Использование SSL в приложении для iPhone - экспорт соответствия


Я смотрю на создание приложения для iPhone, которое будет взаимодействовать с веб-службы REST. Поскольку некоторые конфиденциальные данные пользователя (имя, адрес, возраст и т. д.) будут переданы, я рассматриваю защиту соединений с помощью SSL.

однако на моих предыдущих эскападах в App Store я увидел, что первый вопрос, который мне задают, - это "использует ли ваше приложение шифрование?"и в зависимости от ответа на этот и другие последующие вопросы, может потребоваться экспорт США соответствие.

моя компания не базируется в США, и у нас нет офиса в США.

кто-нибудь еще представил приложение с использованием SSL для такого рода целей? Если это так, вам нужно было что-то сделать, чтобы получить разрешение на его использование, либо от Apple, либо от правительства США?

7 68

7 ответов:

обновление от 20 сентября 2016

ERN больше не требуется, поэтому, похоже, многим приложениям больше не нужно будет регистрироваться в правительстве США. (Хотя вам все равно может потребоваться подать двухлетний Supp. Доклад № 8 по части 742.) http://www.bis.doc.gov/InformationSecurity2016-updates

(спасибо @EugenioDeHoyos и @user3562927 за указание на это!)

французская государственная регистрация по-прежнему требуется для продажи Франция.

The iTunes Connect FAQs были обновлены, чтобы покрыть это изменение и являются наиболее читаемой ссылкой, которую я нашел.

Ответ

процесс изменился, начиная с лета 2010 года, и вам (вероятно) нужен ERN сейчас, а не CCATS, как было необходимо в то время, когда Джон написал свой ответ.

посмотреть Apple iTunes экспорт ограничения на приложения. Часто задаваемые вопросы iTunes connect также содержат много полезного информация о соответствии экспорта.

теперь также существуют ограничения, которые применяются к распространению приложений с шифрованием во французском магазине приложений-см. iTunes connect FAQ и французский экспорт соответствия поток на devforums.

Я на самом деле вернулся в Apple, и оказывается, что любое приложение, использующее SSL тут утверждение (к сожалению). Есть, видимо, некоторые исключения, например, если приложение использует SSL только для одной платежной операции.

больше информации-в шифрование массового рынка CCATS товарная классификация для приложений iPhone в 8 простых шагов и соответствие экспорта шифрования iPhone для приложений, создающих HTTPS (TLS) Соединения.

все эти ответы устарели по состоянию на 20 сентября 2016 года. Я только что разговаривал по телефону с людьми SNAP-R (правительство), и они сказали, что новое законодательство приземлилось 20 сентября. Новые правила снимают требование о регистрации вашего приложения просто потому, что оно использует шифрование.

Я описал им свое приложение (игру), и они сказали, что это "ухо-99", что означает, что мне не нужно регистрироваться. Вполне вероятно, что Apple собирается обновить свой сайт. Но в тем временем, если вы пытаетесь пройти через этот процесс, потому что вы используете SSL/HTTPS, просто остановитесь сейчас. Вы даже не будете успешны в заполнении форм, потому что они значительно изменились.

Я нашел эту статью от кого-то, кто прошел через этот процесс недавно (декабрь 2015) очень полезная. Общий консенсус, похоже, заключается в том, что вам действительно нужно пройти этот процесс, даже если вы просто используете вызов REST, который использует SSL. Эта статья поможет вам быстро выполнить этот процесс.

https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/

теперь в ноябре 2017 года...

это действительно юридические вещи, так что это указатели на то, что я нашел полезным и как я интерпретировал вещи. Не принимайте это как совет (это не так).

Apple FAQ, Как упоминалось в других ответах здесь, является отличным местом для начала: https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance

Это приводит к следующим: В iTunes Connect перейдите к своему приложению. Выбрать вкладка "функции" вверху и выберите "шифрование" сбоку. Нажмите кнопку "Добавить документацию по экспорту соответствия для iOS" на главной странице. Первый вопрос гласит: "экспорт соответствия: ваше приложение предназначено для использования криптографии...- Выберите "Да". В следующих вопросах говорится (и я копирую и вставляю):

соответствует ли ваше приложение одному из следующих параметров:
а) подпадает под одно или несколько исключений, предусмотренных в части 2 категории 5
(b) использование шифрования ограничено шифрование в операционной системе (iOS или macOS)
(c) только делает вызов(ы) по HTTPS
(d) приложение доступно только в США и/или Канаде

(c) - это ссылка на стиль SSL (в соответствии с вашим вопросом), поэтому выберите Да на этот вопрос. [Примечание в нижней части руководства на этом экране есть ссылка на ссылку выше FAQ]

при выборе " Да " один из всплывающих окон руководства говорит (и я цитирую):

Если вы делаете использование ATS или вызов HTTPS обратите внимание, что вы должны представить отчет о самоклассификации в конце года правительству США. Узнайте больше

и обратно в FAQ, ключевая цитата:

почему мое приложение требует проверки шифрования, если я не живу в Соединенных Штатах? Могу ли я обойти проверку шифрования, если я выпускаю свое приложение только в своей родной стране?

ваше приложение будет загружено на сервер Apple в США, что означает, что ваше приложение будет экспортироваться из США и подпадает под действие законов США об экспорте. Это требование применяется, даже если вы планируете распространять только в своей стране.

последний бит, я думаю, отвечает на 2-й бит вашего вопроса... Вы все равно должны соблюдать, даже если вы не находитесь в США и даже если вы не собираетесь распространять за пределами своей страны...

