내 응용 프로그램에 "암호화가 포함되어 있습니까?"

바이너리를 처음으로 업로드하고 있습니다. 아이튠즈 커넥트가 나에게 물었다 :

수출 법에 따라 암호화가 포함 된 제품은 수출 허가를 받아야합니다.
준수하지 않으면 심각한 처벌을받을 수 있습니다.
자세한 내용은 여기를 클릭하십시오.
제품에 암호화가 포함되어 있습니까?

내가 사용하는 https://, 그러나 단지를 통해 NSURLConnection하고 UIWebView.

이것에 대한 나의 독서는 내 응용 프로그램이 "암호화를 포함하지 않는다"는 것이지만, 이것이 어디에서 철자가되는지 궁금합니다. "심각한 불이익"은 전혀 유쾌하지 않은 것으로 들리므로 "그렇다고 생각합니다."는 다소 개략적 인 것입니다. 권위있는 답변이 더 나을 것입니다.

감사.

[ 업데이트 : 2016 년 9 월 말 현재 HTTPS 사용이 ERN에서 제외됨] https://stackoverflow.com/a/40919650/4976373

불행히도, HTTPS 만 사용하더라도 (앱이 질문 2에 예외가 아닌 경우) 미국 BIS와 관련하여 앱에 "암호화가 포함되어 있다고 생각합니다.

iTunes Connect의 FAQ에서 인용 :

" ERN (Exporter Registration and Reporting) 프로세스를 따를 수 있는지 어떻게 알 수 있습니까?

앱이 질문 2에서 제외로 나열된 목적 이외의 목적으로 산업 표준 암호화 알고리즘을 사용 , 액세스, 구현 또는 통합 하는 경우 ERN 인증을 제출해야합니다 . 표준 암호화의 예는 AES, SSL, https 입니다. 이 승인을 받으려면 매년 1 월마다 앱에 대한 정보가 담긴 2 개의 미국 정부 기관에 연례 보고서를 제출해야합니다. "

" 두 번째 질문 : 귀하의 제품이 카테고리 5 파트 2에 따라 제공된 면제를받을 자격이 있습니까?

암호화를 사용, 액세스, 구현 또는 통합하는 응용 프로그램 및 소프트웨어에 대해서는 카테고리 5 파트 2 (정보 보안 및 암호화 규정)에 따라 미국 수출 규정에서 사용할 수있는 몇 가지 면제 사항이 있습니다.

수출 규정의 잘못된 해석 또는 부정확 한 청구 주장과 관련된 모든 책임은 앱의 소유자와 개발자가 부담합니다.

다음 기준 중 하나라도 충족하면 질문에 "예"라고 대답 할 수 있습니다.

(i) 앱이 암호화 질문 에서 BIS가 제공 한 지침에 따라 EAR의 카테고리 5, 파트 2로 분류되지 않았다고 판단한 경우 . EAR의 부록 3에서 774 번까지의 의료 장비에 대한 이해 성명서는 전자 규정 연방 사이트에서 확인할 수 있습니다. 참고 4 면제를 청구 할 수있는 BIS에 나열된 샘플 항목에 대해서는 암호화 페이지의 FAQ 섹션에있는 질문 # 15를 방문하십시오.

(ii) 앱에서 인증 목적으로 만 암호화를 사용, 액세스, 구현 또는 통합

(iii) 앱이 56 비트 대칭, 512 비트 비대칭 및 / 또는 112 비트 타원 곡선을 초과하지 않는 키 길이의 암호화를 사용, 액세스, 구현 또는 통합

(iv) 앱은 키 길이가 64 비트 대칭을 초과하지 않거나 대칭 알고리즘이없는 경우 768 비트 비대칭 및 / 또는 128 비트 타원 곡선을 초과하지 않는 대량 시장 제품입니다.

대량 시장 정의의 기준을 이해하려면 카테고리 5 파트 2의 참고 3을 검토하십시오.

(v) 앱은 은행 용도 또는 '돈 거래'를 위해 특별히 설계되고 제한됩니다. '돈 거래'라는 용어에는 요금 또는 신용 기능의 수집 및 결제가 포함됩니다.

(vi) 앱의 소스 코드는“공개적으로 제공”되며, 앱은 일반 대중에게 무료로 배포되며 740.13. (e)에 따라 제공되는 알림 요구 사항을 충족합니다.

앱이 면제 대상인지 확인하는 데 추가 도움이 필요한 경우 암호화 웹 페이지를 방문하십시오 .

