Est-ce que mon application "contient un cryptage"?
Je télécharge un binaire pour la première fois. iTunes Connect m'a demandé:
Les lois sur l'exportation exigent que les produits contenant un cryptage soient correctement autorisés à l'exportation.
Le non-respect de cette consigne pourrait entraîner des sanctions sévères.
Pour obtenir plus d'informations, cliquez ici.
Votre produit contient-il un cryptage?
J'utilise https://, mais uniquement via NSURLConnection et UIWebView.
Mon interprétation de ceci est que mon application ne "contient pas de cryptage", mais je me demande si cela est précisé ailleurs. Les "pénalités sévères" ne semblent pas agréables du tout, alors "je pense que c'est vrai" est un peu louche ... une réponse autoritaire serait mieux.
Merci.
[UPDATE: l'utilisation de HTTPS est maintenant exemptée de l'ERN à la fin du mois de septembre 2016] https://stackoverflow.com/ a/40919650/497637
Malheureusement, je pense que votre application "contient un cryptage" en termes de norme BIS américaine, même si vous utilisez uniquement HTTPS (si votre application n'est pas une exception incluse à la question 2).
Citation de FAQ sur iTunes Connect :
" Comment savoir si je peux suivre le processus d'enregistrement et de déclaration des exportateurs (ERN)?
Si votre application utilise , accède, implémente ou incorpore des algorithmes de cryptage standard du secteur à des fins autres que celles répertoriées en tant qu'exemptions à la question 2, vous devez demander une autorisation ERN . Voici des exemples de cryptage standard: AES, SSL, https . Cette autorisation requiert que vous soumettiez un rapport annuel à deux agences du gouvernement des États-Unis contenant des informations sur votre application chaque année en janvier. "
" 2e question: votre produit est-il admissible aux exemptions prévues à la catégorie 5, partie 2?
La réglementation des États-Unis en matière d’exportation prévoit plusieurs exemptions au titre de la catégorie 5, partie 2 (réglementations en matière de sécurité et de cryptage de l’information) pour les applications et logiciels qui utilisent, accèdent, implémentent ou incorporent le cryptage.
Toutes les responsabilités associées à une mauvaise interprétation de la réglementation en matière d'exportation ou à une demande de dérogation inexacte sont à la charge des propriétaires et des développeurs des applications.
Vous pouvez répondre "OUI" à la question si vous remplissez l'un des critères suivants:
(i) si vous déterminez que votre application n'est pas classée dans la catégorie 5, partie 2 de l'AER, sur la base des indications fournies par BRI à l'adresse question relative au cryptage . La Déclaration d’entente relative à l’équipement médical dans le Supplément n ° 3 à la Partie 774 de l’AEP est accessible sur le site du Code de réglementation fédérale. Veuillez consulter la question 15 dans la section FAQ de la page de chiffrement pour consulter des exemples d'éléments répertoriés par BIS pouvant prétendre à des exemptions en vertu de la note 4.
(ii) votre application utilise, accède, implémente ou incorpore un cryptage à des fins d'authentification uniquement
(iii) votre application utilise, accède, implémente ou incorpore un cryptage avec des longueurs de clé n'excédant pas 56 bits symétriques, 512 bits asymétriques et/ou une courbe elliptique de 112 bits
(iv) votre application est un produit du marché de masse avec des longueurs de clé ne dépassant pas 64 bits symétriques ou, en l'absence d'algorithmes symétriques, ne dépassant pas 768 bits asymétriques et/ou 128 bits à courbe elliptique.
Veuillez examiner la note 3 de la catégorie 5, partie 2 pour comprendre les critères de définition du marché de masse.
(v) votre application est spécialement conçue et limitée pour une utilisation bancaire ou des "transactions monétaires". Le terme "transactions monétaires" inclut la collecte et le règlement de fonctions de tarification ou de crédit.
(vi) le code source de votre application est "accessible au public", votre application est distribuée gratuitement au grand public et vous avez satisfait aux exigences de notification définies à l'article 740.13. (e).
Visitez la page Web cryptage au cas où vous auriez besoin d'une aide supplémentaire pour déterminer si votre application remplit les conditions requises pour bénéficier d'une exemption.
Si vous pensez que votre application peut bénéficier d'une exemption, répondez "Oui" à la question. "
Il n'est pas difficile d'obtenir l'approbation de votre application de la bonne manière. SSL (HTTPS/TLS) est toujours un cryptage et, à moins que vous ne l'utilisiez uniquement pour l'authentification, vous devez obtenir l'approbation appropriée. Je viens juste de recevoir l'approbation et mon application est actuellement dans le magasin pour quelque chose qui utilise SSL pour chiffrer le trafic de données (pas seulement l'authentification).
Voici une entrée de blog que j'ai faite afin que d'autres puissent le faire de la bonne façon.
J’ai posé la même question à Apple et obtenu la réponse (d’un spécialiste principal de la conformité des exportations), selon laquelle "envoyer des informations via https force les données à passer par un canal sécurisé à partir de SSL; l'exigence du gouvernement des États-Unis pour un examen et une approbation du CCATS. " Notez que peu importe que Apple l'ait déjà fait pour son implémentation SSL, mais pour le gouvernement, si vous UTILISEZ un cryptage identique à celui que vous auriez codé vous-même. J'ai également mis à jour notre blog ( http://blog.theanimail.com ) puisque Tim y a associé des mises à jour et des détails sur le processus. J'espère que ça t'as aidé.
Si vous utilisez le framework de sécurité ou les bibliothèques CommonCrypto fournies par Apple, vous incluez le cryptage dans votre application et vous devez répondre oui, donc simplement parce que les bibliothèques fournies par Apple ne vous prennent pas décroché.
