这是我第一次上传二进制文件。iTunes Connect问我:
出口法律要求含有加密技术的产品必须得到适当的出口授权。 如果不遵守,可能会受到严厉的处罚。 欲了解更多信息,请点击这里。 你的产品包含加密吗?
我使用https://,,但只通过NSURLConnection和UIWebView。
我对此的解读是,我的应用程序不“包含加密”,但我想知道这一点是否在任何地方都拼出来了。“严厉的惩罚”听起来一点也不令人愉快,所以“我认为这是正确的”有点粗略……权威的答案会更好。
谢谢。
这是我第一次上传二进制文件。iTunes Connect问我:
出口法律要求含有加密技术的产品必须得到适当的出口授权。 如果不遵守,可能会受到严厉的处罚。 欲了解更多信息,请点击这里。 你的产品包含加密吗?
我使用https://,,但只通过NSURLConnection和UIWebView。
我对此的解读是,我的应用程序不“包含加密”,但我想知道这一点是否在任何地方都拼出来了。“严厉的惩罚”听起来一点也不令人愉快,所以“我认为这是正确的”有点粗略……权威的答案会更好。
谢谢。
当前回答
I asked Apple the very same question and got the answer (from a Sr. Export Compliance Specialist), that "sending information over https is forcing the data to go through a secure channel from SSL, therefore it falls under the U.S. Government requirement for a CCATS review and approval." Note that it doesn't matter that Apple has already done this for their SSL implementation, but for the government, if you USE encryption that is the same (to them) as you would've coded it yourself. I also updated our blog (http://blog.theanimail.com) since Tim linked to it with updates and details on the process. Hope that helps.
其他回答
I asked Apple the very same question and got the answer (from a Sr. Export Compliance Specialist), that "sending information over https is forcing the data to go through a secure channel from SSL, therefore it falls under the U.S. Government requirement for a CCATS review and approval." Note that it doesn't matter that Apple has already done this for their SSL implementation, but for the government, if you USE encryption that is the same (to them) as you would've coded it yourself. I also updated our blog (http://blog.theanimail.com) since Tim linked to it with updates and details on the process. Hope that helps.
更新:从2016年9月下旬起,使用HTTPS现在不受ERN限制
https://stackoverflow.com/a/40919650/4976373
不幸的是,我认为你的应用程序在US BIS方面“包含加密”,即使你只是使用HTTPS(如果你的应用程序不是问题2中的例外)。
引用自iTunes Connect常见问题解答:
“我如何知道我是否可以遵守出口商登记和报告(ERN)程序?”
如果您的应用程序使用、访问、实现或合并行业标准加密算法,而不是出于问题2中列出的豁免目的,您需要提交ERN授权。标准加密的例子有:AES, SSL, https。该授权要求你每年1月向两个美国政府机构提交一份关于应用程序信息的年度报告。 "
“第二个问题:你们的产品是否符合第5类第2部分规定的任何豁免?
在美国出口法规第5类第2部分(信息安全与加密法规)中,对于使用、访问、实现或合并加密的应用程序和软件有一些豁免。
因对出口规定的误解或不准确地申请豁免而引起的一切责任由应用程序的所有者和开发者承担。
如果你符合以下任何一个条件,你可以回答“是”:
(i)如果您根据BIS提供的关于加密问题的指导,确定您的应用程序不属于EAR第5类第2部分。EAR第3至第774部分中的医疗设备谅解声明可在联邦法规电子代码网站上访问。请访问加密页面常见问题部分的问题#15,以了解BIS列出的可以申请注4豁免的示例项目。
(ii)您的应用程序仅使用、访问、实现或合并加密进行身份验证
(iii)你的应用程序使用、访问、实现或合并密钥长度不超过56位对称、512位非对称和/或112位椭圆曲线的加密
(iv)你的应用程序是一个大众市场产品,密钥长度不超过64位对称,或者如果没有对称算法,不超过768位非对称和/或128位椭圆曲线。
请回顾第2部分第5类中的注释3,以了解大众市场定义的标准。
(v)你的应用程序是专门设计的,仅限于银行使用或“货币交易”。“货币交易”一词包括费用的收取和结算或信贷功能。
(vi)你的应用程序的源代码是“公开可用的”,你的应用程序免费分发给公众,并且你已经满足了740.13规定的通知要求。
请访问加密网页,以防您需要进一步的帮助,以确定您的应用程序是否有资格获得任何豁免。
如果您认为您的应用程序有资格获得豁免,请回答“是”。
如果你使用苹果提供的安全框架或CommonCrypto库,你的应用程序中包含了加密,你必须回答“是”——仅仅因为库是由苹果提供的,并不能让你摆脱困境。
关于最初的问题,最近在苹果开发论坛上的帖子让我相信,即使你只使用SSL,你也需要回答“是”。
简单的答案是Yes(应用程序有加密)和Yes(应用程序使用免加密)。 在我的申请中,我只是在WKWebView中打开我公司的网站,但由于它使用“https”,它将被视为豁免加密。 更多信息请访问:https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc
或者,你也可以在应用的信息中添加键ITSAppUsesNonExemptEncryption和值NO。plist文件。这样iTunes connect就不会再问你这些问题了。 更多信息:https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc
您可以遵循以下3个简单的步骤来验证您的申请是否免税:https://help.apple.com/app-store-connect/#/dev63c95e436
你可能需要将这份年度自我分类提交给美国政府。更多信息请访问:https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification
是的,根据iTunes Connect出口合规性信息屏幕,如果您使用内置的iOS或MacOS加密(keychain, https),则您是在为美国政府出口法规的目的使用加密。你是否有资格获得出口合规性豁免取决于你的应用程序做什么以及它如何使用这种加密。附图显示iTunes Connect出口合规屏幕,以帮助您确定您的出口报告义务。它特别指出:
如果您正在使用ATS或呼叫HTTPS,请注意您需要向美国政府提交一份年终自我分类报告。了解更多