447 votes

Steven Fisher avatar

Est-ce que mon application "contient du cryptage"?

Demandé el 25 de Janvier, 2010
Quand la question a-t-elle été
40525 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je télécharge un binaire pour la première fois. iTunes Connect m'a demandé :

Les lois sur l'exportation exigent que les produits contenant un chiffrement soient correctement autorisés pour l'exportation.
Le non-respect pourrait entraîner des pénalités sévères.
Pour plus d'informations, cliquez ici.
Votre produit contient-il un chiffrement ?

J'utilise https://, mais uniquement via NSURLConnection and UIWebView.

M'interprétation est que mon application ne "contient pas de chiffrement," mais je me demande si cela est clairement spécifié quelque part. Les "pénalités sévères" ne semblent pas du tout agréables, donc "je pense que c'est correct" est un peu douteux... une réponse autorisée serait préférable.

Merci.

Demandé el 25 de Janvier, 2010 par Steven Fisher

0 votes

Avatar de vvkatwss vvkatwss

Si votre application ne fait que des appels HTTPS, aucune documentation n'est requise dans App Store Connect. Cependant, vous devez soumettre un rapport d'auto-classification au Bureau of Industry and Security (BIS) des États-Unis directement. Consultez un bon résumé d'Apple: Documentation sur la conformité à l'exportation pour le chiffrement

Commenté el 25 de Octobre, 2018 par vvkatwss vvkatwss

0 votes

Avatar de IzzyJM

Est-ce que quelqu'un sait si la table qu'ils veulent que nous remplissions en utilisant le SDK InMobi (basé en Inde) est considérée comme un composant non américain et non fabriqué aux États-Unis?

Commenté el 17 de Décembre, 2018 par IzzyJM

0 votes

Avatar de phil

Les instructions pour remplir les formulaires SNAP-R de 2020 peuvent être trouvées à ce lien. De plus, les instructions pour le Rapport annuel d'auto-classification ont été mises à jour pour 2020. https://stackoverflow.com/a/61431496/1217670

Commenté el 7 de Mai, 2020 par phil

Réponses

Trop de publicités?

246voto

MikhailSP avatar
MikhailSP Points 743

MISE À JOUR : L'utilisation de HTTPS est désormais exemptée de l'ERN depuis fin septembre 2016

https://stackoverflow.com/a/40919650/4976373

Malheureusement, je crois que votre application "contient du chiffrement" selon les termes du US BIS même si vous utilisez simplement HTTPS (si votre application n'est pas une exception incluse dans la question 2).

Citation de FAQ sur iTunes Connect:

"Comment savoir si je peux suivre le processus d'enregistrement et de déclaration à l'exportation (ERN) ?

Si votre application utilise, accède, implémente ou intègre des algorithmes de chiffrement standard de l'industrie à des fins autres que celles répertoriées comme exemptions dans la question 2, vous devez soumettre une autorisation ERN. Les exemples de chiffrement standard sont : AES, SSL, https. Cette autorisation nécessite que vous soumettiez un rapport annuel à deux agences gouvernementales américaines avec des informations sur votre application chaque janvier."

"2e question : Votre produit bénéficie-t-il d'exemptions prévues dans la catégorie 5 partie 2 ?

Il existe plusieurs exemptions disponibles dans les réglementations d'exportation américaines dans la catégorie 5 partie 2 (réglementations sur la sécurité de l'information et le chiffrement) pour les applications et les logiciels qui utilisent, accèdent, implémentent ou intègrent un chiffrement.

Toutes les responsabilités liées à une mauvaise interprétation des réglementations d'exportation ou à la revendication inexacte d'une exemption sont supportées par les propriétaires et développeurs des applications.

Vous pouvez répondre "OUI" à la question si vous remplissez l'un des critères suivants :

(i) si vous déterminez que votre application n'est pas classée dans la catégorie 5, partie 2 de l'EAR en vous basant sur les directives fournies par le BIS à la question de chiffrement. La déclaration de compréhension pour les équipements médicaux dans le Supplément n° 3 à la Partie 774 de l'EAR peut être consultée sur le site du Code of Federal Regulations électronique. Veuillez visiter la Question n°15 dans la section FAQ de la page de chiffrement pour des exemples d'éléments répertoriés par le BIS pouvant bénéficier des exemptions de la Note 4.

(ii) votre application utilise, accède, implémente ou intègre le chiffrement pour l'authentification uniquement

(iii) votre application utilise, accède, implémente ou intègre un chiffrement avec des longueurs de clé ne dépassant pas 56 bits symétriques, 512 bits asymétriques et/ou 112 bits elliptiques

(iv) votre application est un produit grand public avec des longueurs de clé ne dépassant pas 64 bits symétriques, ou en l'absence d'algorithmes symétriques, ne dépassant pas 768 bits asymétriques et/ou 128 bits elliptiques.

