Mon application «contient-elle un cryptage»?


373

Je télécharge un binaire pour la première fois. iTunes Connect m'a demandé:

Les lois sur l'exportation exigent que les produits contenant un cryptage soient correctement autorisés pour l'exportation.
Le non-respect de ces dispositions pourrait entraîner des sanctions sévères.
Pour obtenir plus d'informations, cliquez ici.
Votre produit contient-il un cryptage?

J'utilise https://, mais uniquement via NSURLConnectionet UIWebView.

Ma lecture de ceci est que mon application ne "contient pas de cryptage", mais je me demande si cela est précisé quelque part. "Des sanctions sévères" ne semblent pas du tout agréables, donc "je pense que c'est vrai" est un peu sommaire ... une réponse faisant autorité serait mieux.

Merci.


Si votre application ne fait que des appels vers HTTPS, aucune documentation n'est requise dans App Store Connect. Mais vous devez soumettre un rapport d'auto-classification directement au Bureau américain de l'industrie et de la sécurité (BIS). Voir le bon résumé d'Apple: Exporter la documentation de conformité pour le chiffrement
vvkatwss vvkatwss

Quelqu'un sait-il pour le tableau qu'il souhaite que nous remplissions si nous utilisons le SDK InMobi (basé en Inde) si celui-ci est considéré comme un composant non américain et non fabriqué par nous?
isJulian00

Réponses:


215

[ MISE À JOUR : L'utilisation de HTTPS est désormais exemptée de l'ERN à la fin de septembre 2016] https://stackoverflow.com/a/40919650/4976373


Malheureusement, je crois que votre application "contient un chiffrement" en termes de US BIS même si vous utilisez simplement HTTPS (si votre application ne fait pas exception à la question 2).

Citation de la FAQ sur iTunes Connect :

" Comment savoir si je peux suivre le processus d'enregistrement et de déclaration des exportateurs (ERN)?

Si votre application utilise , accède, implémente ou incorpore des algorithmes de chiffrement standard de l'industrie à des fins autres que celles répertoriées comme exemptions à la question 2, vous devez soumettre une demande d'autorisation ERN . Des exemples de chiffrement standard sont: AES, SSL, https . Cette autorisation nécessite que vous soumettiez un rapport annuel à deux agences du gouvernement américain avec des informations sur votre application en janvier. "

" 2e question: votre produit est-il admissible à des exemptions prévues dans la catégorie 5, partie 2?

Il existe plusieurs exemptions dans les réglementations d'exportation des États-Unis dans la catégorie 5, partie 2 (réglementations sur la sécurité et le cryptage de l'information) pour les applications et les logiciels qui utilisent, accèdent, implémentent ou incorporent le cryptage.

Toutes les responsabilités associées à une interprétation erronée des réglementations en matière d'exportation ou à une demande d'exemption inexacte sont à la charge des propriétaires et des développeurs des applications.

Vous pouvez répondre «OUI» à la question si vous remplissez l'un des critères suivants:

(i) si vous déterminez que votre application n'est pas classée dans la catégorie 5, partie 2 de l'EAR sur la base des conseils fournis par BIS à la question de chiffrement . La déclaration d'entente relative à l'équipement médical dans le supplément n ° 3 à la partie 774 de l'EAR est accessible sur le site du Code électronique des règlements fédéraux. Veuillez visiter la question n ° 15 dans la section FAQ de la page de cryptage pour des exemples d'articles répertoriés par BIS qui peuvent demander des exemptions à la note 4.

(ii) votre application utilise, accède, implémente ou incorpore le cryptage pour l'authentification uniquement

(iii) votre application utilise, accède, implémente ou incorpore le chiffrement avec des longueurs de clé ne dépassant pas 56 bits symétriques, 512 bits asymétriques et / ou 112 bits courbe elliptique

(iv) votre application est un produit grand public avec des longueurs de clé ne dépassant pas 64 bits symétriques, ou en l'absence d'algorithmes symétriques, ne dépassant pas 768 bits asymétriques et / ou 128 bits elliptiques.

