iphone - ¿Mi aplicación “contiene cifrado”?
encryption app-store (12)
@hisnameisjimmy es correcto: se dará cuenta (al menos a partir de hoy, 1 de diciembre de 2016) cuando envíe su aplicación para su revisión y llegue al tutorial de cumplimiento de las normas de exportación, notará que el menú ahora indica que HTTPS es una versión exenta de cifrado (si lo usa para cada llamada):
Estoy subiendo un binario por primera vez. iTunes Connect me ha preguntado:
Las leyes de exportación requieren que los productos que contienen encriptación estén debidamente autorizados para la exportación.
El incumplimiento de las normas podría dar lugar a sanciones severas.
Para más información, haga clic aquí.
¿Su producto contiene cifrado?
Uso https://
, pero solo a través de NSURLConnection
y UIWebView
.
Mi lectura de esto es que mi aplicación no "contiene cifrado", pero me pregunto si esto se explica en alguna parte. Las "penalizaciones severas" no suenan nada agradables, por lo que "creo que eso es correcto" es un tanto vago ... una respuesta autorizada sería mejor.
Gracias.
A partir del 20 de septiembre de 2016, ya no es necesario registrarse para las aplicaciones que utilizan https (o quizás otras formas de cifrado): https://www.bis.doc.gov/index.php/informationsecurity2016-updates
De hecho, en SNAP-R ya no puede elegir ''registro de cifrado'':
En concreto, señalan:
Ya no se requieren registros de encriptación: parte de la información del registro ahora se envía al Supp. No. 8 al informe de la parte 742.
Esto significa que es posible que deba enviar un informe anual a BIS, pero no es necesario que se registre y, al enviar su aplicación, tenga en cuenta que está exento.
Encontré estas preguntas frecuentes de la Oficina de Industria y Seguridad de los Estados Unidos muy útiles.
La pregunta 15 (¿Qué es la Nota 4?) Es el punto importante:
...
Los ejemplos de artículos que están excluidos de la Categoría 5, Parte 2 por la Nota 4 incluyen, entre otros, los siguientes:
Aplicaciones de consumo. Algunos ejemplos:
piratería y prevención de robos de software o música; música, películas, melodías / música, fotos digitales: reproductores, grabadores y organizadores juegos / juegos - dispositivos, software de tiempo de ejecución, HDMI y otras interfaces de componentes, herramientas de desarrollo TV LCD, Blu-ray / DVD, video a pedido (VoD), cine , grabadoras de video digital (DVR) / grabadoras de video personal (PVR): dispositivos, guías de medios en línea, protección e integridad de contenido comercial, HDMI y otras interfaces de componentes (no videoconferencia); impresoras, copiadoras, escáneres, cámaras digitales, cámaras de Internet, incluidas piezas y subconjuntos de servicios públicos y electrodomésticos
Encontró algunas de estas respuestas muy útiles, pero quería agregar esta URL para completarla, ya que le guía a través de las preguntas:
https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148
Le hice la misma pregunta a Apple y obtuve la respuesta (de un Especialista en Cumplimiento de Exportaciones): "el envío de información a través de https obliga a los datos a pasar a través de un canal seguro de SSL, por lo tanto, está bajo el requisito del Gobierno de EE. UU. Revisión y aprobación de CCATS ". Tenga en cuenta que no importa que Apple ya haya hecho esto para su implementación SSL, sino para el gobierno, si UTILIZA un cifrado que sea el mismo (para ellos) como lo habría codificado usted mismo. También actualicé nuestro blog ( http://blog.theanimail.com ) ya que Tim lo vinculó con actualizaciones y detalles sobre el proceso. Espero que ayude.
No es difícil obtener la aprobación de tu aplicación de la manera correcta. SSL (HTTPS / TLS) sigue siendo cifrado y, a menos que lo use solo para la autenticación, debe obtener la aprobación adecuada. Acabo de recibir la aprobación, y mi aplicación ahora está en la tienda por algo que usa SSL para cifrar el tráfico de datos (no solo la autenticación).
Aquí hay una entrada de blog que hice para que otros puedan hacer esto correctamente.
Sí, de acuerdo con las pantallas de Información de conformidad de exportación de iTunes Connect, si utiliza el cifrado iOS o MacOS incorporado (llavero, https), está utilizando el cifrado para los fines de las regulaciones de exportación del gobierno de los EE. UU. Si califica para una exención de cumplimiento de exportación depende de lo que haga su aplicación y de cómo use este cifrado. Las imágenes adjuntas muestran las pantallas de conformidad de exportación de iTunes Connect para ayudarlo a determinar sus obligaciones de informes de exportación. En particular, establece:
Si utiliza ATS o realiza una llamada a HTTPS, tenga en cuenta que debe presentar un informe de autoclasificación de fin de año al gobierno de EE. UU. Aprende más
Si no está utilizando explícitamente una biblioteca de cifrado, o si está utilizando su propio código de cifrado, creo que la respuesta es "no".
Si utiliza el marco de seguridad o las bibliotecas CommonCrypto proporcionadas por Apple, sí incluye crypto en su aplicación y tiene que responder que sí, así que simplemente porque las bibliotecas fueron proporcionadas por Apple no lo descolgará.
Con respecto a la pregunta original, las publicaciones recientes en los foros de desarrollo de Apple me llevan a creer que debe responder sí, aunque todo lo que use sea SSL.