Итак, что я читал сегодня (в ноябре 2017 года), если использовать SSL (HTTPS) в iOS Приложение, даже если за пределами США, коробки должны быть отмечены в iTunes Connect... (Процесс начался на вкладке "функции", описанной выше). Кроме того, вам необходимо сделать ежегодный отчет о самоклассификации.

ссылка в Apple FAQ, относящаяся к этому, в настоящее время сломана (когда я пишу это), но эта ссылка полезный: https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report

эта страница содержит адреса электронной почты для отправки отчета (вы должны отправить его в 2 места), когда он должен быть отправлен и какой формат и информацию необходимо отправить (тщательно созданный очень предписано .CSV-файл) Я не смог найти это с помощью bis.doc.gov поисковик, но нашел его использование общей поисковой системы для поиска "отчета о Самоклассификации на конец года". Так что если эта конкретная ссылка умирает в будущем, этот поиск может помочь найти любую замену :)

что касается деталей того, как это сделать .csv-файл для приложения iOS с использованием SSL я еще не уверен - я надеюсь на успех и отредактирую этот пост с подробностями, если это кажется подходящим.

к этому, хотя, в этом связан доктор: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (который вам может потребоваться увеличить, чтобы прочитать) Я полагаю, что соответствующая строка является третьей (b) (1), поскольку требования к представлению совпадают. Это относится к тому, чтобы

отправить Supp. 8, часть 742, по электронной почте

этот документ также имеет столбец ECCN, и я начинаю думать, что соответствующий номер ECCN - это 5a002 точка что-то

следующая документ содержит более подробную информацию о выборе правильного кода ECCN:

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

читая это, я думаю, что если SSL используется как небольшая часть приложения, это относится к коду 5A002.а.4

обновление:

Итак, в нижней части bis.doc.gov руководство описание для создания .CSV-файл говорит:

  • первая строка годового отчета о самоклассификации должна состоять из следующих 12 записей: название продукта, номер модели, производитель, ECCN, тип авторизации, Тип товара, имя отправителя, номер телефона, адрес электронной почты, почтовый адрес, неамериканские компоненты, неамериканские производственные места.
  • ни одна запись не может быть оставлена пустой.
  • название продукта и ECCN должны быть завершены.
  • для номера модели и Изготовитель, при необходимости, вводит "нет"или" N/A".
  • в поле тип авторизации введите ENC или MMKT.
  • для типа элемента выберите из списка типов элементов, указанных в Supp. 8 к части 742 (a) (6).
  • заголовки столбцов имя отправителя через неамериканские производственные места относятся к компании в целом, и поэтому должны быть введены одинаково для каждого продукта (т. е. только одна точка контакта, один ответ " ДА " или " нет " на вопрос, есть ли какой-либо из представленных продукты включают компоненты шифрования, полученные не из США, и для отчета требуется один список производственных объектов, не являющихся США). Дублировать эту информацию в каждой строке таблицы
  • единственное разрешенное использование запятой-это необходимый разделитель между 12 записями для каждого элемента строки. Единственные разрешенные запятые-это те, которые вставляются автоматически во время преобразования электронных таблиц.

С помощью дополнение № 8 к части 742-отчет о Самоклассификации для элементов шифрования для дальнейшего руководства, я добрался до А.csv файл, как это:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

обратите внимание, что это должно быть хорошо образован .csv-файл, который это не совсем так. Я предлагаю создать что-то в электронной таблице и сохранить как .csv

также обратите внимание, что это не рекомендуемый результат - это моя лучшая интерпретация как неквалифицированного человека, у которого не было никаких советов. Образец. csv в нижней части bis.doc.gov руководство помогло я далее и, казалось, предполагал, что ECCN может быть просто 5A002 без дальнейших подробностей. Тип элемента должен быть выбран из списка в дополнении № 8 - что-то еще может лучше соответствовать характеру вашего приложения. Я не был так уверен в номере модели, но пример выглядел так, как будто он использовал описания типа номера версии. Может быть, приложение Apple ID было бы лучше здесь. Учитывая, что это необязательно, это может не иметь значения...

Я столкнулся с этим вопросом ранее сегодня и думал, что вернусь, чтобы сообщить о своем опыте.

Проверьте:http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html для процедуры, которая хорошо работала для меня (обязательно прочитайте все это, включая комментарии-с момента первоначального сообщения произошли некоторые изменения, в основном к лучшему, и обновленная информация находится в комментариях).

теперь процесс довольно упрощен (за исключением Safari и Chrome, не распознающих SSL-сертификат своего сайта. Немного иронично там. :- ); Я получил одобрение примерно через 10-15 минут после отправки информации.

Я бы предположил, что это стало для них рутинной вещью (по крайней мере, если вы используете только SSL, а не какой-то экзотический криптограф).

поскольку приложение настраивает и использует безопасные SSL-соединения, оно считается продуктом шифрования. Экспортный контроль США зависит от того, используете ли вы шифрование, а не от того, где вы его найдете. Не имеет значения, что вы используете встроенную функцию вместо написания своей собственной, используя коммерческую библиотеку или используя специализированный процессор-это все еще элемент шифрования.

Проверьте веб-сайт BIS по адресу www.bis.doc.gov/encryption или позвоните в службу поддержки по телефону 202-482-0707, если вы хотите обсудить детали вашего приложения. Если вы обнаружите, что вам нужна классификация шифрования, то ссылка на SNAPR тоже есть.