ios encryption appstore-approval

CCATS en iOS AppStore y encriptación



encryption appstore-approval (2)

Esta será una pregunta larga ... En realidad, un conjunto de preguntas relacionadas ... Quiero hacer una aplicación para iOS, que se venderá en la App Store de Apple, (obviamente). Mi aplicación almacenará algunos datos confidenciales del usuario en el directorio de documentos. Por razones de seguridad, pensé en un sistema criptográfico que aseguraría esos datos. Aquí comienza la diversión ... Ese mecanismo de seguridad de datos será prácticamente irrompible. Usaré AES-128/256, TwoFish 128/256 y Serpent 128/256. El usuario puede seleccionar qué usar donde ... Puedo estar usando doble cifrado, los datos se cifran una vez con AES y luego con Serpent, o cualquier combinación de miles.

Obviamente, necesito verificar el botón "usa cifrado" en la tienda de aplicaciones. El problema es:

1) ¿Qué certificación necesito CCATS o solo ERN?

Desde :

http://tigelane.blogspot.ro/2011/01/apple-itunes-export-restrictions-on.html

  1. Ve a este enlace y usa sus instrucciones. Este es un excelente post: http://zetetic.net/blog/2009/08/03/mass-market-encryption-commodity-classification-for-iphone-applications-in-8-easy-steps/
  2. Haz los pasos 1 y 2 para todos los casos. Si creaste tu propio mecanismo de encriptación, sigue la publicación completa. Si usó SSL u otro cifrado de dominio público, puede detenerse después de tener su cuenta SNAP-R.

Aparentemente necesito hacer todo el proceso de certificación ... Definitivamente hice mi propio mecanismo.

2) ¿Se puede hacer el CCATS completo al 100% en línea?

En ese post de "8 pasos sencillos", decía que debía enviar algunos documentos por correo postal. Luego, más tarde, un usuario dijo que ya no es necesario. Nota: esas publicaciones del blog parecen antiguas (2 años).

Excelente descripcion! FYI: El proceso para obtener un CIN / PIN para SNAP-R ahora es completamente electrónico

Otro usuario dijo:

Es posible que desee considerar la actualización de su publicación. Un consejero de BIS me acaba de decir que ya no es necesario enviar por correo las copias impresas de su formulario de solicitud y la documentación de respaldo. Puede ser algo trivial para algunos, pero perder $ 80 en envíos internacionales es de $ 80 por el desagüe.

Espero no tener que enviar todos los documentos por correo, ya que tomará un tiempo llegar a los EE. UU. Desde la UE.

¿Alguien en la UE ha usado el proceso ERN / CCATS recientemente?

3) También vi que te piden un número de fax ... No tengo un fax. ¿Es eso un gran problema?

Si es realmente necesario, ¿estaría bien un servicio de fax en línea?

4) ¿Necesito explicar todo el mecanismo de cifrado en detalle? ¿O simplemente los algoritmos? ¿Puedo ser rechazado por tener un "demasiado bueno para el criptosistema de encriptación de mercado masivo"?

Sobre todo, ¿necesito explicar o declarar que algunos datos se cifrarán dos veces? ¿O es "la explicación de los datos cifrados en el disco" una explicación lo suficientemente buena?

5) Estaré usando algunos algoritmos de extensión de contraseña y hash (HMAC, con SHA-2, quizás SHA-3) ... ¿necesito reportar miles también?


Creo que debería pedirle a un asesor de exportaciones que esté asegurado que le brinde asesoría legal, ya que lo que está pidiendo realmente en algunas de sus preguntas es una asesoría legal sólida.

Hay una serie de consejeros de exportación listados en bis.doc.gov .

También en bis.doc.gov hay una extensa lista de preguntas frecuentes que cubre algunas de sus preguntas (enlaces a continuación).

Espero que te apunte en la dirección correcta.


La respuesta de StormCloud es genial. Llamé a BIS y hablé con un representante durante una hora que cubría un montón de detalles teóricos. También aprendí (el representante dijo que el representante no debería decirme esto) que están molestos con las personas que solo llaman en lugar de tratar de averiguar el proceso primero. Entonces, quería compartir lo que encontré como resultado de llamar a BIS al 24/9/2013.

Referencias de documentos:

Todos los documentos pertinentes se enumeran en esta página . Los enlaces a los documentos se enumeran a la izquierda y al centro de esta página web en un grupo titulado "Enlaces cifrados".