Veuillez consulter la note 3 de la catégorie 5, partie 2 pour comprendre les critères de définition du marché de masse.

(v) votre application est spécialement conçue et limitée pour un usage bancaire ou des «transactions monétaires». Le terme «transactions monétaires» comprend la perception et le règlement des tarifs ou des fonctions de crédit.

(vi) le code source de votre application est «accessible au public», votre application distribuée gratuitement au grand public et vous avez satisfait aux exigences de notification prévues à l'article 740.13. (e).

Veuillez visiter la page Web de cryptage au cas où vous auriez besoin d'aide pour déterminer si votre application est éligible à des exemptions.

Si vous pensez que votre application est éligible à une exemption, veuillez répondre "OUI" à la question. "


7
Voilà une excellente réponse. En fait, c'est tellement génial que je l'ai accepté. Le lien n'est pas nécessairement suivable, cependant. Pour accéder au document, connectez-vous à iTunes Connect, cliquez sur le lien FAQ en bas de la page, puis cliquez sur World Wide Trade Compliance pour l'App Store.
Steven Fisher

39
Il existe une mise à jour appelée «Note 4» qui exempte la plupart des applications commerciales de la catégorie 5, partie 2: bis.doc.gov/index.php/policy-guidance/encryption/… Cela signifie que la plupart des applications qui utilisent le cryptage pour prendre en charge leur fonction principale sont amende sans inscription
Andrew Alcock

7
@AndrewAlcock Uniquement si leur fonction principale n'est pas la «sécurité de l'information», ni «un ordinateur, y compris les systèmes d'exploitation, les pièces et composants connexes», ni «l'envoi, la réception ou le stockage d'informations (sauf à des fins de divertissement, de diffusion commerciale de masse, de droits numériques») gestion des dossiers médicaux) " ni "Mise en réseau (inclut le fonctionnement, l'administration, la gestion et l'approvisionnement". Malheureusement, je pense que de nombreuses applications professionnelles devraient encore être enregistrées. Les jeux sont probablement corrects maintenant!
JosephH

26
Donc, si mon application accède à une API via https, est-elle admissible ou non? Pourriez-vous donner des exemples de ces quatre critères?
H.Rabiee

17
Vous ne pouvez pas vous attendre à ce que chaque développeur d'applications indépendant dans un garage retienne les services d'un avocat. C'est cher et peut prendre beaucoup de temps avec tous les frais généraux d'explication.
Cindeselia

91

Il n'est pas difficile d'obtenir l'approbation de votre application de la bonne manière. SSL (HTTPS / TLS) est toujours un cryptage et à moins que vous ne l'utilisiez que pour l'authentification, vous devriez obtenir l'approbation appropriée. Je viens de recevoir l'approbation et mon application est maintenant dans le magasin pour quelque chose qui utilise SSL pour crypter le trafic de données (pas seulement l'authentification).

Voici une entrée de blog que j'ai faite pour que d'autres puissent le faire correctement.

restrictions d'exportation apple itunes


1
De bonnes informations, mais la question n'est pas de savoir s'il est difficile d'obtenir l'approbation, mais si elle est nécessaire. Selon cette réponse officielle, il se peut que ce ne soit pas le cas (la note 3 et la note 4 peuvent ici indiquer le même résultat).
Paul Kulchenko

Merci pour cela. Il semble que maintenant, la demande initiale de CIN / PIN doit être envoyée par la poste, et non par télécopie ou par courrier électronique. Sur la page appropriée ( snapr.bis.doc.gov/snapr/docs/fieldHelp.html et recherchez «Lettre de soumission électronique»), ils ne donnent pas d'adresse e-mail de surface. Quelqu'un sait ce que c'est?
Chris Prince

1
FYI - Rien de tout cela n'a d'importance si vous prévoyez seulement d'avoir votre application disponible aux États-Unis et au Canada. Ceci provient des documents de support iTunes Connect: "(Si) Un développeur choisit de publier son application aux États-Unis et au Canada uniquement. - Aucun CCATS ou ERN américain n'est requis. Aucune déclaration d'importation en France n'est requise."
PICyourBrain

