Enthält meine Anwendung "Verschlüsselung"?

Ich lade zum ersten Mal eine Binärdatei hoch. iTunes Connect hat mich gefragt:

Exportgesetze verlangen, dass Produkte, die Verschlüsselung enthalten, ordnungsgemäß für den Export zugelassen sind.
Nichtbeachtung kann zu schweren Strafen führen.
Weitere Informationen finden Sie hier.
Enthält Ihr Produkt Verschlüsselung?

Ich benutze https://, aber nur über NSURLConnectionund UIWebView.

Ich habe gelesen, dass meine App keine "Verschlüsselung" enthält, aber ich frage mich, ob dies irgendwo geschrieben ist. "Schwere Strafen" klingen überhaupt nicht angenehm, daher ist "Ich denke, das ist richtig" etwas lückenhaft ... eine maßgebliche Antwort wäre besser.

Vielen Dank.

[ UPDATE : Die Verwendung von HTTPS ist ab Ende September 2016 von der ERN ausgenommen.] Https://stackoverflow.com/a/40919650/4976373

Leider glaube ich, dass Ihre App "Verschlüsselung enthält" in Bezug auf US BIS, auch wenn Sie nur HTTPS verwenden (wenn Ihre App keine Ausnahme in Frage 2 ist).

Zitat aus den FAQ zu iTunes Connect :

" Woher weiß ich, ob ich den ERN-Prozess (Exporter Registration and Reporting) verfolgen kann?

Wenn Ihre App Verschlüsselungsalgorithmen nach Industriestandard für andere als die in Frage 2 als Ausnahmen aufgeführten Zwecke verwendet , darauf zugreift, implementiert oder integriert, müssen Sie eine ERN-Autorisierung beantragen . Beispiele für Standardverschlüsselung sind: AES, SSL, https . Diese Genehmigung erfordert, dass Sie zwei US-Regierungsbehörden jedes Jahr im Januar einen Jahresbericht mit Informationen zu Ihrer App vorlegen. ""

" 2. Frage: Qualifiziert sich Ihr Produkt für Ausnahmen gemäß Kategorie 5 Teil 2?

In den US-Exportbestimmungen unter Kategorie 5 Teil 2 (Bestimmungen zu Informationssicherheit und Verschlüsselung) sind verschiedene Ausnahmen für Anwendungen und Software verfügbar, die Verschlüsselung verwenden, darauf zugreifen, sie implementieren oder integrieren.

Alle Verbindlichkeiten, die mit einer Fehlinterpretation der Exportbestimmungen oder einer ungenauen Befreiung verbunden sind, werden von den Eigentümern und Entwicklern der Apps getragen.

Sie können die Frage mit „JA“ beantworten, wenn Sie eines der folgenden Kriterien erfüllen:

(i) wenn Sie feststellen, dass Ihre App nicht in Kategorie 5, Teil 2 der EAR eingestuft ist, basierend auf den Richtlinien, die BIS bei der Verschlüsselungsfrage bereitgestellt hat . Die Erklärung zum Verständnis von medizinischen Geräten in Anhang Nr. 3 zu Teil 774 der EAR kann auf der Website des Electronic Code of Federal Regulations abgerufen werden. Bitte besuchen Sie die Frage Nr. 15 im FAQ-Bereich der Verschlüsselungsseite für Beispielelemente, die BIS aufgelistet hat und die Ausnahmen von Anmerkung 4 beanspruchen können.

(ii) Ihre App verwendet, greift darauf zu, implementiert oder integriert Verschlüsselung nur zur Authentifizierung

(iii) Ihre App verwendet, greift darauf zu, implementiert oder integriert Verschlüsselung mit Schlüssellängen von nicht mehr als 56 Bit symmetrisch, 512 Bit asymmetrisch und / oder 112 Bit elliptischer Kurve

(iv) Ihre App ist ein Massenmarktprodukt mit Schlüssellängen von nicht mehr als 64 Bit symmetrisch oder wenn keine symmetrischen Algorithmen vorhanden sind, nicht mehr als 768 Bit asymmetrische und / oder 128 Bit elliptische Kurve.

Bitte lesen Sie Anmerkung 3 in Kategorie 5 Teil 2, um die Kriterien für die Definition des Massenmarktes zu verstehen.

(v) Ihre App wurde speziell für Bankzwecke oder Geldtransaktionen entwickelt und ist darauf beschränkt. Der Begriff „Geldtransaktionen“ umfasst das Inkasso und die Abrechnung von Tarifen oder Kreditfunktionen.

(vi) Der Quellcode Ihrer App ist „öffentlich verfügbar“, Ihre App wird kostenlos an die breite Öffentlichkeit verteilt und Sie haben die Benachrichtigungsanforderungen gemäß 740.13 erfüllt. (e).

