提问人:Steven Fisher 提问时间:1/26/2010 最后编辑:Steven Fisher 更新时间:12/8/2021 访问量:285124
我的应用程序是否“包含加密”?
Does my application "contain encryption"?
问:
我是第一次上传二进制文件。iTunes Connect 问我:
出口法律要求包含加密的产品必须获得适当的出口授权。
不遵守可能会导致严厉的处罚。
欲了解更多信息,请点击这里。
您的产品是否包含加密?
我使用 ,但只能通过 和 。https://NSURLConnectionUIWebView
我对此的理解是,我的应用程序不“包含加密”,但我想知道这是否在任何地方都有详细说明。“严厉的处罚”听起来一点也不愉快,所以“我认为这是对的”有点粗略......权威的答案会更好。
谢谢。
答:
-2赞
Jason
1/26/2010
#1
如果你没有明确使用加密库,或者滚动你自己的加密代码,那么我认为答案是否定的
评论
10赞
BlueRaja - Danny Pflughoeft
1/26/2010
详细说明:您正在使用加密 (TLS),但它已获得从美国出口的适当授权(并且随 iPhone 一起提供),因此您没问题。
0赞
Steven Fisher
1/26/2010
聪明的评论,BlueRaja。我只是想着不写代码,但从你的角度想想,很明显苹果的HTTPS已经授权了。我认为,这使问题变得简单得多。
12赞
Steve Madsen
3/14/2010
仅仅因为某个库已获得出口许可,并不意味着使用该库的产品也已获得许可。我知道这在逻辑上没有意义,但这是我们正在讨论的政府。如果您想要权威的答案,请参阅 Tim 答案中的链接,或直接询问 Apple 或美国 BIS。
38赞
Tim
1/26/2010
#2
如果您使用 Apple 提供的安全框架或 CommonCrypto 库,您确实在您的应用程序中包含加密,并且您必须回答“是”——因此,仅仅因为库是由 Apple 提供的,并不能让您摆脱困境。
关于最初的问题,最近在Apple开发论坛上的帖子使我相信,即使您使用的只是SSL,您也需要回答“是”。
评论
0赞
Justin Searls
2/5/2010
据我所知,这是正确的。加密出口法律的严格程度非常严格(考虑到软件可以毫不费力地通过网络传输),但这一要求与特定的加密方法或实现是否“授权”无关,而是首先对使用它的系统(您的应用程序)进行审查。然而,#IANAL。
0赞
isJulian00
12/17/2018
有谁知道如果我们使用 InMobi SDK(位于印度境外)他们希望我们填写的表格,如果这被认为是非美国组件和非美国制造的?
49赞
der_flop
2/26/2010
#3
我问了苹果公司同样的问题,并得到了答案(来自高级出口合规专家),“通过https发送信息会迫使数据通过SSL的安全通道,因此它符合美国政府对CCATS审查和批准的要求。请注意,苹果已经为他们的SSL实施这样做了,但对于政府来说,如果你使用的加密(对他们来说)与你自己编码的加密相同,这并不重要。我还更新了我们的博客(http://blog.theanimail.com),因为 Tim 链接到它,其中包含有关该过程的更新和详细信息。希望能有所帮助。
评论
29赞
Udo
11/20/2010
“高级出口合规专家”,认真的?苹果公司是否有一支初级出口合规专家大军,他们只就合规问题提供马马虎虎的建议?我想你被骗了。可以理解的是,苹果希望在谨慎方面犯错。但规范出口限制的实际协议将表明他们错了:httpd.apache.org/docs/2.0/ssl/ssl_faq.html
0赞
Ivan Vučica
1/14/2012
@Udo 你指的是“mod_ssl是否受到瓦森纳尔安排的影响”这一节?如果你是,虽然我不知道OP问题的正确答案是什么,但我想指出,你提到的文档不适用,因为没有App Store应用程序“不受进一步传播的限制”。我非常非常希望被证明是错的......
