Mon application «contient-elle un cryptage»?

Je télécharge un binaire pour la première fois. iTunes Connect m'a demandé:

Les lois sur l'exportation exigent que les produits contenant un cryptage soient correctement autorisés pour l'exportation.
Le non-respect de ces dispositions pourrait entraîner des sanctions sévères.
Pour obtenir plus d'informations, cliquez ici.
Votre produit contient-il un cryptage?

J'utilise https://, mais uniquement via NSURLConnectionet UIWebView.

Ma lecture de ceci est que mon application ne "contient pas de cryptage", mais je me demande si cela est précisé quelque part. "Des sanctions sévères" ne semblent pas du tout agréables, donc "je pense que c'est vrai" est un peu sommaire ... une réponse faisant autorité serait mieux.

Merci.

[ MISE À JOUR : L'utilisation de HTTPS est désormais exemptée de l'ERN à la fin de septembre 2016] https://stackoverflow.com/a/40919650/4976373

Malheureusement, je crois que votre application "contient un chiffrement" en termes de US BIS même si vous utilisez simplement HTTPS (si votre application ne fait pas exception à la question 2).

Citation de la FAQ sur iTunes Connect :

" Comment savoir si je peux suivre le processus d'enregistrement et de déclaration des exportateurs (ERN)?

Si votre application utilise , accède, implémente ou incorpore des algorithmes de chiffrement standard de l'industrie à des fins autres que celles répertoriées comme exemptions à la question 2, vous devez soumettre une demande d'autorisation ERN . Des exemples de chiffrement standard sont: AES, SSL, https . Cette autorisation nécessite que vous soumettiez un rapport annuel à deux agences du gouvernement américain avec des informations sur votre application en janvier. "

" 2e question: votre produit est-il admissible à des exemptions prévues dans la catégorie 5, partie 2?

Il existe plusieurs exemptions dans les réglementations d'exportation des États-Unis dans la catégorie 5, partie 2 (réglementations sur la sécurité et le cryptage de l'information) pour les applications et les logiciels qui utilisent, accèdent, implémentent ou incorporent le cryptage.

Toutes les responsabilités associées à une interprétation erronée des réglementations en matière d'exportation ou à une demande d'exemption inexacte sont à la charge des propriétaires et des développeurs des applications.

Vous pouvez répondre «OUI» à la question si vous remplissez l'un des critères suivants:

(i) si vous déterminez que votre application n'est pas classée dans la catégorie 5, partie 2 de l'EAR sur la base des conseils fournis par BIS à la question de chiffrement . La déclaration d'entente relative à l'équipement médical dans le supplément n ° 3 à la partie 774 de l'EAR est accessible sur le site du Code électronique des règlements fédéraux. Veuillez visiter la question n ° 15 dans la section FAQ de la page de cryptage pour des exemples d'articles répertoriés par BIS qui peuvent demander des exemptions à la note 4.

(ii) votre application utilise, accède, implémente ou incorpore le cryptage pour l'authentification uniquement

(iii) votre application utilise, accède, implémente ou incorpore le chiffrement avec des longueurs de clé ne dépassant pas 56 bits symétriques, 512 bits asymétriques et / ou 112 bits courbe elliptique

(iv) votre application est un produit grand public avec des longueurs de clé ne dépassant pas 64 bits symétriques, ou en l'absence d'algorithmes symétriques, ne dépassant pas 768 bits asymétriques et / ou 128 bits elliptiques.

Veuillez consulter la note 3 de la catégorie 5, partie 2 pour comprendre les critères de définition du marché de masse.

(v) votre application est spécialement conçue et limitée pour un usage bancaire ou des «transactions monétaires». Le terme «transactions monétaires» comprend la perception et le règlement des tarifs ou des fonctions de crédit.

(vi) le code source de votre application est «accessible au public», votre application distribuée gratuitement au grand public et vous avez satisfait aux exigences de notification prévues à l'article 740.13. (e).

Veuillez visiter la page Web de cryptage au cas où vous auriez besoin d'aide pour déterminer si votre application est éligible à des exemptions.

