Mon application “contient-elle un cryptage”?

Je télécharge un fichier binary pour la première fois. iTunes Connect m’a demandé:

Les lois sur l’exportation exigent que les produits contenant un cryptage soient dûment autorisés à l’exportation.
Le non-respect de ces conditions pourrait entraîner des sanctions sévères.
Pour obtenir plus d’informations, cliquez ici.
Votre produit contient-il un cryptage?

J’utilise https:// , mais uniquement via NSURLConnection et UIWebView .

Ma lecture de ceci est que mon application ne “contient pas de cryptage”, mais je me demande si cela est écrit quelque part. “Des sanctions sévères” ne semble pas du tout plaisant, alors “Je pense que c’est vrai” est un peu sommaire … une réponse autoritaire serait mieux.

Merci.

    [ MISE À JOUR : Utiliser HTTPS est maintenant exempté de l’ERN à la fin de septembre 2016] https://stackoverflow.com/a/40919650/4976373


    Malheureusement, je pense que votre application “contient un cryptage” en termes de BIS américain, même si vous utilisez simplement HTTPS (si votre application ne fait pas partie des exceptions de la question 2).

    Citation de la FAQ sur iTunes Connect :

    Comment puis-je savoir si je peux suivre le processus d’enregistrement et de déclaration des exportateurs (ERN)?

    Si votre application utilise , accède, implémente ou incorpore des algorithmes de cryptage conformes aux normes de l’indussortinge à des fins autres que celles répertoriées comme exemptions en vertu de la question 2, vous devez soumettre une autorisation ERN . Les exemples de cryptage standard sont: AES, SSL, https . Cette autorisation exige que vous soumettiez un rapport annuel à deux agences du gouvernement américain avec des informations sur votre application tous les mois de janvier. ”

    2ème question: Votre produit est-il admissible à des exemptions prévues dans la catégorie 5, partie 2?

    Il existe plusieurs exemptions dans les réglementations américaines sur les exportations au titre de la catégorie 5, partie 2 (réglementations relatives à la sécurité de l’information et au chiffrement) pour les applications et les logiciels utilisant, accédant, mettant en œuvre ou incorporant le chiffrement.

    Toutes les responsabilités associées à une mauvaise interprétation de la réglementation des exportations ou à une demande d’exemption inexacte sont supscopes par les propriétaires et les développeurs des applications.

    Vous pouvez répondre «OUI» à la question si vous remplissez l’un des critères suivants:

    (i) si vous déterminez que votre application n’est pas classée dans la catégorie 5, partie 2 de l’AER sur la base des instructions fournies par BIS à la question du cryptage . La déclaration d’entente sur le matériel médical du supplément n ° 3 à la partie 774 de l’AER est accessible sur le site du Code électronique des règlements fédéraux. S’il vous plaît visitez la question n ° 15 dans la section FAQ de la page de cryptage pour les exemples d’articles BIS a répertorié qui peut réclamer des exemptions Note 4.

    (ii) votre application utilise, accède, implémente ou incorpore un cryptage uniquement pour l’authentification

    (iii) votre application utilise, accède, implémente ou incorpore un cryptage avec des longueurs de clé n’excédant pas 56 bits symésortingques, 512 bits asymésortingques et / ou 112 bits elliptiques

    (iv) votre application est un produit grand public avec des longueurs de clé n’excédant pas 64 bits symésortingques ou, à défaut d’algorithmes symésortingques, n’excédant pas 768 bits de courbe asymésortingque et / ou 128 bits.

    Veuillez examiner la note 3 de la catégorie 5, partie 2, pour comprendre les critères de définition du marché de masse.

    (v) votre application est spécialement conçue et limitée pour une utilisation bancaire ou des «transactions monétaires». Le terme «transactions monétaires» comprend la collecte et le règlement des tarifs ou des fonctions de crédit.

    (vi) le code source de votre application est «accessible au public», votre application est dissortingbuée gratuitement au grand public et vous remplissez les conditions de notification prévues au 740.13. (e).

    S’il vous plaît visitez la page Web de cryptage au cas où vous avez besoin d’aide supplémentaire pour déterminer si votre application est admissible à des exemptions.

    Si vous pensez que votre application est admissible à une exemption, veuillez répondre «OUI» à la question. ”

    Il n’est pas difficile d’obtenir l’approbation de votre application de la manière appropriée. SSL (HTTPS / TLS) est toujours crypté et à moins que vous ne l’utilisiez uniquement pour l’authentification, vous devriez obtenir l’approbation appropriée. Je viens de recevoir une approbation, et mon application est maintenant dans le magasin pour quelque chose qui utilise SSL pour crypter le trafic de données (pas seulement l’authentification).

    Voici un article de blog que j’ai créé pour que les autres puissent le faire correctement.

    ressortingctions à l’exportation des pommes iTunes

    J’ai posé la même question à Apple et j’ai obtenu la réponse (d’un spécialiste en conformité des exportations Sr.): “envoyer des informations via https force les données à passer par un canal sécurisé à partir de SSL; Examen et approbation du CCATS. ” Notez que cela n’a pas d’importance qu’Apple ait déjà fait cela pour leur implémentation SSL, mais pour le gouvernement, si vous UTILISEZ un cryptage identique à celui que vous auriez codé vous-même. J’ai également mis à jour notre blog ( http://blog.theanimail.com ) depuis que Tim s’y est connecté avec des mises à jour et des détails sur le processus. J’espère que cela pourra aider.

    Si vous utilisez l’infrastructure de sécurité ou les bibliothèques CommonCrypto fournies par Apple, vous incluez crypto dans votre application et vous devez répondre par oui. Donc, simplement parce que les bibliothèques ont été fournies par Apple ne vous décrochent pas.