18赞
Nate
7/1/2012
@Udo和那些为他的评论投赞成票的人。哦,你怎么错了。第一,你可能在使用你的常识——这将是你的第一个错误。在出口管制方面,常识并不适用。其次,httpd.apache.org 不是隶属于美国商务部的网站,所以如果你相信该网站上的任何信息,你就犯了另一个错误。值得一提的是,我职业生涯的大部分时间都花在了编写情报软件上,其中大部分用于出口到其他国家的国防产品。我知道我在说什么(不幸的是)。
12赞
bbozo
7/7/2015
@Nate,这是否意味着没有初级出口合规专家大军?:)
0赞
isJulian00
12/17/2018
有谁知道如果我们使用 InMobi SDK(位于印度境外)他们希望我们填写的表格,如果这被认为是非美国组件和非美国制造的?
91赞
Tige Phillips
1/18/2011
#4
以正确的方式获得应用的批准并不难。SSL (HTTPS/TLS) 仍然是加密,除非您仅将其用于身份验证,否则您应该获得适当的批准。我刚刚获得批准,我的应用现在在商店中,用于使用 SSL 加密数据流量(而不仅仅是身份验证)的东西。
这是我写的一篇博客文章,以便其他人可以以正确的方式做到这一点。
评论
0赞
Chris Prince
9/26/2014
谢谢你。现在看来,CIN/PIN 的初始请求必须通过平邮方式,而不是传真或电子邮件。在相关页面(snapr.bis.doc.gov/snapr/docs/fieldHelp.html 并搜索“电子提交信”)上,他们没有提供平邮地址。有人知道这是什么吗?
1赞
PICyourBrain
7/21/2015
仅供参考 - 如果您只计划在美国和加拿大提供您的应用程序,则这些都无关紧要。这是来自 iTunes Connect 支持文档:“(如果)开发人员选择仅在美国和加拿大发布其应用程序。-- 不需要美国 CCATS 或 ERN。无需法国进口报关单。"
0赞
isJulian00
12/17/2018
有谁知道如果我们使用 InMobi SDK(位于印度境外)他们希望我们填写的表格,如果这被认为是非美国组件和非美国制造的?
0赞
Mattias
8/19/2019
嘿,我刚刚发送了年度出口合规。大约需要多长时间才能回答,以便我可以上传它,将其上传到苹果,以便应用程序可以发布?谢谢
8赞
user2089118
2/20/2013
#5
我发现美国工业和安全局的这个常见问题解答非常有帮助。
问题15(什么是注4?)是重要的一点:
...
附注 4 排除在第 5 类第 2 部分中的项目示例包括但不限于以下内容:
消费者应用。一些例子:
软件或音乐的盗版和防盗; 音乐、电影、曲调/音乐、数码照片 – 播放器、录音机和组织者 游戏/游戏 – 设备、运行时软件、HDMI 和其他组件接口、开发工具 液晶电视、蓝光/DVD、视频点播 (VoD)、电影院、数字录像机 (DVR) /个人录像机 (PVR) – 设备、在线媒体指南、商业内容完整性和保护、HDMI 和其他组件接口(非视频会议); 打印机、复印机、扫描仪、数码相机、互联网摄像机 – 包括零件和子组件 家用公用设施和电器
262赞
MikhailSP
4/18/2013
#6
更新:自 2016 年 9 月下旬起,使用 HTTPS 现在不受 ERN 的约束
https://stackoverflow.com/a/40919650/4976373
不幸的是,我认为即使您只使用 HTTPS(如果您的应用程序不是问题 2 中包含的例外),您的应用程序也“包含美国 BIS 加密”。
"我如何知道我是否可以遵循出口商注册和报告 (ERN) 流程?
如果您的应用使用、访问、实现或合并行业标准加密算法,但用于问题 2 中列出的豁免目的以外的目的,则需要提交 ERN 授权。标准加密的示例包括:AES、SSL、https。此授权要求您在每年 1 月向两个美国政府机构提交年度报告,其中包含有关您的应用的信息。 "
"第二个问题:您的产品是否有资格获得第 5 类第 2 部分提供的任何豁免?