Si vous pensez que votre application est éligible à une exemption, veuillez répondre "OUI" à la question. "

Il n'est pas difficile d'obtenir l'approbation de votre application de la bonne manière. SSL (HTTPS / TLS) est toujours un cryptage et à moins que vous ne l'utilisiez que pour l'authentification, vous devriez obtenir l'approbation appropriée. Je viens de recevoir l'approbation et mon application est maintenant dans le magasin pour quelque chose qui utilise SSL pour crypter le trafic de données (pas seulement l'authentification).

Voici une entrée de blog que j'ai faite pour que d'autres puissent le faire correctement.

restrictions d'exportation apple itunes

J'ai posé la même question à Apple et j'ai obtenu la réponse (d'un spécialiste principal de la conformité à l'exportation), que "l'envoi d'informations via https oblige les données à passer par un canal sécurisé à partir de SSL, donc cela relève de l'exigence du gouvernement américain pour Examen et approbation du CCATS. " Notez qu'il n'a pas d'importance qu'Apple ait déjà fait cela pour leur implémentation SSL, mais pour le gouvernement, si vous UTILISEZ un cryptage qui est le même (pour eux) que vous l'auriez codé vous-même. J'ai également mis à jour notre blog ( http://blog.theanimail.com ) depuis que Tim y est lié avec des mises à jour et des détails sur le processus. J'espère que cela pourra aider.

Si vous utilisez le cadre de sécurité ou les bibliothèques CommonCrypto fournies par Apple, vous incluez la crypto dans votre application et vous devez répondre oui - simplement parce que les bibliothèques ont été fournies par Apple ne vous enlève pas le crochet.

En ce qui concerne la question d'origine, des articles récents sur les forums de développement Apple m'amènent à croire que vous devez répondre oui même si tout ce que vous utilisez est SSL.

Réponse courte: oui, mais vous n'avez rien à faire

Je cherchais cela sur le Web pendant quelques heures. En fait, c'est assez facile et vous pouvez le vérifier dans itunes connect:

1. Tout ce que vous avez à faire

Si votre application utilise uniquement HTTPS ou utilise le chiffrement uniquement pour l'authentification, les jetons, etc., il n'y a rien à faire, incluez simplement

<key>ITSAppUsesNonExemptEncryption</key><false/>

dans votre Info.plist et vous avez terminé .

2. Vérification

Vous pouvez le vérifier dans itunes connect.

• sélectionnez votre application
• a choisi des fonctionnalités
• a choisi le cryptage
• cliquez sur "+"
• suivez le dialogue
• pour https ou l'authentification, la réponse est oui et oui

Dans tous les cas, vous devez bien sûr lire attentivement la boîte de dialogue.

Un article très utile peut être trouvé ici:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Tout cela peut être très déroutant pour un développeur d'application qui utilise simplement TLS pour se connecter à ses propres serveurs Web. Parce que l'ATS (App Transport Security) devient plus important et nous sommes encouragés à tout convertir en https - je pense que plus de développeurs vont rencontrer ce problème.

Mon application échange simplement des données entre notre serveur et l'utilisateur en utilisant le protocole https. Voir les mots "USES ENCRYPTION" dans les clauses de non-responsabilité est un peu effrayant, j'ai donc appelé le bureau du gouvernement américain à leur bureau et j'ai parlé à un représentant du Bureau of Industry and Security (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Le représentant m'a posé des questions sur mon application et comme elle a réussi le "test de fonction principale" en ce qu'elle n'a rien à voir avec la sécurité / communications et utilise simplement https comme canal pour connecter mes données client à nos serveurs - elle est tombée dans la catégorie EAR99 ce qui signifie qu'il est exempté d'obtenir l'autorisation du gouvernement (voir https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

J'espère que cela aide d'autres développeurs d'applications.