Veuillez consulter la Note 3 dans la catégorie 5 partie 2 pour comprendre les critères de définition du grand public.

(v) votre application est spécialement conçue et limitée pour une utilisation bancaire ou des 'transactions monétaires.' Le terme 'transactions monétaires' inclut la collecte et le règlement des tarifs ou des fonctions de crédit.

(vi) le code source de votre application est "publiquement disponible", votre application est distribuée gratuitement au grand public, et vous avez respecté les exigences de notification prévues à l'article 740.13.(e).

Veuillez visiter la page web de chiffrement en cas de besoin d'aide supplémentaire pour déterminer si votre application bénéficie d'exemptions.

Si vous pensez que votre application est éligible à une exemption, veuillez répondre "OUI" à la question."

Répondu el 18 de Avril, 2013 par MikhailSP (743 Points )

7 votes

Avatar de Steven Fisher

C'est une excellente réponse. En fait, elle est tellement bonne que je l'ai acceptée. Le lien n'est pas nécessairement suivable, cependant. Pour accéder au document, connectez-vous à iTunes Connect, cliquez sur le lien FAQs en bas de la page, puis cliquez sur Conformité au commerce mondial pour l'App Store.

Commenté el 18 de Avril, 2013 par Steven Fisher

0 votes

Avatar de Pang

Les liens vers www.bis.doc.gov sont morts. Le lien vers iTunes Connect semble obsolète.

Commenté el 8 de Décembre, 2013 par Pang

0 votes

Avatar de Jeremy

Est-ce que le service de notification push d'Apple est conforme à (iii) ou (iv)? Je ne sais pas ce que ces mots signifient. Dois-je m'inscrire pour un ERN si j'utilise des notifications push dans mon application?

Commenté el 30 de Janvier, 2014 par Jeremy
Afficher 11 autres commentaires

91voto

Tige Phillips avatar
Tige Phillips Points 641

Il n'est pas difficile d'obtenir l'approbation pour votre application de la bonne manière. SSL (HTTPS/TLS) est toujours un chiffrement et sauf si vous l'utilisez uniquement pour l'authentification, alors vous devriez obtenir l'approbation appropriée. Je viens de recevoir l'approbation, et mon application est maintenant dans le magasin pour quelque chose qui utilise SSL pour chiffrer le trafic de données (pas seulement l'authentification).

Voici une entrée de blog que j'ai faite pour que d'autres puissent le faire de la bonne manière.

restrictions d'exportation d'apple itunes

Répondu el 18 de Janvier, 2011 par Tige Phillips (641 Points )

2 votes

Avatar de Paul Kulchenko

Bonne information, mais la question n'est pas de savoir s'il est difficile d'obtenir l'approbation, mais si c'est nécessaire. Selon cette réponse officielle, ce n'est peut-être pas le cas ici (note 3 et note 4 ici peuvent pointer vers le même résultat).

Commenté el 7 de Juin, 2013 par Paul Kulchenko

0 votes

Avatar de Chris Prince

Merci pour cela. Il semble que maintenant la demande initiale de CIN/PIN doit être envoyée par courrier, pas par fax ou par e-mail. Sur la page concernée (snapr.bis.doc.gov/snapr/docs/fieldHelp.html et cherchez "Electronic Submission Letter"), ils ne fournissent pas d'adresse postale. Est-ce que quelqu'un sait ce que c'est ?

Commenté el 25 de Septembre, 2014 par Chris Prince

1 votes

Avatar de PICyourBrain

Pour information - Tout cela n'a pas d'importance si vous prévoyez uniquement de rendre votre application disponible aux États-Unis et au Canada. Cela provient des documents d'assistance d'iTunes Connect : "(Si) Un développeur choisit de publier son application uniquement aux États-Unis et au Canada. -- Aucun CCATS américain ou ERN n'est requis. Aucune Déclaration d'importation en France n'est requise. "

Commenté el 21 de Juillet, 2015 par PICyourBrain
Afficher 2 autres commentaires

49voto

der_flop avatar
der_flop Points 366

J'ai posé la même question à Apple et j'ai obtenu la réponse (d'un spécialiste de la conformité à l'exportation senior) selon laquelle "envoyer des informations sur https force les données à passer par un canal sécurisé à partir de SSL, donc cela relève de l'exigence du gouvernement américain en matière d'examen et d'approbation du CCATS." Notez que cela n'a pas d'importance qu'Apple l'ait déjà fait pour leur implémentation SSL, mais pour le gouvernement, si vous UTILISEZ un cryptage qui est le même (pour eux) que si vous l'aviez codé vous-même. J'ai également mis à jour notre blog (http://blog.theanimail.com) depuis que Tim y a fait référence avec des mises à jour et des détails sur le processus. J'espère que cela vous aide.

