende' suchte. Wenn dieser Link in Zukunft nicht mehr funktioniert, kann diese Suche helfen, Ersatz zu finden :)

Ich bin mir noch nicht sicher, wie diese CSV-Datei für eine iOS-App mit SSL erstellt werden soll. Ich hoffe auf Erfolg und werde diesen Beitrag mit Details bearbeiten, wenn dies angemessen erscheint.

Zu diesem Zweck finden Sie in diesem verknüpften Dokument: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (das Sie möglicherweise vergrößern müssen zu lesen) Ich denke, die relevante Zeile ist die 3. (b) (1), da die Einreichungsanforderungen übereinstimmen. Es bezieht sich auf müssen

Supp. einreichen 8, Teil 742, per E-Mail

Dieses Dokument hat auch eine ECCN-Spalte, und ich denke, die relevante ECCN-Nummer ist 5A002 Punkt etwas

In diesem nächsten Dokument finden Sie weitere Informationen zur Auswahl des richtigen ECCN-Codes:

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

Wenn ich dies lese, gehe ich derzeit davon aus, dass sich SSL, wenn es als kleiner Teil einer App verwendet wird, auf Code 5A002.a.4 bezieht

AKTUALISIEREN:

Am Ende der Anleitung zu bis.doc.gov heißt es in der Beschreibung zum Erstellen der CSV-Datei:

• Die erste Zeile des jährlichen Selbstklassifizierungsberichts muss aus den folgenden 12 Einträgen bestehen: PRODUKTNAME, MODELLNUMMER, HERSTELLER, ECCN, AUTORISIERUNGSTYP, ARTIKELTYP, EINREICHERNAME, TELEFONNUMMER, E-MAIL-ADRESSE, MAILING-ADRESSE, NICHT-US KOMPONENTEN, NICHT US-HERSTELLUNGSSTANDORTE.
• Es darf kein Eintrag leer bleiben.
• PRODUKTNAME und ECCN müssen ausgefüllt werden.
• Geben Sie für MODELLNUMMER und HERSTELLER bei Bedarf "NONE" oder "N / A" ein.
• Geben Sie als AUTORISIERUNGSTYP ENC oder MMKT ein.
• Wählen Sie für ARTIKELTYP aus der Liste der Artikeltypen im Supp. 8 bis Teil 742 (a) (6).
• Die Spaltenüberschriften SUMMITTER NAME bis NON-US MANUFACTURING LOCATIONS beziehen sich auf das gesamte Unternehmen und sollten daher für jedes Produkt gleich eingegeben werden (dh nur eine Kontaktstelle, eine Antwort mit "JA" oder "NEIN" auf eine der Antworten Die gemeldeten Produkte enthalten Verschlüsselungskomponenten, die nicht aus den USA stammen, und für den Bericht ist eine Liste der Produktionsstandorte außerhalb der USA erforderlich. Duplizieren Sie diese Informationen in jede Zeile der Tabelle
• Die einzig zulässige Verwendung eines Kommas ist das erforderliche Trennzeichen zwischen den 12 Einträgen für jede Werbebuchung. Die einzigen zulässigen Kommas sind diejenigen, die bei der Tabellenkonvertierung automatisch eingefügt werden.

Unter Verwendung von Anhang Nr. 8 zu Teil 742 - Selbstklassifizierungsbericht für Verschlüsselungselemente als weitere Anleitung gelangte ich zu einer CSV-Datei wie der folgenden:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

Beachten Sie, dass dies eine wohlgeformte CSV-Datei sein sollte, was nicht ganz so ist. Ich schlage vor, etwas in einer Tabelle zu erstellen und als CSV zu speichern

Beachten Sie auch, dass dies kein empfohlenes Ergebnis ist - es ist meine beste Interpretation als unqualifizierte Person, die keinen Rat hatte. Das Beispiel .csv am Ende der bis.doc.gov-Anleitung half mir weiter und schien darauf hinzudeuten, dass die ECCN ohne weitere Details nur 5A002 sein könnte. Der ARTIKELTYP muss aus der Liste in Anhang Nr. 8 ausgewählt werden - etwas anderes passt möglicherweise besser zur Art Ihrer App. Ich war mir bei MODELLNUMMER nicht so sicher, aber das Beispiel sah so aus, als würde es Beschreibungen von Versionsnummerntypen verwenden. Vielleicht wäre App Apple ID hier besser. Da es optional ist, spielt es möglicherweise keine Rolle ...