Depuis le 20 septembre 2016, l'inscription n'est plus requise pour les applications qui utilisent https (ou peut-être d'autres formes de cryptage): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-updates

En fait, sur SNAP-R, vous ne pouvez plus choisir «enregistrement de chiffrement»:

Plus précisément, ils notent:

Les enregistrements de chiffrement ne sont plus nécessaires - certaines des informations de l'enregistrement vont maintenant dans le Supp. Rapport n ° 8 à la partie 742.

Cela signifie que vous devrez peut-être envoyer un rapport annuel à BIS, mais vous n'avez pas besoin de vous inscrire et vous pouvez noter lors de la soumission de votre application qu'elle est exonérée.

Oui, selon les écrans iTunes Connect Export Compliance Information, si vous utilisez le cryptage iOS ou MacOS intégré (trousseau, https), vous utilisez le cryptage aux fins de la réglementation des exportations du gouvernement américain. Votre admissibilité à une exemption de conformité à l'exportation dépend de ce que fait votre application et de la façon dont elle utilise ce chiffrement. Les images jointes montrent les écrans de conformité des exportations iTunes Connect pour vous aider à déterminer vos obligations de déclaration d'exportation. Elle précise notamment:

Si vous utilisez ATS ou appelez HTTPS, veuillez noter que vous devez soumettre un rapport d'auto-classification de fin d'année au gouvernement américain. Apprendre encore plus

@hisnameisjimmy est correct: vous remarquerez (au moins à compter d'aujourd'hui, le 1er décembre 2016) lorsque vous allez soumettre votre application pour examen et accéder à la procédure pas à pas de conformité à l'exportation, vous remarquerez que le menu indique maintenant que HTTPS est une version exonérée de cryptage (si vous l'utilisez pour chaque appel):

J'ai trouvé cette FAQ du Bureau américain de l'industrie et de la sécurité très utile.

chiffrement

La question 15 (Qu'est-ce que la note 4?) Est le point important:

...

Des exemples d'articles qui sont exclus de la catégorie 5, partie 2 par la note 4 comprennent, mais sans s'y limiter, les éléments suivants:

Applications grand public. Quelques exemples:

prévention du piratage et du vol de logiciels ou de musique; musique, films, morceaux / musique, photos numériques - lecteurs, enregistreurs et organisateurs jeux / jeux - appareils, logiciels d'exécution, HDMI et autres interfaces de composants, outils de développement TV LCD, Blu-ray / DVD, vidéo à la demande (VoD), cinéma , enregistreurs vidéo numériques (DVR) / enregistreurs vidéo personnels (PVR) - appareils, guides multimédias en ligne, intégrité et protection du contenu commercial, HDMI et autres interfaces composantes (pas la vidéoconférence); imprimantes, copieurs, scanners, appareils photo numériques, caméras Internet - y compris les pièces et sous-ensembles utilitaires et appareils ménagers

J'ai trouvé certaines de ces réponses très utiles, mais je voulais ajouter cette URL pour être complète car elle vous guide à travers les questions:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Les instructions pour remplir les formulaires SNAP-R 2020 sont disponibles sur ce lien. Les instructions du rapport annuel d'auto-classification sont également mises à jour pour 2020.

https://stackoverflow.com/a/61431496/1217670

Les réponses simples sont Oui (l'application a un chiffrement) et Oui (l'application utilise un chiffrement exonéré). Dans ma candidature, je viens d'ouvrir le site Web de mon entreprise dans WKWebView mais comme il utilise "https", il sera considéré comme un cryptage exempté. Document Apple pour plus d'informations: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Alternativement, vous pouvez simplement ajouter la clé "ITSAppUsesNonExemptEncryption" et la valeur "NO" dans le fichier info.plist de votre application. et de cette façon, iTunes connect ne vous posera plus ces questions. Plus d'informations: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Vous pouvez suivre ces 3 étapes simples pour vérifier si votre application est exonérée ou non: https://help.apple.com/app-store-connect/#/dev63c95e436

Vous devrez peut-être soumettre cette auto-classification annuelle au gouvernement américain. Pour plus d'informations: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

Si vous n'utilisez pas explicitement une bibliothèque de chiffrement ou que vous ne lancez pas votre propre code de chiffrement, alors je pense que la réponse est «non»