L'utilisation de SSL sur un iPhone App - Conformité en matière d'Exportation

Je suis à la recherche à la création d'une application iPhone qui permettra de communiquer avec un service Web REST. Parce que certaines données sensibles (nom, adresse, âge, etc) seront transmises, je suis à la recherche à sécuriser les connexions SSL.

Cependant, lors de mes précédentes escapades dans l'App Store soumission, j'ai vu que la première question que je me pose est "est-ce que votre utilisation de l'application de chiffrement?" et en fonction de la réponse à cela et d'autres questions de suivi, peut NOUS imposer la conformité pour l'exportation.

Ma société n'est pas fondée aux états-unis, nous ne disposons pas d'un office US.

Quelqu'un d'autre a présenté une application à l'aide de SSL pour ce genre d'objet? Si oui, avez-vous besoin de faire quelque chose pour obtenir la permission de l'utiliser, que ce soit chez Apple ou du gouvernement AMÉRICAIN?

  • Vous êtes-vous retrouvée à l'aide d'un RER ou un CCATS?
  • Remarque: Il y avait des changements importants à la BIS de l'OREILLE Septrmber 20, 2016, voir la réponse de @user3562927. La plupart des inscriptions ne sont plus nécessaires.
InformationsquelleAutor John | 2010-01-24
  1. 50

    Mise à jour du 20 septembre 2016

    ERN sont plus nécessaires, il semble donc que beaucoup d'applications n'auront plus besoin de s'inscrire avec le gouvernement AMÉRICAIN. (Bien que vous pouvez encore avoir besoin de déposer une bi-annuel Supp. N ° 8 à la Partie 742 rapport.) http://www.bis.doc.gov/InformationSecurity2016-updates

    (Merci à @EugenioDeHoyos et @user3562927 pour le signaler!)

    Gouvernement français l'enregistrement est toujours nécessaire à vendre en France.

    La iTunes Connect Faq ont été mis à jour pour couvrir ce changement et qui sont les plus lisibles de référence que j'ai trouvé.

    Vieille Réponse

    Le processus a changé, à l'Été 2010, et vous (probablement) besoin d'un ERN maintenant, pas un CCATS qui était nécessaire à l'époque, Jean écrivit sa réponse.

    Voir Apple iTunes restrictions à l'exportation sur les applications. La iTunes connect faq contient aussi beaucoup d'informations utiles sur la conformité en matière d'exportation.

    Il existe aussi maintenant des restrictions qui s'appliquent à la distribution des applications avec le chiffrement du français app store - voir le itunes connect FAQ et le L'Exportation de la france de Conformité fil sur le devforums.