Répondu el 26 de Février, 2010 par der_flop (366 Points )

27 votes

Avatar de Udo

"Spécialiste principal de la conformité à l'exportation", sérieusement? Y a-t-il une armée de spécialistes juniors de la conformité à l'exportation chez Apple qui ne donnent que des conseils moyens sur les questions de conformité? Je pense que vous avez été dupé. Il est compréhensible qu'Apple préfère jouer la prudence. Mais l'accord réel régissant les restrictions à l'exportation indiquerait qu'ils ont tort: httpd.apache.org/docs/2.0/ssl/ssl_faq.html

Commenté el 20 de Novembre, 2010 par Udo

0 votes

Avatar de Ivan Vučica

@Udo Faites-vous référence à la section "Is mod_ssl affected by the Wasenaar Arrangement"? Si oui, bien que je ne sache pas quelle est la réponse correcte à la question de l'OP, je tiens à souligner que le document auquel vous faites référence ne s'applique pas, car aucune application de l'App Store n'est rendue disponible "sans restriction sur sa diffusion ultérieure". J'aimerais vraiment me tromper...

Commenté el 13 de Janvier, 2012 par Ivan Vučica

18 votes

Avatar de Nate

@Udo et les personnes qui ont approuvé son commentaire. Oh, comme vous avez tort. Tout d'abord, vous pouvez utiliser votre bon sens - ce serait votre première erreur. Le bon sens ne s'applique pas en matière de contrôle des exportations. Deuxièmement, httpd.apache.org n'est pas un site Web affilié au Département du Commerce américain, donc si vous faites confiance à des informations sur ce site, vous commettez une autre erreur. Pour ce que ça vaut, la majeure partie de ma carrière a été consacrée à l'écriture de logiciels de renseignement, dont une grande partie pour des produits de défense exportés vers d'autres pays. Je sais de quoi je parle (malheureusement).

Commenté el 1 de Juillet, 2012 par Nate
Afficher 2 autres commentaires

38voto

Tim avatar
Tim Points 1396

Si vous utilisez le framework Security ou les bibliothèques CommonCrypto fournies par Apple, vous incluez bien la cryptographie dans votre application et vous devez répondre oui - tout simplement parce que les bibliothèques ont été fournies par Apple ne vous dispense pas de cette obligation.

En ce qui concerne la question initiale, des publications récentes dans les forums de développement d'Apple me laissent penser que vous devez répondre oui même si tout ce que vous utilisez est le SSL.

Répondu el 25 de Janvier, 2010 par Tim (1396 Points )

0 votes

Avatar de Justin Searls

Ceci est correct à ma connaissance. Les lois sur l'exportation d'encryption sont draconienées dans leur stricte (étant donné que le logiciel peut être transmis sur un réseau sans effort), mais cette exigence n'a rien à voir avec le fait qu'une méthode ou une implémentation d'encryption particulière soit "autorisée", mais plutôt que le système (votre application) l'utilisant soit d'abord vérifié. #IANAL, cependant.

Commenté el 5 de Février, 2010 par Justin Searls

0 votes

Avatar de IzzyJM

Est-ce que quelqu'un sait pour le tableau qu'ils veulent que nous remplissions si nous utilisons le SDK InMobi (basé en Inde) si cela est considéré comme un composant non américain et non fabriqué aux États-Unis ?

Commenté el 17 de Décembre, 2018 par IzzyJM

8voto

user2089118 avatar
user2089118 Points 41

J'ai trouvé cette FAQ du Bureau de l'Industrie et de la Sécurité des États-Unis très utile.

cryptage

La question 15 (Qu'est-ce que la Note 4?) est le point important:

...

Des exemples d'articles exclus de la Catégorie 5, Partie 2 par la Note 4 incluent, mais sans s'y limiter, les éléments suivants:

Applications grand public. Quelques exemples:

prévention du piratage et du vol de logiciels ou de musique; musique, films, airs/musique, photos numériques – lecteurs, enregistreurs et organisateurs jeux/jouets – dispositifs, logiciel d'exécution, HDMI et autres interfaces de composants, outils de développement TV LCD, Blu-ray / DVD, vidéo à la demande (VàD), cinéma, enregistreurs vidéo numériques (DVRs) / enregistreurs vidéo personnels (PVRs) – dispositifs, guides de médias en ligne, intégrité et protection du contenu commercial, HDMI et autres interfaces de composants (hors visioconférence); imprimantes, photocopieurs, scanners, appareils photo numériques, caméras Internet – y compris les pièces et sous-ensembles services publics et appareils ménagers

Répondu el 19 de Février, 2013 par user2089118 (41 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X