UPDATE (Jan 2019): Endlich meine Einreichung für 2018 gemacht und ging für:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]

Die Änderungen betrafen "N / A" als Modellnummer und "NEIN" für NICHT-US-KOMPONENTEN. 'NEIN', da meine App keine gekauften Komponenten enthält (USA oder NICHT-USA) - der Verschlüsselungscode ist nur die iOS-Verschlüsselungsbibliothek.

Ich bin tatsächlich zu Apple zurückgekehrt und es stellt sich heraus, dass jede Anwendung, die SSL verwendet, (leider) genehmigt werden muss. Es gibt anscheinend einige Ausnahmen, z. B. wenn die Anwendung SSL nur für einen einzelnen Zahlungsvorgang verwendet.

Weitere Informationen finden Sie unter Massenmarktverschlüsselung CCATS-Warenklassifizierung für iPhone-Anwendungen in 8 einfachen Schritten und Exportkonformität für die iPhone-Verschlüsselung für Apps, die HTTPS (TLS) -Verbindungen herstellen .

Alle diese Antworten sind seit dem 20. September 2016 veraltet. Ich habe gerade mit den SNAP-R-Leuten (Regierung) telefoniert und sie sagten, dass am 20. September neue Gesetze gelandet sind. Die neue Regelung beseitigt die Notwendigkeit, Ihre App zu registrieren, nur weil sie Verschlüsselung verwendet.

Ich habe ihnen meine App (ein Spiel) beschrieben und sie sagten, es sei ein "EAR-99", was bedeutet, dass ich mich nicht registrieren muss. Es ist wahrscheinlich, dass Apple im Begriff ist, seine Website zu aktualisieren. Wenn Sie in der Zwischenzeit versuchen, diesen Prozess durchzuführen, weil Sie SSL / HTTPS verwenden, hören Sie jetzt einfach auf. Sie werden die Formulare nicht einmal erfolgreich ausfüllen können, da sie sich erheblich geändert haben.

Ich fand diesen Artikel von jemandem, der den Prozess kürzlich (Dezember 2015) durchlaufen hat, äußerst hilfreich. Der allgemeine Konsens scheint zu sein, dass Sie diesen Prozess wirklich durchlaufen müssen, selbst wenn Sie nur einen REST-Aufruf verwenden, der SSL verwendet. Dieser Artikel hilft Ihnen dabei, den Prozess schnell durchzuführen.

https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/

Ich bin heute früher auf diese Frage gestoßen und dachte, ich würde zurückkommen, um über meine Erfahrungen zu berichten.

Unter http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html finden Sie ein Verfahren, das für mich gut funktioniert hat (lesen Sie dort unbedingt das Ganze einschließlich der Kommentare) Seit dem ursprünglichen Beitrag wurden einige Änderungen vorgenommen, hauptsächlich zum Besseren, und die aktualisierten Informationen befinden sich in den Kommentaren.

Der Prozess ist jetzt ziemlich rationalisiert (außer dass Safari und Chrome das SSL-Zertifikat ihrer eigenen Site nicht erkennen. Ein bisschen ironisch. :-); Ich habe die Genehmigung ca. 10-15 Minuten nach dem Absenden der Informationen erhalten.

Ich würde vermuten, dass dies für sie zur Routine geworden ist (zumindest, wenn Sie nur SSL anstelle einer exotischen Krypto verwenden).

Da die App sichere SSL-Verbindungen einrichtet und verwendet, wird sie als Verschlüsselungsprodukt betrachtet. Die US-Exportkontrollen hängen davon ab, ob Sie Verschlüsselung verwenden und nicht davon, wo Sie sie finden. Es spielt keine Rolle, dass Sie eine integrierte Funktion verwenden, anstatt Ihre eigene zu schreiben, eine kommerzielle Bibliothek zu verwenden oder einen speziellen Prozessor zu verwenden - es handelt sich immer noch um ein Verschlüsselungselement.

Besuchen Sie die BIS-Website unter www.bis.doc.gov/encryption oder rufen Sie den Helpdesk unter 202-482-0707 an, wenn Sie die Einzelheiten Ihrer App besprechen möchten. Wenn Sie herausfinden, dass Sie eine Verschlüsselungsklassifizierung benötigen, ist auch der Link für den SNAPR vorhanden.