Qué hacer con ellos:

En el documento "Suplemento 1 a la parte 774, categoría 5, parte ii", consulte la "Nota 4" para determinar si todas las funciones principales de su aplicación están exentas de la categoría 5, sección 2. El idioma es confuso. Hay al menos un doble negativo allí. En caso de duda, simplemente clasifíquelo como un producto de mercado masivo.

El representante me instó a considerar no solo si las funciones principales están exentas por el uso previsto, sino si estarían exentas si los usuarios usaran la aplicación de otra manera. Nuevamente, en caso de duda, clasifíquese como un producto de mercado masivo.

Si elige clasificarlo como un producto de mercado masivo, deberá consultar tres documentos. Consulte 740.17 para determinar si su software debe clasificarse como B1, B2 o B3. Los tipos B2x definitivamente deben ser clasificados como un producto de mercado masivo. No aclaré si los tipos B1 o B2 deben clasificarse como productos de mercado masivo.
El suplemento 5 se refiere a la clasificación de tipos Bx. Copiará este documento y completará la información relevante, que a su vez enviará con su elemento de trabajo SNAP-R.
Además, consulte el Suplemento 8 según los informes que debe presentar en enero.

Nuestra conclusión para nuestra aplicación:

Nuestra aplicación particular no está (todavía) categorizada en la categoría 5, parte 2. Lo que esto significa es que puedo elegir "autoclasificar" nuestra aplicación como EAR99 en lugar de ECCN 5D992 (mercado masivo) o 5D002 (no mercado masivo). Esto también significa que no necesito crear un elemento de exportación en un elemento de trabajo SNAP-R. :)

Este es el correo electrónico completo que recibí del representante de BIS para guiarme a través de la clasificación del software como un producto de mercado masivo:

Se debe obtener un número de registro de encriptación (ERN) antes de exportar. Un ERN es algo que se obtiene una vez y se usa para siempre o hasta que la información que proporciona cambia. Obtener un ERN lleva solo unos minutos de trabajo. Recibirá el ERN aproximadamente una hora después de enviar la solicitud. Después de eso, inclúyalo siempre en el bloque de información adicional de cualquier solicitud de clasificación y utilícelo en la línea de asunto de sus informes del Suplemento 8 a la Parte 742.

Si no puede enviar la solicitud de un ERN de inmediato y entiende que no está autorizado para exportar hasta que lo haga, responda indicando lo mismo y emitiré la clasificación con el idioma requerido por el ERN. Prefiero que siga adelante y solicite un Número de registro de encriptación (ERN) y responda a esta solicitud con su ERN. Pondré su ERN en el bloque de información adicional y emitiré el CCATS sin referencia al ERN.

En el futuro, incluya siempre su ERN en el bloque de información adicional según lo exigen los reglamentos para la clasificación de los artículos descritos en las Secciones 740.17 (b) (2) o (b) (3) y 742.15 (b) (3) del OREJA. Incluso los artículos autorizados por 740.17 (b) (1) o 742.15 (b) (1) requieren un registro de cifrado antes de la exportación. Por lo tanto, generalmente tiene sentido obtener y proporcionar el ERN en el bloque de información adicional antes de realizar una solicitud de clasificación incluso para las solicitudes "B1".

COMO OBTENER UN ERN:

En el sitio web principal de BIS www.bis.doc.gov, haga clic en la palabra "Cifrado" en el menú desplegable de Orientación de políticas. Esto abre la página web principal de cifrado. Hay dos cuadros azules en la primera columna en el lado izquierdo de la página; sin embargo, es posible que tenga que desplazarse hacia abajo para encontrar el segundo cuadro azul. El segundo cuadro azul dice "Enlaces de cifrado" y es un conjunto de importantes regulaciones de cifrado que incluyen Supp. 5 a la Parte 742. Elija el reglamento "Suplemento No. 5 a la Parte 742." Copie las preguntas del Suplemento 5 en un documento de procesamiento de textos. Responde las preguntas y PDF tu respuesta. Abra SNAP-R y seleccione "Crear elemento de trabajo". En la lista de tipos de elementos de trabajo, seleccione "Registro de cifrado". Adjunte el .pdf que acaba de crear y envíe. Dentro de una hora, la computadora debe responder con su ERN "Un número que comienza con ''R''" Indíqueme ese número y coloque en el Bloque 24 "información adicional" sobre todos los futuros elementos de trabajo de cifrado CCATS.

TMI ... lo sé. ¿Alguien ha leído hasta aquí?