Bitte besuchen Sie die Verschlüsselungswebseite, falls Sie weitere Hilfe benötigen, um festzustellen, ob Ihre App für Ausnahmen qualifiziert ist.

Wenn Sie der Meinung sind, dass Ihre App für eine Ausnahme qualifiziert ist, beantworten Sie die Frage mit "JA". "

Es ist nicht schwer, die richtige Genehmigung für Ihre App zu erhalten. SSL (HTTPS / TLS) ist immer noch eine Verschlüsselung. Wenn Sie es nicht nur zur Authentifizierung verwenden, sollten Sie die richtige Genehmigung einholen. Ich habe gerade die Genehmigung erhalten und meine App ist jetzt im Store für etwas, das SSL zum Verschlüsseln des Datenverkehrs verwendet (nicht nur zur Authentifizierung).

Hier ist ein Blogeintrag, den ich gemacht habe, damit andere dies richtig machen können.

Exportbeschränkungen für Apple iTunes

Ich habe Apple dieselbe Frage gestellt und die Antwort (von einem Senior Export Compliance Specialist) erhalten, dass "das Senden von Informationen über https die Daten dazu zwingt, über einen sicheren Kanal von SSL zu gehen, daher fällt es unter die Anforderung der US-Regierung für a CCATS-Überprüfung und Genehmigung. " Beachten Sie, dass es keine Rolle spielt, dass Apple dies bereits für die SSL-Implementierung getan hat, sondern für die Regierung, wenn Sie eine Verschlüsselung verwenden, die (für sie) dieselbe ist, die Sie selbst codiert hätten. Ich habe auch unseren Blog ( http://blog.theanimail.com ) aktualisiert, da Tim mit Updates und Details zum Prozess darauf verlinkt hat. Ich hoffe, das hilft.

Wenn Sie das von Apple bereitgestellte Sicherheitsframework oder CommonCrypto-Bibliotheken verwenden, fügen Sie Krypto in Ihre App ein und müssen mit Ja antworten. Nur weil Bibliotheken von Apple bereitgestellt wurden, werden Sie nicht vom Haken gerissen.

In Bezug auf die ursprüngliche Frage lassen mich die jüngsten Beiträge in den Apple Development Forums glauben, dass Sie mit Ja antworten müssen, auch wenn Sie nur SSL verwenden.

Kurze Antwort: Ja, aber Sie müssen nichts tun

Ich habe einige Stunden im Internet danach gesucht. Eigentlich ist es ziemlich einfach und Sie können dies in iTunes Connect überprüfen:

1. Alles was Sie tun müssen

Wenn Ihre App nur HTTPS oder nur Verschlüsselung für Authentifizierung, Token usw. verwendet, müssen Sie nichts tun, sondern nur einschließen

<key>ITSAppUsesNonExemptEncryption</key><false/>

in Ihrer Info.plist und Sie sind fertig .

2. Überprüfung

Sie können dies in iTunes Connect überprüfen .

• Wählen Sie Ihre App
• wählte Funktionen
• wählte Verschlüsselung
• Klicken Sie auf "+"
• Folgen Sie dem Dialog
• Für https oder Authentifizierung lautet die Antwort Ja und Ja

In jedem Fall sollten Sie sich den Dialog natürlich sorgfältig durchlesen.

Ein sehr hilfreicher Artikel finden Sie hier:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

All dies kann für einen App-Entwickler, der einfach TLS verwendet, um eine Verbindung zu seinen eigenen Webservern herzustellen, sehr verwirrend sein. Da ATS (App Transport Security) immer wichtiger wird und wir aufgefordert werden, alles auf https umzustellen, werden meines Erachtens mehr Entwickler auf dieses Problem stoßen.

Meine App tauscht einfach Daten zwischen unserem Server und dem Benutzer über das https-Protokoll aus. Die Worte "USES ENCRYPTION" in den Haftungsausschlüssen zu sehen, ist etwas beängstigend. Deshalb habe ich das Büro der US-Regierung in ihrem Büro angerufen und mit einem Vertreter des Büros für Industrie und Sicherheit (BIZ) http: //www.bis.doc gesprochen .gov / index.php / about-bis / contact-bis .

Der Vertreter fragte mich nach meiner App und da sie den "primären Funktionstest" bestanden hatte, hatte sie nichts mit Sicherheit / Kommunikation zu tun und verwendete einfach https als Kanal für die Verbindung meiner Kundendaten mit unseren Servern - sie fiel in die Kategorie EAR99 Dies bedeutet, dass es von der Genehmigung durch die Regierung ausgenommen ist (siehe https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn ).

Ich hoffe das hilft anderen App-Entwicklern.