    • Merci pour la mise à jour - très bon à savoir.
    • Vous pouvez trouver ce lien utile: iphonedevsdk.com/forum/business-legal-app-store/...
    • Dès le 20 Septembre, 2016, ce N'est PLUS correcte. Vous n'avez pas besoin de vous inscrire via notre BIS plus, mais vous avez encore le besoin de classer votre application en utilisant le cryptage via Apple. Voir @user3562927 's réponse ci-dessous, et de voir ce document, en particulier "le Cryptage des Enregistrements n'est plus nécessaire – une partie des informations de l'enregistrement maintenant, va dans le Supp. N ° 8 à la Partie 742 rapport." bis.doc.gov/InformationSecurity2016-updates
    • Super, merci pour cela! J'ai mis à jour ma réponse.
    • Merci @JosephH! et merci pour la réponse originale à cette question ainsi 🙂
    • Pourriez-vous préciser ce que vous entendez par le dépôt de la bi-annuel Supp. N ° 8 à la Partie 742 rapport? Si nous n'avons pas à vous inscrire, comment et où pouvons-nous envoyer le rapport?
    • Pas vraiment, je n'ai pas encore passé du temps à essayer de déchiffrer tout ça. La mise à jour des exigences en matière de rapports sont détaillées dans le federalregister.gov/documents/2016/09/20/2016-21544/...
    • Je ne suis pas en trouver plein des exigences de déclaration à l'arrangement de Wassenaar sur le lien. Semble rediriger un CFR 742.15. Qui a alors 2 adresses e-mail, mais vous devez leur envoyer le code source de chiffrement, ce qui ne sera pas le même si l'aide d'une bibliothèque (comme pour le protocole TLS)... Ce qui me manque ici?
    • Voir bis.doc.gov/index.php/documents/regulation-docs/... section " SUPPLÉMENT NO. 8 DE la PARTIE 742 -- AUTO-CLASSIFICATION RAPPORT POUR le CHIFFREMENT des ITEMS pour les détails du fichier CSV doit être envoyé par courriel. Il n'est pas encore tout à fait clair pour moi quand vous ne / n'ont pas besoin de présenter un tel rapport. Je soupçonne que c'est probable que beaucoup de gens qui devraient le faire ne le font pas.
    • Il y a un nouvel article parlant de la à 2016 de mise à jour. Peut-être bon d'ajouter à cela puisque c'est accepté de répondre: medium.com/@cossacklabs/...
    • Merci pour le lien - j'ai eu un lire et je ne suis pas convaincu que c'est très utile, sauf si a) vous êtes à l'aide de Themis (qui la plupart des applications ne) /et/ b) votre app est libre ou opensource. Fait que j'ai mal compris? J'ai ajouté le lien vers la documentation d'Apple qui est maintenant tout à fait utile à la recherche.
    • Je pense qu'il aborde également les apps à l'aide de https, mais la nouvelle apple FAQ est la plus sûre source de maintenant.
    • si vous sélectionnez "oui" pour les 2 premières questions quand appstoreConnect vous demander si "votre app utiliser le chiffrement" et "est-ce que votre application se qualifier pour l'une des exemptions" il permet "start test interne" , et il ne mentionne rien à propos de l'enregistrement de quoi que ce soit avec le gouvernement français ? @JosephH
    • Le lien que je viens de fournir de la documentation d'Apple à l'adresse help.apple.com/app-store-connect/#/devc3f64248f c'est la meilleure chose à lire. Évidemment, je vous suggère de ne répondez "oui" à la question "est-ce que votre application de qualité pour aucune des exemptions" si votre application fait se qualifie pour les dérogations. Il ressemble, si votre application répond aux critères de l'exonération français de la paperasse n'est pas nécessaire.
    • savez-vous si le InMobi SDK (inmobi.com/sdk) seraient considérés comme des "Non-U. S de la composante" depuis que la société est établi à Singapour ?
    • Malheureusement, le lien est cassé

    InformationsquelleAutor JosephH
  2. 10

    Je suis revenu en arrière pour Apple et il s'avère que toute application utilisant le protocole SSL ne besoin de l'approbation (malheureusement). Il y a apparemment quelques exceptions près, comme si l'application utilise le protocole SSL uniquement pour une seule opération de paiement.

    Il n'y a plus d'informations dans Marché de masse de Chiffrement CCATS Classification des Produits pour les Applications iPhone en 8 Étapes Faciles et
    iPhone Cryptage de Conformité en matière d'Exportation pour les Applications de prise de HTTPS (TLS) Connexions.

    • Il dépend aussi de l'usage de la cryptographie. Si vous êtes seulement en utilisant la cryptographie à des fins d'authentification, alors vous n'avez pas besoin d'une licence d'exportation auprès du Ministère du Commerce. Donc eNULL suites de chiffrement sont OK (mais je ne suis pas sûr de l'utilité qu'ils sont).
    • Le second lien est mort maintenant.
    • Premier lien est mort ainsi
    • liens morts, tous les deux
    InformationsquelleAutor John
  3. 10

    Toutes ces réponses sont caducs à compter du 20 septembre 2016. Je viens d'avoir le téléphone avec le composant logiciel ENFICHABLE R les gens (du gouvernement), et ils ont dit que la nouvelle législation a débarqué le 20 septembre. Le nouveau règlement supprime l'exigence d'inscrire votre application tout simplement parce qu'il utilise un système de cryptage.

    J'ai décrit mon application (un jeu), et ils ont dit que c'est une "OREILLE-99", ce qui signifie que je n'ai pas à vous inscrire. Il est probable que Apple est sur le point de mettre à jour leur site web. Mais en attendant, si vous essayez de passer à travers ce processus parce que vous utilisez SSL/HTTPS, juste arrêter maintenant. Vous n'aurez même pas réussir à remplir les formulaires, parce qu'ils ont changé de manière significative.

