Apakah aplikasi saya "mengandung enkripsi"?

Saya mengunggah biner untuk pertama kalinya. iTunes Connect telah bertanya kepada saya:

Undang-undang ekspor mengharuskan produk yang mengandung enkripsi diotorisasi dengan benar untuk ekspor.
Kegagalan untuk mematuhi dapat menyebabkan hukuman berat.
Untuk informasi lebih lanjut, klik di sini.
Apakah produk Anda mengandung enkripsi?

Saya menggunakan https://, tetapi hanya melalui NSURLConnectiondan UIWebView.

Bacaan saya tentang ini adalah bahwa aplikasi saya tidak "mengandung enkripsi," tapi saya bertanya-tanya apakah ini dijabarkan di mana saja. "Hukuman berat" sama sekali tidak terdengar menyenangkan, jadi "Saya pikir itu benar" agak samar ... jawaban yang berwibawa akan lebih baik.

Terima kasih.

[ PEMBARUAN : Menggunakan HTTPS sekarang dibebaskan dari ERN pada akhir September 2016] https://stackoverflow.com/a/40919650/4976373

Sayangnya, saya percaya bahwa aplikasi Anda "berisi enkripsi" dalam hal BIS AS bahkan jika Anda hanya menggunakan HTTPS (jika aplikasi Anda bukan pengecualian termasuk dalam pertanyaan 2).

Kutipan dari FAQ di iTunes Connect :

" Bagaimana saya tahu jika saya bisa mengikuti proses Registrasi dan Pelaporan Eksportir (ERN)?

Jika aplikasi Anda menggunakan , mengakses, mengimplementasikan atau menggabungkan algoritma enkripsi standar industri untuk tujuan selain yang terdaftar sebagai pengecualian di pertanyaan 2, Anda perlu mengajukan untuk otorisasi ERN . Contoh enkripsi standar adalah: AES, SSL, https . Otorisasi ini mengharuskan Anda mengirimkan laporan tahunan ke dua lembaga Pemerintah AS dengan informasi tentang aplikasi Anda setiap Januari. "

" Pertanyaan ke-2: Apakah produk Anda memenuhi syarat untuk pengecualian yang disediakan di bawah kategori 5 bagian 2?

Ada beberapa pengecualian yang tersedia dalam peraturan ekspor AS di bawah Kategori 5 Bagian 2 (Keamanan Informasi & peraturan Enkripsi) untuk aplikasi dan perangkat lunak yang menggunakan, mengakses, mengimplementasikan atau memasukkan enkripsi.

Semua kewajiban yang terkait dengan salah tafsir peraturan ekspor atau mengklaim pembebasan secara tidak akurat ditanggung oleh pemilik dan pengembang aplikasi.

Anda dapat menjawab "YA" untuk pertanyaan jika Anda memenuhi salah satu kriteria berikut:

(i) jika Anda menentukan bahwa aplikasi Anda tidak diklasifikasikan dalam Kategori 5, Bagian 2 dari EAR berdasarkan panduan yang diberikan oleh BIS pada pertanyaan enkripsi . Pernyataan Pengertian untuk peralatan medis dalam Tambahan No. 3 pada Bagian 774 dari EAR dapat diakses di Kode Elektronik situs Peraturan Federal. Silakan kunjungi Pertanyaan # 15 di bagian FAQ halaman enkripsi untuk item-item sampel yang telah terdaftar di BIS yang dapat mengklaim pengecualian Note 4.

(ii) aplikasi Anda menggunakan, mengakses, mengimplementasikan atau menggabungkan enkripsi untuk otentikasi saja

(iii) aplikasi Anda menggunakan, mengakses, mengimplementasikan atau menggabungkan enkripsi dengan panjang kunci tidak melebihi 56 bit simetris, 512 bit asimetris dan / atau 112 bit kurva elips

(iv) aplikasi Anda adalah produk pasar massal dengan panjang kunci tidak melebihi 64 bit simetris, atau jika tidak ada algoritma simetris, tidak melebihi 768 bit asimetris dan / atau 128 bit kurva elips.

Harap tinjau Catatan 3 di Kategori 5 Bagian 2 untuk memahami kriteria definisi pasar massal.

(v) aplikasi Anda dirancang khusus dan terbatas untuk penggunaan perbankan atau 'transaksi uang.' Istilah 'transaksi uang' meliputi pengumpulan dan penyelesaian tarif atau fungsi kredit.

(vi) kode sumber aplikasi Anda adalah "tersedia untuk umum", aplikasi Anda didistribusikan secara gratis kepada masyarakat umum, dan Anda telah memenuhi persyaratan pemberitahuan yang disediakan di bawah 740.13. (e).