美国出口法规第 5 类第 2 部分(信息安全和加密法规)对使用、访问、实施或合并加密的应用程序和软件有几项豁免。
与误解出口法规或不准确申请豁免相关的所有责任均由应用程序的所有者和开发者承担。
如果您符合以下任何条件,您可以对问题回答“是”:
(i) 如果您根据 BIS 在加密问题中提供的指导,确定您的应用程序未被归类为 EAR 第 2 部分第 5 类。《出口管理条例》第 774 部分第 3 号补充协议中关于医疗设备的谅解声明可在联邦法规电子法典网站上访问。请访问加密页面“常见问题”部分的问题#15,了解BIS列出的可以申请注4豁免的示例项目。
(ii) 您的应用仅使用、访问、实施或合并用于身份验证的加密
(iii) 您的应用使用、访问、实施或合并密钥长度不超过 56 位对称、512 位非对称和/或 112 位椭圆曲线的加密
(iv) 您的应用是大众市场产品,密钥长度不超过 64 位对称,如果没有对称算法,则不超过 768 位非对称和/或 128 位椭圆曲线。
请查看第 5 类第 2 部分的注 3,以了解大众市场定义的标准。
(v) 您的应用程序是专门为银行用途或“货币交易”而设计的。术语“货币交易”包括票价或信用功能的收取和结算。
(vi) 您的应用的源代码是“公开可用的”,您的应用免费向公众分发,并且您已满足 740.13 规定的通知要求。(e)。
请访问加密网页,以防您需要进一步的帮助来确定您的应用是否有资格获得任何豁免。
如果您认为您的应用符合豁免条件,请对问题回答“是”。
评论
7赞
Steven Fisher
4/19/2013
这是一个很好的答案。事实上,这太棒了,我已经接受了。不过,该链接不一定是可遵循的。若要访问文稿,请登录 iTunes Connect,点按页面底部的“常见问题”链接,然后点按 App Store 的“全球贸易合规”。
42赞
Andrew Alcock
2/25/2014
有一个名为“Note 4”的更新,它免除了大多数商业应用程序的类别 5 第 2 部分:bis.doc.gov/index.php/policy-guidance/encryption/......这意味着大多数使用加密来支持其主要功能的应用程序无需注册即可
7赞
JosephH
2/26/2014
@AndrewAlcock 仅当其主要功能不是“信息安全”,也不是“计算机,包括操作系统及其部件和组件”,也不是“发送、接收或存储信息(支持娱乐、大众商业广播、数字版权管理或医疗记录管理除外)”,也不是“网络”(包括操作、管理、管理和提供)。不幸的是,我认为许多商业应用程序仍然需要注册。不过,游戏现在可能没问题了!
35赞
H.Rabiee
5/20/2015
那么,如果我的应用通过 https 访问 api,它是否符合条件?您能举例说明这四个标准吗?