En ce qui concerne la question initiale, les récents messages publiés dans les Apple Forums de développement me donnent à penser que vous devez répondre par l'affirmative, même si vous utilisez uniquement le protocole SSL.
À partir du 20 septembre 2016, l'enregistrement n'est plus nécessaire pour les applications utilisant https (ou peut-être d'autres formes de cryptage): https://web.archive.org/web/20170312060607/https://www. bis.doc.gov/index.php/informationsecurity2016-updates
En fait, sur SNAP-R, vous ne pouvez plus choisir "enregistrement de chiffrement": 
Plus précisément, ils notent:
Les enregistrements de chiffrement ne sont plus nécessaires - certaines des informations de l'enregistrement vont maintenant au Supp. Rapport No. 8 à la partie 742.
Cela signifie que vous devrez peut-être envoyer un rapport annuel à BIS, mais vous n'avez pas besoin de vous enregistrer et vous pouvez noter lors de la soumission de votre application que celle-ci est exemptée.
Tout cela peut être très déroutant pour un développeur d'applications qui utilise simplement TLS pour se connecter à ses propres serveurs Web. Parce que ATS (App Transport Security) devient de plus en plus important et que nous sommes encouragés à tout convertir en https - je pense que davantage de développeurs vont rencontrer ce problème.
Mon application échange simplement des données entre notre serveur et l'utilisateur à l'aide du protocole https. Voir les mots "UTILISATION ENCRYPTION" dans les renonciations est un peu effrayant, alors j’ai appelé le bureau du gouvernement des États-Unis à leur bureau et j’ai parlé à un représentant du Bureau de l’industrie et de la sécurité (BIS) http: // www .bis.doc.gov/index.php/about-bis/contact-bis .
Le représentant m'a interrogé sur mon application et, depuis qu'elle a passé le "test de fonction principal", en ce sens que cela n'avait rien à voir avec la sécurité/les communications et utilisait simplement https comme canal pour la connexion des données de mes clients à nos serveurs - il appartenait à la catégorie EAR99. ce qui signifie qu'il est dispensé d'obtenir l'autorisation du gouvernement (voir https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn )
J'espère que cela aide les autres développeurs d'applications.
Réponse courte: oui, mais vous n'avez rien à faire
Je cherchais cela sur le Web pendant quelques heures. En fait, c'est assez simple et vous pouvez le vérifier dans iTunes connect:
1. Tout ce que vous avez à faire
Si votre application utilise uniquement HTTPS ou utilise le chiffrement uniquement pour l'authentification, les jetons, etc., , vous n'avez rien à faire, il suffit d'inclure
<key>ITSAppUsesNonExemptEncryption</key><false/>
dans votre Info.plist et vous avez terminé .
2. Vérification
Vous pouvez vérifier ceci dans iTunes Connect.
- sélectionnez votre application
- choisir les fonctionnalités
- choisi le cryptage
- cliquez sur "+"
- suivez le dialogue
- pour https ou authentification, la réponse est oui et oui
Dans tous les cas, vous devez bien sûr vous lire attentivement dans la boîte de dialogue.
Un article très utile peut être trouvé ici:
https://www.cocoanetics.com/2017/02/iTunes-connect-encryption-info/
Oui, selon les écrans d'informations de conformité à l'exportation d'iTunes Connect, si vous utilisez le cryptage iOS ou MacOS intégré (trousseau, https), vous utilisez le cryptage aux fins de la réglementation du gouvernement américain en matière d'exportation. Que vous soyez ou non admissible à une exemption de conformité en matière d'exportation dépend de ce que fait votre application et de la manière dont elle utilise ce cryptage. Les images jointes illustrent les écrans de conformité à l'exportation d'iTunes Connect pour vous aider à déterminer vos obligations en matière de rapports d'exportation. On y lit notamment:
Si vous utilisez ATS ou appelez HTTPS, veuillez noter que vous devez soumettre un rapport d'auto-classification de fin d'année au gouvernement américain. en savoir plus
@hisnameisjimmy a raison: vous remarquerez (au moins à compter d'aujourd'hui, le 1er décembre 2016) que lorsque vous allez soumettre votre application pour examen et que vous accédez à la procédure d'exportation, vous remarquerez que le menu indique désormais que HTTPS est une version exemptée de chiffrement (si vous l'utilisez pour chaque appel):
J'ai trouvé ce FAQ du Bureau de l'industrie et de la sécurité des États-Unis très utile.
La question 15 (Qu'est-ce que la note 4?) Est le point important:
...
Les exemples d'éléments exclus de la catégorie 5, partie 2, par la note 4 incluent, sans toutefois s'y limiter, les éléments suivants:
Applications grand public. Quelques exemples:
prévention du piratage et du vol de logiciels ou de musique; musique, films, musique, photos numériques - lecteurs, enregistreurs et organisateurs jeux/appareils - appareils, logiciel d'exécution, interfaces HDMI et autres composants, outils de développement LCD télévision, Blu-ray/DVD, vidéo allumée demande (VoD), cinéma, enregistreurs vidéo numériques (DVR)/enregistreurs vidéo personnels (PVR) - appareils, guides multimédias en ligne, intégrité et protection du contenu commercial, interfaces HDMI et autres composants (pas de visioconférence); imprimantes, copieurs, scanners, appareils photo numériques, caméras Internet - y compris les pièces et sous-ensembles utilitaires et appareils ménagers
Vous avez trouvé certaines de ces réponses très utiles, mais vous souhaitez ajouter cette adresse URL pour qu'elle soit complète, car elle vous guidera à travers les questions:
https://itunespartner.Apple.com/fr/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148
Si vous n'utilisez pas explicitement une bibliothèque de chiffrement ou n'utilisez pas votre propre code de chiffrement, je pense que la réponse est "non".