Silakan kunjungi halaman web enkripsi jika Anda membutuhkan bantuan lebih lanjut dalam menentukan apakah aplikasi Anda memenuhi syarat untuk pengecualian.

Jika Anda yakin aplikasi Anda memenuhi syarat untuk pengecualian, harap jawab "YA" untuk pertanyaan itu. "

Tidak sulit untuk mendapatkan persetujuan untuk aplikasi Anda dengan cara yang benar. SSL (HTTPS / TLS) masih enkripsi dan kecuali Anda menggunakannya hanya untuk otentikasi, maka Anda harus mendapatkan persetujuan yang tepat. Saya baru saja menerima persetujuan, dan aplikasi saya ada di toko sekarang untuk sesuatu yang menggunakan SSL untuk mengenkripsi lalu lintas data (bukan hanya otentikasi).

Ini adalah entri blog yang saya buat sehingga orang lain dapat melakukan ini dengan cara yang tepat.

pembatasan ekspor itunes apel

Saya bertanya kepada Apple pertanyaan yang sama dan mendapatkan jawabannya (dari Sr. Export Compliance Specialist), bahwa "mengirim informasi melalui https memaksa data untuk pergi melalui saluran aman dari SSL, oleh karena itu itu jatuh di bawah persyaratan Pemerintah AS untuk suatu Ulasan dan persetujuan CCATS. " Perhatikan bahwa tidak masalah bahwa Apple telah melakukan ini untuk implementasi SSL mereka, tetapi untuk pemerintah, jika Anda MENGGUNAKAN enkripsi yang sama (untuk mereka) seperti yang Anda lakukan, Anda harus mengkodekannya sendiri. Saya juga memperbarui blog kami ( http://blog.theanimail.com ) karena Tim menautkannya dengan pembaruan dan detail pada prosesnya. Semoga itu bisa membantu.

Jika Anda menggunakan kerangka Keamanan atau pustaka CommonCrypto yang disediakan oleh Apple, Anda menyertakan crypto di Aplikasi Anda dan Anda harus menjawab ya - jadi hanya karena pustaka yang disediakan oleh Apple tidak membuat Anda lolos.

Berkenaan dengan pertanyaan awal, posting terbaru di Forum Pengembangan Apple membuat saya percaya bahwa Anda perlu menjawab ya bahkan jika semua yang Anda gunakan adalah SSL.

Jawaban singkat: Ya, tetapi Anda tidak perlu melakukan apa pun

Saya mencari di web ini selama beberapa jam. Sebenarnya ini sangat mudah dan Anda dapat memverifikasi ini di itunes connect:

1. Yang harus Anda lakukan

Jika aplikasi Anda hanya menggunakan HTTPS atau hanya menggunakan enkripsi untuk otentikasi, token, dll., Tidak ada yang harus Anda lakukan, cukup sertakan

<key>ITSAppUsesNonExemptEncryption</key><false/>

di Info.plist Anda dan Anda selesai .

2. Verifikasi

Anda dapat memverifikasi ini di iTunes terhubung.

• pilih aplikasi Anda
• memilih fitur
• memilih enkripsi
• klik "+"
• ikuti dialognya
• untuk https atau otentikasi jawabannya adalah ya dan ya

Bagaimanapun Anda harus membaca sendiri dengan cermat melalui dialog.

Artikel yang sangat membantu dapat ditemukan di sini:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

Semua ini bisa sangat membingungkan bagi pengembang aplikasi yang hanya menggunakan TLS untuk terhubung ke server web mereka sendiri. Karena ATS (App Transport Security) menjadi lebih penting dan kami didorong untuk mengubah segalanya menjadi https - Saya pikir lebih banyak pengembang akan menghadapi masalah ini.

Aplikasi saya hanya bertukar data antara server kami dan pengguna menggunakan protokol https. Melihat kata-kata "GUNAKAN ENKRIPSI" di disclaimer agak menakutkan sehingga saya menelepon kantor pemerintah AS di kantor mereka dan berbicara dengan perwakilan dari Biro Industri dan Keamanan (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Perwakilan itu bertanya kepada saya tentang aplikasi saya dan karena itu lulus "tes fungsi utama" karena tidak ada hubungannya dengan keamanan / komunikasi dan hanya menggunakan https sebagai saluran untuk menghubungkan data pelanggan saya ke server kami - itu jatuh dalam kategori EAR99 yang berarti dibebaskan dari izin pemerintah (lihat https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

Saya harap ini membantu pengembang aplikasi lain.