Quelqu'un sait-il pour le tableau qu'il souhaite que nous remplissions si nous utilisons le SDK InMobi (basé en Inde) si celui-ci est considéré comme un composant non américain et non fabriqué par nous?
isJulian00

J'ai publié mon application après janvier. Dans ce cas, dois-je envoyer ce rapport maintenant ou je peux attendre l'année prochaine?
user924

47

J'ai posé la même question à Apple et j'ai obtenu la réponse (d'un spécialiste principal de la conformité à l'exportation), que "l'envoi d'informations via https oblige les données à passer par un canal sécurisé à partir de SSL, donc cela relève de l'exigence du gouvernement américain pour Examen et approbation du CCATS. " Notez qu'il n'a pas d'importance qu'Apple ait déjà fait cela pour leur implémentation SSL, mais pour le gouvernement, si vous UTILISEZ un cryptage qui est le même (pour eux) que vous l'auriez codé vous-même. J'ai également mis à jour notre blog ( http://blog.theanimail.com ) depuis que Tim y est lié avec des mises à jour et des détails sur le processus. J'espère que cela pourra aider.


22
"Spécialiste principal de la conformité des exportations", sérieusement? Existe-t-il une armée de spécialistes juniors de la conformité des exportations chez Apple qui ne donnent que des conseils sur les questions de conformité? Je pense que tu as été dupé. Il est compréhensible qu'Apple souhaite pécher par excès de prudence. Mais l'accord actuel réglementant les restrictions à l'exportation indiquerait qu'ils ont tort: httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Udo

@Udo Faites-vous référence à la section "Mod_ssl est-il affecté par l'arrangement de Wasenaar"? Si vous l'êtes, bien que je ne sache pas quelle est la bonne réponse à la question d'OP, je voudrais souligner que le document auquel vous vous référez ne s'applique pas, car aucune application App Store n'est disponible "sans restrictions sur sa diffusion ultérieure. ". J'adorerais très, très bien avoir tort ...
Ivan Vučica

16
@Udo et les personnes qui ont voté pour son commentaire. Oh, comment tu te trompes . Premièrement, vous utilisez peut-être votre bon sens - ce serait votre première erreur. Le bon sens ne s'applique pas en matière de contrôle des exportations. Deuxièmement, httpd.apache.org n'est pas un site Web affilié au département américain du Commerce, donc si vous faites confiance à des informations sur ce site, vous faites une autre erreur. Pour ce que ça vaut, la majeure partie de ma carrière a été consacrée à l'écriture de logiciels de renseignement, en grande partie pour des produits de défense qui sont exportés vers d'autres pays. Je sais de quoi je parle (malheureusement).
Nate

8
@Nate, cela signifie-t-il qu'il n'y a pas d'armée de spécialistes juniors de la conformité des exportations? :)
bbozo

Quelqu'un sait-il pour le tableau qu'il souhaite que nous remplissions si nous utilisons le SDK InMobi (basé en Inde) si celui-ci est considéré comme un composant non américain et non fabriqué par nous?
isJulian00

38

Si vous utilisez le cadre de sécurité ou les bibliothèques CommonCrypto fournies par Apple, vous incluez la crypto dans votre application et vous devez répondre oui - simplement parce que les bibliothèques ont été fournies par Apple ne vous enlève pas le crochet.

En ce qui concerne la question d'origine, des articles récents sur les forums de développement Apple m'amènent à croire que vous devez répondre oui même si tout ce que vous utilisez est SSL.