귀하의 앱이 면제 대상이라고 생각되면 질문에 "예"라고 대답하십시오. "

올바른 방법으로 앱에 대한 승인을 얻는 것은 어렵지 않습니다. SSL (HTTPS / TLS)은 여전히 ​​암호화되어 있으며 인증 용도로만 사용하지 않으면 적절한 승인을 받아야합니다. 방금 승인을 받았으며 이제 내 앱이 SSL을 사용하여 데이터 트래픽을 암호화하는 것 (인증뿐만 아니라)을 위해 스토어에 있습니다.

여기에 다른 사람들이 올바른 방법으로 할 수 있도록 작성한 블로그 항목이 있습니다.

사과 아이튠즈 수출 제한

애플에게도 똑같은 질문을했고, https를 통해 정보를 보내면 데이터가 SSL에서 안전한 채널을 통과해야하므로 미국 정부의 요구 사항에 해당한다는 답변을 받았습니다 (Sr. Export Compliance Specialist). CCATS 검토 및 승인. " Apple이 SSL 구현을 위해 이미이 작업을 수행 한 것은 중요하지 않지만 정부에서 귀하가 직접 코딩 한 것과 동일한 암호화를 사용하는 경우 정부에 대해서는 중요합니다. 팀이 프로세스에 대한 업데이트 및 세부 정보와 연결 한 이후 블로그 ( http://blog.theanimail.com ) 도 업데이트 했습니다. 희망이 도움이됩니다.

Apple에서 제공하는 보안 프레임 워크 또는 CommonCrypto 라이브러리를 사용하는 경우 앱에 암호화를 포함하고 예라고 대답해야합니다. 따라서 Apple에서 제공 한 라이브러리로 인해 쉽게 벗어날 수 있습니다.

원래 질문과 관련하여 Apple 개발 포럼의 최신 게시물을 사용하면 SSL을 사용하더라도 모두 예라고 대답해야한다고 생각합니다.

짧은 대답 : 예.하지만 아무것도 할 필요가 없습니다.

몇 시간 동안 웹을 검색했습니다. 실제로 그것은 매우 쉽고 itunes connect에서 이것을 확인할 수 있습니다 :

1. 당신이해야 할 모든

앱이 HTTPS 만 사용하거나 인증, 토큰 등을 위해 암호화 만 사용하는 경우 해야 할 일은 없습니다.

<key>ITSAppUsesNonExemptEncryption</key><false/>

당신의 Info.plist에서 당신은 끝났습니다 .

2. 검증

itunes connect에서이를 확인할 수 있습니다 .

• 앱을 선택하십시오
• 선택한 기능
• 암호화를 선택했습니다
• "+"를 클릭하십시오
• 대화를 따르십시오
• HTTPS 또는 인증에 대한 대답은 예 및 예

어쨌든 대화를 통해 자신을 주의 깊게 읽어야 합니다.

매우 유용한 기사 는 여기에서 찾을 수 있습니다.

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

TLS를 사용하여 자신의 웹 서버에 연결하는 앱 개발자에게는이 모든 것이 매우 혼란 스러울 수 있습니다. ATS (App Transport Security)가 점점 중요 해지고 있으며 모든 것을 https로 변환하도록 권장하고 있습니다. 더 많은 개발자들이이 문제를 겪을 것으로 생각합니다.

내 앱은 단순히 https 프로토콜을 사용하여 서버와 사용자간에 데이터를 교환합니다. 고지 사항에서 "암호 사용"이라는 단어를 보는 것이 약간 무섭기 때문에 미국 관공서에 사무실에 전화를 걸어 산업 안전국 (BIS) http : //www.bis.doc 담당자에게 문의했습니다 . .gov / index.php / about-bis / contact-bis .

담당자가 내 앱에 대해 물었고 보안 / 통신과 아무 관련이없고 단순히 고객 데이터를 서버에 연결하기위한 채널로 https를 사용한다는 점에서 "기본 기능 테스트"를 통과 한 이후 EAR99 범주에 속합니다. 정부의 허가를받지 않음 을 의미합니다 ( https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn 참조 )

이것이 다른 앱 개발자에게 도움이되기를 바랍니다.

2016 년 9 월 20 일부터 https (또는 다른 형식의 암호화)를 사용하는 앱 ( https://web.archive.org/web/20170312060607/https://www.bis.doc )에는 더 이상 등록이 필요하지 않습니다 . gov / index.php / informationsecurity2016-updates

실제로 SNAP-R에서는 더 이상 '암호화 등록'을 선택할 수 없습니다.