    • Quelques liens pour la 9/20: des changements à la BIS de la sécurité de l'information les contrôles apporter détendu contrôles, la suppression de l'exigence de l'enregistrement Dentons, NOUS met en œuvre des Changements dans la Réglementation des Produits de Chiffrement, des Logiciels et de la Technologie Shadden, Règlement sur l'Administration des Exportations (EAR) BIS.
    • Je suis juste allé à travers ce aussi bien. Le composant logiciel ENFICHABLE R de demande en ligne ne vous permet pas de créer un "Cryptage Inscription" Élément de Travail en plus. J'ai également parlé avec eux au téléphone et ils m'ont dit qu'à partir du 20 Septembre, l'enregistrement n'est plus nécessaire. Vous avez encore le besoin de classer votre application via Apple que vous utilisez le chiffrement, mais vous n'avez pas besoin de remplir de supplémentaires de Cryptage "Enregistrement" plus.
    • Remarquez la ligne, "Cryptage des Enregistrements n'est plus nécessaire – une partie des informations de l'enregistrement maintenant, va dans le Supp. N ° 8 à la Partie 742 rapport." dans la suite BIS résumé de mise à jour: bis.doc.gov/InformationSecurity2016-updates
    • oui, mais nous avons besoin de soumettre une élargi “auto-classification de rapport” (sur une base annuelle) ou de demander une classification de BIS? (argh...)
    • À partir de ce que je suis en train de lire en ce moment, il semble que même sans inscription obligatoire (via l'exception), si vous utilisez le protocole TLS, vous devez faire ce que l'auto-classification rapport annuellement... bis.doc.gov/index.php/policy-guidance/encryption/... - "L'annuel de l'auto-classification rapport est une exigence pour les produits d'exportation en vertu de l'Exception de Licence ENC - 740.17(b)(1), à MOINS d'une Classification des Produits (CCATS) a été présenté pour le poste."
    InformationsquelleAutor user3562927
  4. 8

    Maintenant en novembre 2017...

    C'est légal des trucs vraiment, c'est des pointeurs vers ce que j'ai trouvé utile et que je l'ai interprété les choses. Ne le prenez pas comme des conseils (il n'est pas).

    La Pomme FAQ comme mentionné dans d'autres réponses ici est un excellent point de départ: https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance

    Cela conduit à prendre les mesures suivantes:
    Dans iTunes Connect, allez à votre Application. Choisissez l'onglet "caractéristiques" en haut et sélectionnez "Cryptage" sur le côté. Cliquez sur "Ajouter à l'Exportation de la Conformité de la Documentation pour iOS" dans la page principale. Première question, dit: "en Conformité en matière d'Exportation: votre application Est conçue pour l'utilisation de la cryptographie... "Choisir " Oui". Les questions suivantes dit (et je fais un copier-coller):

    Votre application répond à aucun des éléments suivants:

    (a) est Admissible à l'une ou plusieurs des exemptions prévues dans la catégorie 5, partie 2

    (b) Utilisation du chiffrement est limitée à de chiffrement dans le système d'exploitation (iOS ou macOS)

    (c) ne fait appel(s) sur HTTPS

    (d) l'Application est disponible uniquement aux états-UNIS et/ou au Canada

    (c) est le protocole SSL, le style de référence (comme par votre question), afin de sélectionner " Oui " à cette question. [Note en bas de la ligne directrice sur cet écran a un lien ci-dessus pour le lien de la FAQ]

    En sélectionnant " Oui " à l'une des pop-case guidage dit (et je cite):

    Si vous faites usage de l'ATS ou de faire un appel à HTTPS veuillez noter que vous êtes tenu de soumettre un an de la fin de l'autonomie de la classification rapport pour le gouvernement AMÉRICAIN. En savoir plus

    Et de retour dans la FAQ, une clé de citation est:

    Pourquoi est-ce que mon application requièrent un examen de chiffrement si je ne vis pas aux États-unis? Puis-je contourner le chiffrement de l'examen si je ne la libération de mon appli dans mon pays d'origine?

    Votre application sera téléchargée sur un serveur Apple aux états-UNIS, ce qui signifie que votre application sera exporté des états-UNIS et est soumis aux lois AMÉRICAINES sur l'exportation. Cette exigence s'applique même si vous ne prévoyez de distribuer au sein de votre propre pays.

    Le dernier bit je pense que les réponses de la 2ème partie de votre question... Vous avez encore de se conformer, même si vous n'êtes pas dans le NOUS, et même si vous n'avez pas l'intention de distribuer en dehors de votre propre pays...

    Donc, comme de ce que j'ai lu aujourd'hui (en novembre 2017), si vous utilisez le protocole SSL (HTTPS) dans une Application iOS, même si dehors des états-unis, les cases doivent être cochées dans iTunes Connect... (Le processus a commencé dans "l'onglet fonctionnalités" décrit ci-dessus). Au-delà de cela, vous devez ensuite faire une autoévaluation annuelle de la classification rapport.