C'est correct à ma connaissance. Les lois d'exportation du cryptage sont draconiennes quant à leur rigueur (compte tenu du fait que les logiciels peuvent être transmis sur un réseau sans effort), mais cette exigence n'a rien à voir avec le fait qu'une approche ou une implémentation de cryptage particulière soit "autorisée", mais que le système (votre application) l'utilisant est d'abord vérifié. #IANAL, cependant.
Justin Searls

Quelqu'un sait-il pour le tableau qu'il souhaite que nous remplissions si nous utilisons le SDK InMobi (basé en Inde) si celui-ci est considéré comme un composant non américain et non fabriqué par nous?
isJulian00

34

Réponse courte: oui, mais vous n'avez rien à faire

Je cherchais cela sur le Web pendant quelques heures. En fait, c'est assez facile et vous pouvez le vérifier dans itunes connect:

1. Tout ce que vous avez à faire

Si votre application utilise uniquement HTTPS ou utilise le chiffrement uniquement pour l'authentification, les jetons, etc., il n'y a rien à faire, incluez simplement

<key>ITSAppUsesNonExemptEncryption</key><false/>

dans votre Info.plist et vous avez terminé .

2. Vérification

Vous pouvez le vérifier dans itunes connect.

  • sélectionnez votre application
  • a choisi des fonctionnalités
  • a choisi le cryptage
  • cliquez sur "+"
  • suivez le dialogue
  • pour https ou l'authentification, la réponse est oui et oui

Dans tous les cas, vous devez bien sûr lire attentivement la boîte de dialogue.


Un article très utile peut être trouvé ici:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/


7
Je lis ce qui suit dans Apple: "L'utilisation du chiffrement par votre application se limite à passer des appels via HTTPS. Veuillez noter que vous serez responsable de soumettre un rapport d'auto-classification à la fin de l'année." Je pense que vous devez toujours vous auto-classer comme exonéré en janvier ici: bis.doc.gov/index.php/policy-guidance/encryption/…
Joshua Plicque

Quelqu'un sait-il pour le tableau qu'il souhaite que nous remplissions si nous utilisons le SDK InMobi (basé en Inde) si celui-ci est considéré comme un composant non américain et non fabriqué par nous?
isJulian00

33

Tout cela peut être très déroutant pour un développeur d'application qui utilise simplement TLS pour se connecter à ses propres serveurs Web. Parce que l'ATS (App Transport Security) devient plus important et nous sommes encouragés à tout convertir en https - je pense que plus de développeurs vont rencontrer ce problème.

Mon application échange simplement des données entre notre serveur et l'utilisateur en utilisant le protocole https. Voir les mots "USES ENCRYPTION" dans les clauses de non-responsabilité est un peu effrayant, j'ai donc appelé le bureau du gouvernement américain à leur bureau et j'ai parlé à un représentant du Bureau of Industry and Security (BIS) http: //www.bis.doc .gov / index.php / about-bis / contact-bis .

Le représentant m'a posé des questions sur mon application et comme elle a réussi le "test de fonction principale" en ce qu'elle n'a rien à voir avec la sécurité / communications et utilise simplement https comme canal pour connecter mes données client à nos serveurs - elle est tombée dans la catégorie EAR99 ce qui signifie qu'il est exempté d'obtenir l'autorisation du gouvernement (voir https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )

J'espère que cela aide d'autres développeurs d'applications.


Cela vient de la mémoire et je n'ai pas vu l'écran depuis un moment, mais: si vous parcourez le téléchargeur maintenant, vous pouvez répondre Oui à la question de cryptage, la question suivante concerne les exemptions. Cela explique en détail, et je n'ai eu aucun problème à compter mon application comme ayant un cryptage et à le faire de toute façon.
Steven Fisher

5
Pour résumer, une application consommateur moyenne qui utilise https pour la communication client-serveur relève généralement de l'exemption de la note 4. Ainsi, un développeur indépendant moyen devrait simplement choisir "Oui" puis à nouveau "Oui" et procéder directement à la soumission. La FAQ iTunes Connect a même un lien vers cette question # 5 dans la FAQ expliquant la note 4 et ayant même quelques exemples: bis.doc.gov/index.php/policy-guidance/encryption/…
Vitalii

1
@Vitalii ce lien est maintenant un 404
1800 INFORMATION

@ 1800INFORMATION les choses changent. Mon commentaire est daté de 2016. Il y a eu quelques changements dans les exigences depuis lors. Mieux vaut s'appuyer sur les documents d'Apple: help.apple.com/app-store-connect/#/devc3f64248f
Vitalii