Ab dem 20. September 2016 ist für Apps, die https (oder möglicherweise andere Formen der Verschlüsselung) verwenden, keine Registrierung mehr erforderlich: https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-updates

Tatsächlich können Sie auf SNAP-R nicht mehr die Option "Verschlüsselungsregistrierung" auswählen:

Insbesondere stellen sie fest:

Verschlüsselungsregistrierungen nicht mehr erforderlich - einige der Informationen aus der Registrierung gehen jetzt in das Supp. Nr. 8 zu Teil 742 Bericht.

Dies bedeutet, dass Sie möglicherweise einen Jahresbericht an BIS senden müssen, sich jedoch nicht registrieren müssen und beim Einreichen Ihrer App feststellen können, dass diese ausgenommen ist.

Ja, laut iTunes Connect Export Compliance-Bildschirmen verwenden Sie die Verschlüsselung für die Zwecke der Exportbestimmungen der US-Regierung, wenn Sie eine integrierte iOS- oder MacOS-Verschlüsselung (Schlüsselbund, https) verwenden. Ob Sie sich für eine Ausnahmeregelung für die Exportkonformität qualifizieren, hängt davon ab, was Ihre App tut und wie sie diese Verschlüsselung verwendet. Die angehängten Bilder zeigen die iTunes Connect Export Compliance-Bildschirme, mit denen Sie Ihre Exportberichtspflichten ermitteln können. Insbesondere heißt es:

Wenn Sie ATS verwenden oder HTTPS anrufen, beachten Sie bitte, dass Sie der US-Regierung einen Selbstklassifizierungsbericht zum Jahresende vorlegen müssen. Erfahren Sie mehr

@hisnameisjimmy ist korrekt: Wenn Sie (mindestens ab heute, dem 1. Dezember 2016) Ihre App zur Überprüfung einreichen und die exemplarische Vorgehensweise zum Exportieren von Konformität erreichen, werden Sie feststellen, dass im Menü jetzt angegeben ist, dass HTTPS eine ausgenommene Version von ist Verschlüsselung (wenn Sie sie für jeden Anruf verwenden):

Ich fand diese FAQ des US-amerikanischen Büros für Industrie und Sicherheit sehr hilfreich.

Verschlüsselung

Frage 15 (Was ist Anmerkung 4?) Ist der wichtige Punkt:

...

Beispiele für Elemente, die durch Anmerkung 4 von Kategorie 5, Teil 2 ausgeschlossen sind, umfassen, ohne darauf beschränkt zu sein, Folgendes:

Verbraucheranwendungen. Einige Beispiele:

Piraterie und Diebstahlprävention für Software oder Musik; Musik, Filme, Musik / Musik, digitale Fotos - Player, Rekorder und Organisatoren Spiele / Spiele - Geräte, Laufzeitsoftware, HDMI- und andere Komponentenschnittstellen, Entwicklungstools LCD-TV, Blu-ray / DVD, Video on Demand (VoD), Kino , digitale Videorecorder (DVRs) / persönliche Videorecorder (PVRs) - Geräte, Online-Medienhandbücher, Integrität und Schutz kommerzieller Inhalte, HDMI- und andere Komponentenschnittstellen (keine Videokonferenzen); Drucker, Kopierer, Scanner, Digitalkameras, Internetkameras - einschließlich Teile und Unterbaugruppen für Haushaltsgeräte und -geräte

Einige dieser Antworten waren sehr nützlich, wollten diese URL jedoch der Vollständigkeit halber hinzufügen, da sie Sie durch die folgenden Fragen führt:

https://itunespartner.apple.com/de/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Die Anweisungen zum Ausfüllen der 2020 SNAP-R-Formulare finden Sie unter diesem Link. Auch die Anweisungen für den jährlichen Selbstklassifizierungsbericht werden für 2020 aktualisiert.

https://stackoverflow.com/a/61431496/1217670

Einfache Antworten sind Ja (App hat Verschlüsselung) und Ja (App verwendet Ausgenommene Verschlüsselung). In meiner Anwendung öffne ich gerade die Website meines Unternehmens in WKWebView. Da jedoch "https" verwendet wird, wird dies als ausgenommene Verschlüsselung betrachtet. Weitere Informationen finden Sie im Apple-Dokument: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Alternativ können Sie einfach den Schlüssel "ITSAppUsesNonExemptEncryption" und den Wert "NO" in die info.plist-Datei Ihrer App einfügen. Auf diese Weise stellt iTunes Connect Ihnen diese Fragen nicht mehr. Weitere Informationen: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Sie können diese drei einfachen Schritte ausführen, um zu überprüfen, ob Ihre Anwendung ausgenommen ist oder nicht: https://help.apple.com/app-store-connect/#/dev63c95e436

Möglicherweise müssen Sie diese jährliche Selbstklassifizierung bei der US-Regierung einreichen. Für weitere Informationen: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

Wenn Sie nicht explizit eine Verschlüsselungsbibliothek verwenden oder Ihren eigenen Verschlüsselungscode verwenden, lautet die Antwort meiner Meinung nach "Nein".