Todo esto puede ser muy confuso para un desarrollador de aplicaciones que simplemente está utilizando TLS para conectarse a sus propios servidores web. Debido a que ATS (App Transport Security) es cada vez más importante y se nos recomienda convertir todo a https. Creo que más desarrolladores se encontrarán con este problema.
Mi aplicación simplemente intercambia datos entre nuestro servidor y el usuario mediante el protocolo https. Al ver las palabras "USES ENCRYPTION" en las renuncias de responsabilidad me asusta un poco, así que llamé a la oficina del gobierno de EE. UU. Desde su oficina y hablé con un representante de la Oficina de Industria y Seguridad (BIS) http://www.bis.doc.gov/index.php/about-bis/contact-bis .
El representante me preguntó acerca de mi aplicación y, dado que pasó la "prueba de función principal", no tenía nada que ver con la seguridad / comunicaciones y simplemente usa https como un canal para conectar los datos de mis clientes a nuestros servidores; se incluyó en la categoría EAR99 lo que significa que está exento de obtener el permiso del gobierno (consulte https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )
Espero que esto ayude a otros desarrolladores de aplicaciones.
[ ACTUALIZACIÓN : el uso de HTTPS ahora está exento de ERN a partir de finales de septiembre de 2016] https://.com/a/40919650/4976373
Desafortunadamente, creo que su aplicación "contiene cifrado" en términos de BIS de EE. UU. Incluso si solo usa HTTPS (si su aplicación no es una excepción incluida en la pregunta 2).
Cita de FAQ en iTunes Connect :
" ¿Cómo puedo saber si puedo seguir el proceso de registro e informe de exportadores (ERN)?
Si su aplicación utiliza , accede, implementa o incorpora algoritmos de cifrado estándar de la industria para fines distintos a los enumerados como exenciones en la pregunta 2, debe enviar una autorización de ERN . Ejemplos de cifrado estándar son: AES, SSL, https . Esta autorización requiere que envíe un informe anual a dos agencias del Gobierno de los EE. UU. Con información sobre su aplicación cada mes de enero. "
" Segunda pregunta: ¿Califica su producto para alguna exención provista en la categoría 5, parte 2?
Hay varias exenciones disponibles en las regulaciones de exportación de los EE. UU. En la Categoría 5 Parte 2 (Regulaciones de seguridad de la información y cifrado) para aplicaciones y software que utilizan, acceden, implementan o incorporan el cifrado.
Todas las responsabilidades asociadas con la mala interpretación de las regulaciones de exportación o la exención de la reclamación de forma incorrecta están a cargo de los propietarios y desarrolladores de las aplicaciones.
Puede responder "SÍ" a la pregunta si cumple con alguno de los siguientes criterios:
(i) si determina que su aplicación no está clasificada en la Categoría 5, Parte 2 del EAR, de acuerdo con la guía proporcionada por BIS en la pregunta de cifrado . Se puede acceder a la Declaración de Entendimiento para equipos médicos en el Suplemento No. 3 de la Parte 774 de EAR en el sitio del Código Electrónico de Regulaciones Federales. Visite la Pregunta # 15 en la sección de Preguntas Frecuentes de la página de cifrado para obtener ejemplos de los artículos que BIS ha enumerado y que pueden reclamar exenciones de la Nota 4
(ii) su aplicación utiliza, accede, implementa o incorpora cifrado solo para autenticación
(iii) su aplicación utiliza, accede, implementa o incorpora cifrado con longitudes de clave que no superan los 56 bits simétricos, 512 bits asimétricos y / o curva elíptica de 112 bits
(iv) su aplicación es un producto de mercado masivo con longitudes de clave que no superan los 64 bits simétricos, o si no hay algoritmos simétricos, que no excedan los 768 bits de curva elíptica asimétrica y / o de 128 bits.
Revise la Nota 3 en la Categoría 5, Parte 2 para comprender los criterios para la definición del mercado masivo.
(v) su aplicación está especialmente diseñada y limitada para uso bancario o "transacciones de dinero". El término ''transacciones de dinero'' incluye el cobro y liquidación de tarifas o funciones de crédito.
(vi) el código fuente de su aplicación está "disponible para el público", su aplicación se distribuye de forma gratuita para el público en general y cumple con los requisitos de notificación provistos en 740.13. (e).
Visite la página web de cifrado en caso de que necesite más ayuda para determinar si su aplicación califica para alguna exención.
Si cree que su aplicación califica para una exención, responda "SÍ" a la pregunta ".
Respuesta corta: sí, pero no tienes que hacer nada.
Estuve buscando en la web por algunas horas. En realidad es bastante fácil y puedes verificar esto en iTunes Connect:
1. Todo lo que tienes que hacer.
Si su aplicación usa solo HTTPS o usa cifrado solo para autenticación, tokens, etc., no hay nada que tenga que hacer, solo incluya
<key>ITSAppUsesNonExemptEncryption</key><false/>
En su Info.plist y ya está.
2. Verificación
Puedes verificar esto en itunes connect.
- selecciona tu aplicación
- eligió características
- eligió el cifrado
- haga clic en "+"
- sigue el dialogo
- Para https o autenticación, la respuesta es sí y sí.
En cualquier caso, por supuesto, debes leerte cuidadosamente a través del diálogo.
Un artículo muy útil se puede encontrar aquí:
https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/