Quelqu'un sait-il pour le tableau qu'il souhaite que nous remplissions si nous utilisons le SDK InMobi (basé en Inde) si celui-ci est considéré comme un composant non américain et non fabriqué par nous?
isJulian00

31

Depuis le 20 septembre 2016, l'inscription n'est plus requise pour les applications qui utilisent https (ou peut-être d'autres formes de cryptage): https://web.archive.org/web/20170312060607/https://www.bis.doc. gov / index.php / informationsecurity2016-updates

En fait, sur SNAP-R, vous ne pouvez plus choisir «enregistrement de chiffrement»: entrez la description de l'image ici

Plus précisément, ils notent:

Les enregistrements de chiffrement ne sont plus nécessaires - certaines des informations de l'enregistrement vont maintenant dans le Supp. Rapport n ° 8 à la partie 742.

Cela signifie que vous devrez peut-être envoyer un rapport annuel à BIS, mais vous n'avez pas besoin de vous inscrire et vous pouvez noter lors de la soumission de votre application qu'elle est exonérée.


Merci mais le lien est rompu. Pourriez-vous trouver l'article original quelque part sur Internet?
bleuâtre

23

Oui, selon les écrans iTunes Connect Export Compliance Information, si vous utilisez le cryptage iOS ou MacOS intégré (trousseau, https), vous utilisez le cryptage aux fins de la réglementation des exportations du gouvernement américain. Votre admissibilité à une exemption de conformité à l'exportation dépend de ce que fait votre application et de la façon dont elle utilise ce chiffrement. Les images jointes montrent les écrans de conformité des exportations iTunes Connect pour vous aider à déterminer vos obligations de déclaration d'exportation. Elle précise notamment:

Si vous utilisez ATS ou appelez HTTPS, veuillez noter que vous devez soumettre un rapport d'auto-classification de fin d'année au gouvernement américain. Apprendre encore plus

Informations de conformité d'exportation iTunes Connect Q1

iTunes Connect Export Information Compliance Q2


22
Je pense qu'un diplôme en droit peut être nécessaire pour donner un sens à quoi que ce soit sous ce lien "En savoir plus" ... Il n'y a absolument rien qui indique COMMENT vous faites ce "rapport d'auto-classification de fin d'année".
Tim Tisdall

7
donc un simple bouton qui ouvre une URL https dans le navigateur afin que les utilisateurs puissent trouver mon compte twitter me fera devoir soumettre un rapport d'auto-classification de fin d'année au gouvernement américain? wow
Suhaib

4
C'était difficile à trouver, alors voici le lien vers les lignes directrices du rapport d'auto-classification (jusqu'à ce qu'ils le déplacent à nouveau): bis.doc.gov/index.php/policy-guidance/encryption/…
helleye

2
@Suhaib - l'ouverture d'un lien dans le navigateur ne compte probablement pas - votre application n'utilise pas https, votre application ouvre une autre application. Cette application peut ou non utiliser HTTPS (dans ce cas, c'est le cas, cette application étant safari ou chrome ou autres)
csga5000

1
Avez-vous compris comment faire ce rapport annuel d'auto-classification? (en tant que non avocats haha)
Rony Azrak

20

@hisnameisjimmy est correct: vous remarquerez (au moins à compter d'aujourd'hui, le 1er décembre 2016) lorsque vous allez soumettre votre application pour examen et accéder à la procédure pas à pas de conformité à l'exportation, vous remarquerez que le menu indique maintenant que HTTPS est une version exonérée de cryptage (si vous l'utilisez pour chaque appel):

entrez la description de l'image ici

entrez la description de l'image ici


C'est ainsi depuis un certain temps, mais cette réponse ne répond pas à la question: Oui, votre application contient un chiffrement. Aussi, oui, une future question vous permet de sortir de cela. C'est aussi exactement ce que dit la réponse acceptée, seule la réponse acceptée le dit mieux. Modifier: votre modification de cette réponse est également redondante.
Steven Fisher