    Le lien dans la FAQ Apple relatives à ce qui est actuellement cassé (comme je l'ai écris cela), mais ce lien est utile:
    https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report

    Cette page contient les adresses e-mail pour envoyer votre rapport à (vous devez l'envoyer à 2 places), quand elle doit être envoyé et ce que le format et les informations doivent être envoyées (a soigneusement créé très prescrit .fichier csv)
    Je n'ai pas réussi à trouver ce avec la bis.doc.gov le moteur de recherche, mais elle à l'aide d'un moteur de recherche général de la recherche pour "la fin de l'année de Soi Classification de Rapport". Donc, si ce lien meurt dans l'avenir, cette recherche pourrait aider à trouver un remplacement 🙂

    De détails de façon à ce métier .fichier csv pour une Application iOS à l'aide de SSL, je ne suis pas encore sûr - et j'espère avoir du succès et d'éditer ce post avec des détails si cela semble approprié.

    Égard de ce bien, dans ce lié doc:
    https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file
    (dont vous pourriez avoir besoin de zoomer pour lire)
    Je figure, la ligne correspondante est la 3ème (b)(1) les exigences en matière de présentation de match. Il se réfère à la

    soumettre Supp. 8, partie 742, par e-mail

    Ce document a également un ECCN colonne, et je suis arriver à la pensée pertinentes ECCN nombre est 5A002 point quelque chose

    Ce document suivant a plus de détails au sujet de la cueillette de la bonne ECCN code:

    https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

    La lecture de ce ma meilleure supposition est que si le protocole SSL est utilisé comme une petite partie d'une Application, cela concerne le code 5A002.un.4

    Mise à JOUR:

    Donc au bas de bis.doc.gov l'orientation à la description pour créer l' .fichier csv dit:

    • Première ligne de l'annuel de l'auto-classification rapport doit être composé de 12 entrées: NOM du PRODUIT, NUMÉRO de MODÈLE, FABRICANT, ECCN, l'AUTORISATION de TYPE de, TYPE d'ÉLÉMENT, le NOM du DÉPOSANT, NUMÉRO de TÉLÉPHONE, E-MAIL, ADRESSE POSTALE, NON des COMPOSANTS AMÉRICAINS, NON-AMÉRICAIN de la FABRICATION.
    • Aucune participation ne peut être laissé vide.
    • NOM du PRODUIT et ECCN doit être rempli.
    • Pour le NUMÉRO de MODÈLE et le FABRICANT, si nécessaire, entrez "AUCUN" ou "N/A".
    • Pour l'AUTORISATION de TYPE, entrez ENC ou MMKT.
    • Pour le TYPE d'ARTICLE, choisissez dans la liste des types d'éléments fournis dans le Supp. 8 de la Partie 742 (a)(6).
    • En-têtes de colonne NOM du DÉPOSANT par le biais de NON-AMÉRICAIN de la FABRICATION se rapportent à la société dans son ensemble, et devrait donc être saisi de la même pour chaque produit (c'est à dire, un seul point de contact, un " OUI " ou " NON " en réponse à savoir si l'un de ces produits intègrent des non-AMÉRICAINS provenant de chiffrement des composants, et une liste de non-AMÉRICAIN de la fabrication, est nécessaire pour le rapport). Reproduire cette information dans chaque ligne de la feuille de calcul
    • La seule utilisation autorisée d'une virgule est le séparateur entre le 12 entrées pour chaque élément de ligne. La seule virgule sont ceux inséré automatiquement lors de la feuille de calcul de conversion.

    À l'aide de Supplément au n ° 8 de la Partie 742—Auto-Classification de Rapport pour les Articles de Chiffrement pour plus de conseils, je suis arrivé à un .csv fichier comme ceci:

    PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

    Noter que cet aspect doit être bien formé .fichier csv qui ce n'est pas tout à fait. Je suggère de créer quelque chose dans une feuille de calcul et de sauvegarder un .csv

    Notez également que ce n'est pas conseillé de résultat - c'est ma meilleure interprétation comme un grand individu ayant pas eu d'avis. L'exemple .csv au bas de la bis.doc.gov la direction m'a aidé plus loin et semble suggérer que l'ECCN pourrait juste être 5A002 sans plus de détails. Le TYPE d'ÉLÉMENT doit être choisi à partir de la liste dans le Supplément au numéro 8 - quelque chose d'autre pourrait s'adapter à la nature de votre Application mieux. Je n'étais pas si sûr, le NUMÉRO de MODÈLE, mais l'exemple qu'il a regardé comme il était, en utilisant le numéro de version type de descriptions. Peut-être App Apple ID serait mieux ici. Étant donné qu'il est facultatif, il peut ne pas l'affaire...