28赞
Erika Electra
9/13/2016
你不能指望车库里的每个独立应用程序开发人员都聘请律师。这很昂贵,而且可能很耗时,而且所有的解释开销都很大。
49赞
Ed Trujillo
7/1/2016
#7
对于仅使用 TLS 连接到自己的 Web 服务器的应用程序开发人员来说,所有这些都可能非常令人困惑。因为 ATS(应用程序传输安全)变得越来越重要,我们被鼓励将所有内容转换为 https - 我认为更多的开发人员会遇到这个问题。
我的应用程序只是使用 https 协议在我们的服务器和用户之间交换数据。在免责声明中看到“使用加密”这个词有点吓人,所以我给美国政府办公室打了个电话,并与工业和安全局 (BIS) 的代表进行了交谈 http://www.bis.doc.gov/index.php/about-bis/contact-bis。
该代表向我询问了我的应用程序,因为它通过了“主要功能测试”,因为它与安全/通信无关,只是使用 https 作为将我的客户数据连接到我们的服务器的通道 - 它属于 EAR99 类别,这意味着它无需获得政府许可(见 https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn)
我希望这对其他应用程序开发人员有所帮助。
评论
0赞
Steven Fisher
7/1/2016
这是凭记忆,我有一段时间没有看到屏幕了,但是:如果你现在浏览上传器,你可以对加密问题回答“是”,下一个问题与豁免有关。它进行了一些详细的解释,我没有问题将我的应用程序视为具有加密功能并无论如何都可以通过它。
5赞
Vitalii
11/10/2016
总而言之,使用https进行客户端-服务器通信的普通消费者应用程序通常属于注4豁免。因此,普通的独立开发者应该简单地选择“是”,然后再次选择“是”,然后直接提交。iTunes Connect FAQ甚至在FAQ中有一个指向此问题#5的链接,解释了Note 4,甚至有一些示例:bis.doc.gov/index.php/policy-guidance/encryption/...
1赞
1800 INFORMATION
11/22/2018
@Vitalii此链接现在是 404
0赞
Vitalii
11/23/2018
@1800INFORMATION事情发生了变化。我的评论日期是 2016 年。从那时起,要求发生了一些变化。最好依靠 Apple 的文档:help.apple.com/app-store-connect/#/devc3f64248f
0赞
isJulian00
12/17/2018
有谁知道如果我们使用 InMobi SDK(位于印度境外)他们希望我们填写的表格,如果这被认为是非美国组件和非美国制造的?
34赞
hisnameisjimmy
11/3/2016
#8
自 2016 年 9 月 20 日起,使用 https(或其他形式的加密)的应用不再需要注册: https://web.archive.org/web/20170312060607/https://www.bis.doc.gov/index.php/informationsecurity2016-updates
事实上,在 SNAP-R 上,您不能再选择“加密注册”:
具体来说,他们指出:
不再需要加密注册 - 部分信息 从注册到现在的增刊第 8 号到第 742 部分 报告。
这意味着您可能需要向 BIS 发送年度报告,但您不需要注册,并且可以在提交应用程序时注明它是豁免的。
评论
2赞
bluish
2/1/2019
谢谢,但链接已损坏。你能在互联网上的某个地方找到原始文章吗?
22赞
Jake
12/2/2016
#9
@hisnameisjimmy正确:你会注意到(至少从今天,2016 年 12 月 1 日开始),当你提交应用以供审核并访问导出合规性演练时,你会注意到菜单现在指出 HTTPS 是加密的豁免版本(如果你在每次调用中都使用它):
评论
2赞
Steven Fisher
12/2/2016
这种情况已经有一段时间了,但这个答案无法回答这个问题:是的,您的应用程序包含加密。另外,是的,未来的问题可以让你摆脱困境。这也正是公认的答案所说的,只有公认的答案说得更好。编辑:此外,您对该答案的编辑是多余的。
0赞
Ian Warburton
6/23/2018
仅限于在操作系统中使用加密是否包括自动备份到云的数据?
0赞
isJulian00
12/17/2018
有谁知道如果我们使用 InMobi SDK(位于印度境外)他们希望我们填写的表格,如果这被认为是非美国组件和非美国制造的?
