Utilisation de SSL dans une application iPhone - Conformité à l'exportation

Question

J'envisage de créer une application iPhone qui communiquera avec un service Web REST. Comme certaines données sensibles de l'utilisateur (nom, adresse, âge, etc.) seront transmises, j'envisage de sécuriser les connexions avec SSL.

Toutefois, lors de mes précédentes escapades sur l'App Store, j'ai constaté que la première question que l'on me pose est la suivante : "Votre application utilise-t-elle le cryptage ?" et, en fonction de la réponse à cette question et à d'autres questions complémentaires, elle peut nécessiter une mise en conformité avec les règles d'exportation américaines.

Ma société n'est pas basée aux États-Unis et n'a pas de bureau aux États-Unis.

Quelqu'un d'autre a-t-il soumis une application utilisant SSL pour ce type d'utilisation ? Si oui, avez-vous dû faire quelque chose pour obtenir l'autorisation de l'utiliser, que ce soit de la part d'Apple ou du gouvernement américain ?

Answer 1

Je suis tombé sur cette question plus tôt dans la journée et j'ai pensé revenir pour faire part de mon expérience.

Vérifiez : http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html pour une procédure qui a bien fonctionné pour moi (assurez-vous de lire l'article en entier, y compris les commentaires -- il y a eu quelques changements depuis l'article original, la plupart pour le mieux, et les informations mises à jour sont dans les commentaires).

La procédure est maintenant assez simple (sauf pour Safari et Chrome qui ne reconnaissent pas le certificat SSL de leur propre site. C'est un peu ironique :-) ; j'ai obtenu l'approbation 10 à 15 minutes après avoir envoyé les informations.

Je suppose que c'est devenu une routine pour eux (du moins si vous utilisez uniquement SSL plutôt qu'une sorte de crypto exotique).

Answer 2

Étant donné que l'application établit et utilise des connexions SSL sécurisées, elle est considérée comme un produit de cryptage. Les contrôles américains à l'exportation dépendent du fait que vous utilisiez ou non le cryptage, et non de l'endroit où vous le trouvez. Peu importe que vous utilisiez une fonction intégrée au lieu d'écrire la vôtre, que vous utilisiez une bibliothèque commerciale ou un processeur spécialisé : il s'agit toujours d'un produit de cryptage.

Consultez le site web de la BIS à l'adresse www.bis.doc.gov/encryption ou appelez le service d'assistance au 202-482-0707 si vous souhaitez discuter des particularités de votre application. Si vous découvrez que vous avez besoin d'une classification de cryptage, le lien vers le SNAPR s'y trouve également.