특히 그들은 다음과 같이 지적합니다.

암호화 등록이 더 이상 필요하지 않습니다. 등록의 일부 정보가 이제 Supp에 들어갑니다. 8 번에서 742 번까지의 보고서.

즉, 연간 보고서를 BIS에 보내야 할 수도 있지만 등록 할 필요가 없으며 앱을 제출할 때 예외임을 알 수 있습니다.

예. iTunes Connect 수출 규정 준수 정보 화면에 따르면 내장 iOS 또는 MacOS 암호화 (키 체인, https)를 사용하는 경우 미국 정부 수출 규정의 목적으로 암호화를 사용하는 것입니다. 수출 규정 준수 면제 자격 여부는 앱의 기능과이 암호화를 사용하는 방법에 따라 다릅니다. 첨부 된 이미지는 수출보고 의무를 결정하는 데 도움이되는 iTunes Connect 수출 준수 화면을 보여줍니다. 특히 다음과 같이 말합니다.

ATS를 사용하거나 HTTPS를 호출하는 경우 연말 자체 분류 보고서를 미국 정부에 제출해야합니다. 더 알아보기

@hisnameisjimmy이 정확합니다. 검토를 위해 앱을 제출하고 내보내기 규정 준수 연습에 도달하면 (최소한 오늘, 2016 년 12 월 1 일 기준) HTTPS가 예외 버전이라는 메뉴가 표시됩니다. 암호화 (모든 통화에 사용하는 경우) :

미국 산업 보안 국 (US Bureau of Industry and Security)의이 FAQ가 매우 유용하다는 것을 알았습니다.

암호화

질문 15 (참고 4 란 무엇입니까?)가 중요한 점입니다.

...

Note 4에 의해 Category 5, Part 2에서 제외 된 항목의 예는 다음과 같습니다.

소비자 응용 프로그램. 몇 가지 예 :

소프트웨어 또는 음악에 대한 불법 복제 및 도난 방지; 음악, 영화, 음악 / 음악, 디지털 사진 – 플레이어, 레코더 및 오거나이저 게임 / 게임 – 장치, 런타임 소프트웨어, HDMI 및 기타 구성 요소 인터페이스, 개발 도구 LCD TV, Blu-ray / DVD, 주문형 비디오 (VoD), 영화 , 디지털 비디오 레코더 (DVR) / 개인용 비디오 레코더 (PVR) – 장치, 온라인 미디어 가이드, 상업용 컨텐츠 무결성 및 보호, HDMI 및 기타 구성 요소 인터페이스 (비디오 회의가 아님); 프린터, 복사기, 스캐너, 디지털 카메라, 인터넷 카메라 – 부품 및 하위 조립품 가정용 유틸리티 및 기기 포함

이 답변 중 일부가 매우 유용하다는 것을 알았지 만 질문에 대한 설명을 제공하므로이 URL을 완벽하게 추가하려고했습니다.

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

2020 SNAP-R 양식 작성 지침은이 링크에서 찾을 수 있습니다. 또한 연간 자체 분류 보고서 지침이 2020 년에 업데이트되었습니다.

https://stackoverflow.com/a/61431496/1217670

간단한 답변은 예 (앱에 암호화가 있음)와 예 (앱에 면제 암호화가 사용됨)입니다. 내 응용 프로그램에서 회사 웹 사이트를 WKWebView에서 여는 중이지만 "https"를 사용하면 면제 암호화로 간주됩니다. 자세한 내용은 Apple 문서를 참조하십시오. https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

또는 앱의 info.plist 파일에 "ITSAppUsesNonExemptEncryption"키와 "NO"값을 추가하면됩니다. 이런 식으로 iTunes connect는 더 이상 그 질문을하지 않습니다. 더 많은 정보: https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

다음 세 가지 간단한 단계를 수행하여 응용 프로그램이 면제되는지 여부를 확인할 수 있습니다. https://help.apple.com/app-store-connect/#/dev63c95e436

이 연간 자체 분류를 미국 정부에 제출해야 할 수도 있습니다. 자세한 정보 : https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

암호화 라이브러리를 명시 적으로 사용하지 않거나 자체 암호화 코드를 롤링하지 않는 경우 대답이 "아니오"라고 생각합니다.