    En ce qui concerne la question initiale, les publications récentes sur les forums de développement Apple m’ont amené à penser que vous devez répondre par l’affirmative même si vous n’utilisez que SSL.

    À compter du 20 septembre 2016, l’inscription n’est plus requirejse pour les applications utilisant https (ou peut-être d’autres formes de chiffrement): https://www.bis.doc.gov/index.php/informationsecurity2016-updates

    En fait, sur SNAP-R, vous ne pouvez plus choisir «enregistrement par cryptage»: entrer la description de l'image ici

    Plus précisément, ils notent:

    Les enregistrements de cryptage ne sont plus nécessaires – une partie des informations de l’enregistrement est désormais disponible dans le Supp. Rapport n ° 8 à partie 742.

    Cela signifie que vous devrez peut-être envoyer un rapport annuel au BIS, mais vous n’avez pas besoin de vous inscrire et vous pouvez noter que lorsque vous soumettez votre application, elle est exemptée.

    Tout cela peut être très déroutant pour un développeur d’applications qui utilise simplement TLS pour se connecter à ses propres serveurs Web. Parce que l’ATS (App Transport Security) devient de plus en plus important et que nous sums encouragés à tout convertir en https, je pense que davantage de développeurs vont rencontrer ce problème.

    Mon application échange simplement des données entre notre serveur et l’utilisateur en utilisant le protocole https. Voir les mots “UTILISATION DU CHIFFREMENT” dans les avertissements est un peu effrayant, alors j’ai donné un appel au bureau du gouvernement américain dans leur bureau et j’ai parlé à un représentant du Bureau de l’indussortinge et de la sécurité (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

    Le représentant m’a interrogé sur mon application et depuis qu’il a passé le “test de la fonction principale” en ce sens qu’il n’a rien à voir avec la sécurité / communications et utilise simplement https comme canal pour connecter mes données client à nos serveurs – il est tombé dans la catégorie EAR99 ce qui signifie qu’il est exempt de la permission du gouvernement (voir https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

    J’espère que cela aide les autres développeurs d’applications.

    Réponse courte: Oui, mais vous n’avez rien à faire

    Je cherchais sur le Web pour cela pendant quelques heures. En fait, c’est assez facile et vous pouvez vérifier que dans itunes connect:

    1. Tout ce que vous avez à faire

    Si votre application utilise uniquement le protocole HTTPS ou utilise le cryptage uniquement pour l’authentification, les jetons, etc., vous n’avez rien à faire, il vous suffit d’inclure

     ITSAppUsesNonExemptEncryption 

    dans votre Info.plist et vous avez terminé .

    2. vérification

    Vous pouvez vérifier cela dans iTunes Connect.

    • sélectionnez votre application
    • choisir des caractéristiques
    • a choisi le cryptage
    • cliquez sur “+”
    • suivez le dialog
    • pour https ou authentification, la réponse est oui et oui

    Dans tous les cas, vous devez bien entendu vous lire attentivement dans le dialog.


    Un article très utile peut être trouvé ici:

    https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

    @hisnameisjimmy a raison: vous remarquerez (au moins à compter du 1er décembre 2016) lorsque vous allez soumettre votre application pour examen et accéder à la procédure de conformité aux exportations, vous remarquerez que le menu indique maintenant que HTTPS est une version exemptée de cryptage (si vous l’utilisez pour chaque appel):

    entrer la description de l'image ici

    entrer la description de l'image ici

    Oui, selon les écrans Informations sur la conformité des exportations d’iTunes Connect, si vous utilisez le cryptage iOS ou MacOS intégré (trousseau, https), vous utilisez le cryptage aux fins des réglementations américaines sur l’exportation. Que vous soyez éligible à une exemption de conformité à l’exportation dépend de ce que fait votre application et de la manière dont elle utilise ce cryptage. Les images jointes montrent les écrans de conformité à l’exportation iTunes Connect pour vous aider à déterminer vos obligations en matière de rapports d’exportation. En particulier, il est écrit:

    Si vous utilisez ATS ou appelez HTTPS, notez que vous devez soumettre un rapport d’auto-classification de fin d’année au gouvernement des États-Unis. Apprendre encore plus

    Informations sur la conformité des exportations iTunes Connect Q1

    Informations sur la conformité des exportations iTunes Connect Q2

    J’ai trouvé cette FAQ du Bureau of Industry and Security des États-Unis très utile.

    cryptage

    La question 15 (qu’est-ce que la note 4?) Est le point important:

    Les exemples d’éléments exclus de la catégorie 5, partie 2 par la note 4 incluent, mais sans s’y limiter, les suivants:

    Applications grand public Quelques exemples:

    prévention du piratage et du vol de logiciels ou de musique; musique, films, airs / musique, photos numériques – lecteurs, enregistreurs et jeux d’organisateurs / jeux – appareils, logiciels d’exécution, interfaces HDMI et autres composants, outils de développement TV LCD, Blu-ray / DVD, vidéo à la demande, cinéma enregistreurs vidéo numériques (DVR) / enregistreurs vidéo personnels (PVR) – dispositifs, guides de médias en ligne, intégrité et protection du contenu commercial, interfaces HDMI et autres composants (pas de vidéoconférence); imprimantes, photocopieurs, scanneurs, appareils photo numériques, caméras Internet – y compris pièces et sous-ensembles utilitaires et appareils ménagers

    Nous avons trouvé certaines de ces réponses très utiles, mais nous voulions append cette URL pour être complète, car elle vous guide à travers les questions suivantes:

    https://itunespartner.apple.com/fr/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

    Si vous n’utilisez pas explicitement une bibliothèque de chiffrement ou si vous ne lancez pas votre propre code de chiffrement, alors je pense que la réponse est “non”