Pada tanggal 20 September 2016, mendaftar tidak lagi diperlukan untuk aplikasi yang menggunakan https (atau mungkin bentuk enkripsi lain): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationecurity2016-pembaruan

Bahkan, di SNAP-R Anda tidak dapat lagi memilih 'pendaftaran enkripsi':

Secara khusus, mereka mencatat:

Pendaftaran Enkripsi tidak lagi diperlukan - beberapa informasi dari pendaftaran sekarang masuk ke Supp. No. 8 hingga Bagian 742 laporan.

Ini berarti Anda mungkin perlu mengirim laporan tahunan ke BIS, tetapi Anda tidak perlu mendaftar dan Anda dapat mencatat ketika mengirimkan aplikasi Anda bahwa itu dikecualikan.

Ya, menurut layar Informasi Kepatuhan Ekspor iTunes Connect, jika Anda menggunakan enkripsi iOS atau MacOS bawaan (gantungan kunci, https), Anda menggunakan enkripsi untuk keperluan peraturan Ekspor Pemerintah AS. Apakah Anda memenuhi syarat untuk pengecualian kepatuhan ekspor tergantung pada apa yang dilakukan aplikasi Anda dan bagaimana ia menggunakan enkripsi ini. Gambar terlampir menunjukkan Layar Kepatuhan Ekspor iTunes Connect untuk membantu Anda menentukan kewajiban pelaporan ekspor Anda. Secara khusus, ini menyatakan:

Jika Anda menggunakan ATS atau menelepon HTTPS, harap perhatikan bahwa Anda diharuskan menyerahkan laporan klasifikasi diri akhir tahun kepada pemerintah AS. Belajarlah lagi

@hisnameisjimmy benar: Anda akan melihat (setidaknya pada hari ini, 1 Desember 2016) ketika Anda pergi untuk mengirimkan aplikasi Anda untuk ditinjau dan mencapai walkthrough Kepatuhan Ekspor, Anda akan melihat menu sekarang menyatakan bahwa HTTPS adalah versi bebas dari enkripsi (jika Anda menggunakannya untuk setiap panggilan):

Saya menemukan FAQ ini dari Biro Industri dan Keamanan AS sangat membantu.

enkripsi

Pertanyaan 15 (Apa Catatan 4?) Adalah poin penting:

...

Contoh item yang dikecualikan dari Kategori 5, Bagian 2 dengan Catatan 4 termasuk, tetapi tidak terbatas pada, hal-hal berikut:

Aplikasi konsumen. Beberapa contoh:

pembajakan dan pencegahan pencurian untuk perangkat lunak atau musik; musik, film, lagu / musik, foto digital - pemain, perekam dan pengatur permainan / game - perangkat, perangkat lunak runtime, HDMI dan antarmuka komponen lainnya, alat pengembangan TV LCD, Blu-ray / DVD, video sesuai permintaan (VoD), bioskop , perekam video digital (DVR) / perekam video pribadi (PVR) - perangkat, panduan media online, integritas dan perlindungan konten komersial, HDMI dan antarmuka komponen lainnya (bukan konferensi video); printer, mesin fotokopi, pemindai, kamera digital, kamera Internet - termasuk bagian dan sub-rakitan utilitas dan peralatan rumah tangga

Menemukan beberapa jawaban ini sangat berguna, tetapi ingin menambahkan URL ini untuk kelengkapan karena menuntun Anda melalui pertanyaan:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

Instruksi untuk mengisi formulir SNAP-R 2020 dapat ditemukan di tautan ini. Instruksi Laporan Klasifikasi Diri Tahunan juga diperbarui untuk tahun 2020.

https://stackoverflow.com/a/61431496/1217670

Jawaban sederhana adalah Ya (Aplikasi memiliki enkripsi) dan Ya (Aplikasi menggunakan enkripsi Dikecualikan). Dalam aplikasi saya, saya hanya membuka situs web perusahaan saya di WKWebView tetapi karena menggunakan "https", itu akan dianggap sebagai enkripsi yang dikecualikan. Dokumen Apple untuk info lebih lanjut: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Atau, Anda bisa menambahkan kunci "ITSAppUsesNonExemptEncryption" dan nilai "NO" di file info.plist aplikasi Anda. dan dengan cara ini iTunes connect tidak akan menanyakan pertanyaan itu lagi kepada Anda. Info lebih lanjut: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Anda dapat mengikuti 3 langkah sederhana ini untuk memverifikasi apakah aplikasi Anda dikecualikan atau tidak: https://help.apple.com/app-store-connect/#/dev63c95e436

Anda mungkin perlu menyerahkan klasifikasi-diri tahunan ini kepada pemerintah AS. Untuk info lebih lanjut: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

Jika Anda tidak secara eksplisit menggunakan perpustakaan enkripsi, atau menggulirkan kode enkripsi Anda sendiri, maka saya pikir jawabannya adalah "tidak"