28赞
dferrero
6/7/2017
#10
是的,根据 iTunes Connect 的“出口合规性信息”屏幕,如果您使用内置的 iOS 或 MacOS 加密(钥匙串、https),则您使用的加密是出于美国政府出口法规的目的。您是否有资格获得出口合规性豁免取决于您的应用的功能以及它如何使用这种加密。随附的图片显示了 iTunes Connect 出口合规性屏幕,以帮助您确定出口报告义务。特别是,它指出:
如果您正在使用 ATS 或调用 HTTPS,请注意,您需要向美国政府提交年终自我分类报告。了解更多信息
评论
35赞
Tim Tisdall
7/18/2017
我认为可能需要法律学位才能理解“了解更多”链接下的任何内容......那里绝对没有任何东西表明你是如何制作这份“年终自我分类报告”的。
12赞
Suhaib
8/5/2017
所以一个简单的按钮,在浏览器中打开一个https url,以便用户可以找到我的Twitter帐户,这将使我不得不向美国政府提交年终自我分类报告?哇
4赞
dragi
11/21/2017
很难找到,所以这里是自我分类报告指南的链接(直到他们再次移动它):bis.doc.gov/index.php/policy-guidance/encryption/......
2赞
csga5000
5/25/2018
@Suhaib - 在浏览器中打开链接可能不算在内 - 您的应用未使用 HTTPS,您的应用正在打开另一个应用。该应用程序可能使用也可能不使用 HTTPS(在这种情况下,该应用程序是 safari 或 chrome 或类似应用程序)
1赞
Rony Azrak
12/27/2018
你们有没有想出如何制作这份年度自我分类报告?(作为非律师哈哈)
75赞
Simon C.
10/11/2017
#11
简短的回答:是的,但你不必做任何事情
我在网上搜索了几个小时。实际上,这很容易,您可以在itunes connect中验证这一点:
1. 你所要做的
如果您的应用仅使用 HTTPS 或仅对身份验证、令牌等使用加密,则无需执行任何操作,只需包含即可
<key>ITSAppUsesNonExemptEncryption</key><false/>
在您的 Info.plist 中,您就完成了。
2. 验证
您可以在 itunes connect 中验证这一点。
- 选择你的应用
- 选择的功能
- 选择加密
- 点击“+”
- 按照对话框操作
- 对于 https 或身份验证,答案是肯定的和肯定的
无论如何,您当然应该仔细阅读对话框。
可以在这里找到一篇非常有用的文章:
https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/
评论
10赞
Joshua Plicque
12/30/2017
我正在阅读Apple的以下内容:“您的应用程序对加密的使用仅限于通过HTTPS进行调用。请注意,您将负责在年底提交自我分类报告。我认为您仍然必须每年一月在这里自我归类为豁免:bis.doc.gov/index.php/policy-guidance/encryption/......
0赞
isJulian00
12/17/2018
有谁知道如果我们使用 InMobi SDK(位于印度境外)他们希望我们填写的表格,如果这被认为是非美国组件和非美国制造的?
7赞
patel dhruval
5/28/2020
#12
简单的答案是“是”(应用具有加密功能)和“是”(应用使用豁免加密)。 在我的应用程序中,我刚刚在 WKWebView 中打开了我公司的网站,但由于它使用“https”,因此它将被视为豁免加密。 有关详细信息,请 Apple 文档: https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc
或者,只需在应用的 info.plist 文件中添加密钥“ITSAppUsesNonExemptEncryption”和值“NO”。这样,iTunes connect就不会再问你这个问题了。 更多的信息: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc
您可以按照以下 3 个简单步骤来验证您的申请是否获得豁免: https://help.apple.com/app-store-connect/#/dev63c95e436
您可能需要向美国政府提交此年度自我分类。欲了解更多信息,请访问:https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification
评论
1赞
oliverbytes
4/27/2022
嗨,帕特尔,所以如果我像你提到的那样回答“是”,我需要向美国提交年度自我分类吗?
1赞
janaz
7/14/2021
#13
看起来像 HTTPS 计数
0赞
Seeker
9/22/2021
#14
只是补充我个人对一个非常特殊情况的解释: 在我的应用程序中,用户可以选择自己访问网站或让我的应用程序打开 Safari,Safari 将调用 HTTPS 网站。可以是任何 - 自己的网站、文章等。我解释 Safari 进行实际的 HTTPS 调用,而不是我的应用程序,因此用“否”回答第一个问题(或在 info.plist 中设置标志),并且不需要每年报告。
评论