    Mise à JOUR (Janvier 2019): Enfin fait ma présentation pour 2018 et est allé pour:

    PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]

    Les changements à mettre "N/A", comme le Numéro de Modèle et " NON " pour les NON-COMPOSANTS AMÉRICAINS. "NON", car il n'y a pas acheté les composants de mon Application (US ou de la NON-US) - le code de cryptage est juste l'iOS bibliothèque de cryptage.

    • Merci pour la mise à JOUR: je vais y aller maintenant avec <App name>, <App Sku>, SELF, 5D002, MMKT, Other (iOS App), <Your name>, <Your phone number>, <Your email>, <Your home address>, no, n/a comme suggéré ici simonfairbairn.com/bis-year-end-self-classification-report ECCN = 5D002 parce que le protocole SSL est OpenSource AUTORISATION TYPE = MMKT parce que j'ai de l'espoir pour le marché de masse" ^^ TYPE d'ÉLÉMENT = (xlix) Autres (veuillez préciser).
    • Il semble que 5D992 est approprié pour la plupart des marchés de masse applications qui utilisent la cryptographie composants comme le SSL, et pas 5D002 (voir "Note 3 à la Catégorie 5, Partie 2").
    • quelqu'un sait si nous avons sélectionnez OUI pour les non-u.s. composants si nous utilisons , la inMobi SDK de publicité (la société est basée à singapour, mais possède des bureaux dans le U. S ) ?
    • ce que les non-u.s des composants de votre application à l'aide ?
    • J'ai pensé que mon ensemble de l'application est non-u.s comme il a été développé et compilé dans le royaume-UNI, qui est pourquoi j'ai pensé que OUI, dans le " non-u.s. des composants de la colonne. J'ai peut-être mal...
    • Effectivement, merci pour le marquage ce. Je pense que je dois mettre dans les " NON " car c'est toute la partie de mon App - pas externe acheté dans le composant.
    • pas de problème !
    • Quelques explications de ECCN (5A002 vs 5D002 vs 5D992) est dans wikipedia en.wikipedia.org/wiki/... ... plus ou moins compréhensible ...
    • Quelqu'un peut-il expliquer en termes compréhensibles par un non-juriste de la différence entre ECCN 5A002, 5D002 et 5D992, et entre les ENC et MMKT, et comment décider ce qui est le droit pour une application qui utilise simplement https pour communiquer avec un serveur?
    • Je pense que beaucoup de personnes ignorent ce...je veux dire de soumettre à une Auto-Classification Rapport au gouvernement des états-unis.

    InformationsquelleAutor Marcus
  5. 7

    J'ai trouvé cet article de quelqu'un qui est passé par le processus récemment (Décembre 2015) extrêmement utile. Le consensus général semble être que vous avez vraiment besoin de passer par ce processus, même si vous êtes juste en utilisant un appel RESTE qui utilise le protocole SSL. Cet article va vous aider à courir à travers le processus rapidement.

    https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/

    InformationsquelleAutor John F
  6. 4

    J'ai couru à travers cette question plus tôt aujourd'hui et j'ai pensé revenir à rendre compte de mon expérience.

    Découvrez: http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html pour une procédure qui a bien fonctionné pour moi (assurez-vous de lire l'ensemble de la chose, y compris les commentaires -- il y a eu quelques changements depuis le post original, surtout pour le mieux, et la mise à jour de l'info, c'est dans les commentaires).

    Le processus est assez simplifié maintenant (sauf pour le Chrome et Safari ne pas reconnaître leur propre site certificat SSL. Un peu ironique là. :-); J'ai obtenu l'approbation environ 10-15 minutes après l'envoi de l'info.

    Je suppose que c'est devenu une routine pour eux (du moins si vous êtes seulement en utilisant SSL plutôt que d'une sorte d'exotisme, crypto).

    InformationsquelleAutor Tony Hursh
  7. 3

    Parce que l'application est mise en place et l'utilisation des connexions SSL sécurisées, il est considéré comme un produit de chiffrement. La NOUS des contrôles à l'exportation dépend de si vous utilisez le cryptage, pas où vous trouver. Il n'a pas d'importance qui vous êtes à l'aide d'une fonction intégrée au lieu d'écrire votre propre, en utilisant une bibliothèque commerciale, ou à l'aide d'un processeur spécialisé--c'est encore un élément de chiffrement.

    Consultez le site web du SIF à http://www.bis.doc.gov/encryption ou appelez le service d'assistance à 202-482-0707 si vous voulez discuter les détails de votre application. Si vous trouvez que vous avez besoin d'un chiffrement de classification ensuite le lien pour le SNAPR est là aussi.

    InformationsquelleAutor Michael