Est-ce que l'utilisation du chiffrement dans le système d'exploitation se limite à des données qui sont automatiquement sauvegardées dans le cloud?
Ian Warburton

Quelqu'un sait-il pour le tableau qu'il souhaite que nous remplissions si nous utilisons le SDK InMobi (basé en Inde) si celui-ci est considéré comme un composant non américain et non fabriqué par nous?
isJulian00

8

J'ai trouvé cette FAQ du Bureau américain de l'industrie et de la sécurité très utile.

chiffrement

La question 15 (Qu'est-ce que la note 4?) Est le point important:

...

Des exemples d'articles qui sont exclus de la catégorie 5, partie 2 par la note 4 comprennent, mais sans s'y limiter, les éléments suivants:

Applications grand public. Quelques exemples:

prévention du piratage et du vol de logiciels ou de musique; musique, films, morceaux / musique, photos numériques - lecteurs, enregistreurs et organisateurs jeux / jeux - appareils, logiciels d'exécution, HDMI et autres interfaces de composants, outils de développement TV LCD, Blu-ray / DVD, vidéo à la demande (VoD), cinéma , enregistreurs vidéo numériques (DVR) / enregistreurs vidéo personnels (PVR) - appareils, guides multimédias en ligne, intégrité et protection du contenu commercial, HDMI et autres interfaces composantes (pas la vidéoconférence); imprimantes, copieurs, scanners, appareils photo numériques, caméras Internet - y compris les pièces et sous-ensembles utilitaires et appareils ménagers


6

J'ai trouvé certaines de ces réponses très utiles, mais je voulais ajouter cette URL pour être complète car elle vous guide à travers les questions:

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148


Bon lien. Je pense que la plupart des gens qui se heurtent à cela ces jours-ci auront droit à une exemption sous "L'utilisation du cryptage est limitée au cryptage dans le système d'exploitation (iOS ou macOS)" ou "Ne fait que des appels via HTTPS".
Steven Fisher


0

Les réponses simples sont Oui (l'application a un chiffrement) et Oui (l'application utilise un chiffrement exonéré). Dans ma candidature, je viens d'ouvrir le site Web de mon entreprise dans WKWebView mais comme il utilise "https", il sera considéré comme un cryptage exempté. Document Apple pour plus d'informations: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

Alternativement, vous pouvez simplement ajouter la clé "ITSAppUsesNonExemptEncryption" et la valeur "NO" dans le fichier info.plist de votre application. et de cette façon, iTunes connect ne vous posera plus ces questions. Plus d'informations: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

Vous pouvez suivre ces 3 étapes simples pour vérifier si votre application est exonérée ou non: https://help.apple.com/app-store-connect/#/dev63c95e436

Vous devrez peut-être soumettre cette auto-classification annuelle au gouvernement américain. Pour plus d'informations: https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification


-1

Si vous n'utilisez pas explicitement une bibliothèque de chiffrement ou que vous ne lancez pas votre propre code de chiffrement, alors je pense que la réponse est «non»


10
Juste pour élaborer: vous utilisez le cryptage (TLS), mais il est correctement autorisé pour l'exportation des États-Unis (et il est livré avec l'iPhone), donc tout va bien.
BlueRaja - Danny Pflughoeft

Commentaire intelligent, BlueRaja. Je ne pensais qu'à ne pas écrire le code, mais en y réfléchissant sous votre angle, il est évident que le HTTPS d'Apple est déjà autorisé. Cela rend la question beaucoup plus simple, je pense.
Steven Fisher

11
Le fait qu'une bibliothèque soit autorisée à exporter ne signifie pas que votre produit qui utilise la bibliothèque est également autorisé. Je sais que cela n'a pas de sens sur le plan logique, mais c'est le gouvernement dont nous discutons. Consultez le lien dans la réponse de Tim ou demandez directement à Apple ou aux États-Unis si vous voulez une réponse faisant autorité.
Steve Madsen
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.