アプリケーションに「暗号化が含まれていますか」?


372

初めてバイナリをアップロードしています。iTunes Connectは私に尋ねました:

輸出法では、暗号化を含む製品の輸出が適切に許可されている必要があります。
順守しないと、重大なペナルティが発生する可能性があります。
詳細については、ここをクリックしてください。
製品に暗号化が含まれていますか?

私はを使用していますがhttps://NSURLConnectionおよび経由のみUIWebViewです。

私のこれを読んだところ、私のアプリには「暗号化が含まれていない」とのことですが、これがどこに記載されているのか疑問に思っています。「重大なペナルティ」はまったく心地よく聞こえないので、「そうだと思います」は少し大ざっぱです...信頼できる答えの方が良いでしょう。

ありがとう。


アプリがHTTPSへの呼び出しのみを行う場合、App Store Connectでドキュメントは必要ありません。ただし、自己分類レポートを米国産業安全保障局(BIS)に直接提出する必要があります。Appleからの良い要約を見る:暗号化のための輸出規制文書
vvkatwss vvkatwss

私たちがInMobi SDK(インド以外に基づく)を使用していて、これが非USコンポーネントであり、非US製造であると見なされている場合、記入してほしいテーブルについて誰かが知っていますか?
isJulian00 2018

回答:


215

[ 更新:2016年9月下旬以降、HTTPSの使用はERNから除外されました] https://stackoverflow.com/a/40919650/4976373


残念ながら、HTTPSのみを使用している場合でも、アプリはUS BISの観点から「暗号化が含まれている」と考えています(アプリが質問2に含まれる例外でない場合)。

iTunes ConnectのFAQからの引用:

輸出者登録および報告(ERN)プロセスに従うことができるかどうかはどうすればわかりますか?

アプリが使用する場合、質問2で免除としてリストされている以外の目的で業界標準の暗号化アルゴリズムを、アクセス、実装、または組み込んでいる場合は、ERN承認を申請する必要があります。標準暗号化の例は、AES、SSL、httpsです。この承認では、毎年1月にアプリに関する情報を記載した年次報告を2つの米国政府機関に提出する必要があります。」

2番目の質問:製品は、カテゴリー5パート2で提供される免除の対象ですか?

暗号化を使用、アクセス、実装、または組み込むアプリケーションおよびソフトウェアについて、カテゴリー5パート2(情報セキュリティおよび暗号化規制)に基づく米国の輸出規制で利用可能ないくつかの免除規定があります。

輸出規制の誤解や免除の不正確な主張に関連するすべての責任は、アプリの所有者と開発者が負います。

次の基準のいずれかを満たしている場合、質問に「はい」と答えることができます。

(i)アプリが暗号化の質問で BISによって提供されたガイダンスに基づいて、EARのカテゴリ5、パート2に分類されていないと判断した場合。EARの付録774の補足3にある医療機器の理解に関する声明には、連邦規制の電子コードサイトからアクセスできます。注4の免除を主張できるBISがリストしたサンプル項目については、暗号化ページのFAQセクションにある質問15をご覧ください。

(ii)アプリが認証のみに暗号化を使用、アクセス、実装、または組み込む

(iii)アプリは、56ビット対称、512ビット非対称、および/または112ビット楕円曲線を超えないキー長で暗号化を使用、アクセス、実装、または組み込みます

(iv)アプリは、64ビット対称を超えないキー長、または対称アルゴリズムがない場合は、768ビット非対称および/または128ビット楕円曲線を超えない大規模市場製品です。

マスマーケット定義の基準を理解するには、カテゴリ5パート2の注3を参照してください。

(v)アプリが特別に設計されており、銀行での使用または「金銭取引」用に制限されている。「金銭取引」という用語には、運賃やクレジット機能の収集と決済が含まれます。

(vi)アプリのソースコードが「一般に利用可能」であり、アプリが無料で一般に配布されており、740.13。(e)に規定されている通知要件を満たしている。

アプリが免除の対象かどうかを判断するのにさらに助けが必要な場合は、暗号化の Webページにアクセスしてください。

アプリが免除の対象であると思われる場合は、質問に「はい」と答えてください。」


7
それは素晴らしい答えです。実際、私はそれを受け入れたのでとても素晴らしいです。ただし、リンクをたどる必要はありません。ドキュメントにアクセスするには、iTunes Connectにログインし、ページの下部にあるFAQリンクをクリックしてから、App StoreのWorld Wide Trade Complianceをクリックします。
Steven Fisher

39
ほとんどの商用アプリをカテゴリ5パート2から除外する「注4」と呼ばれるアップデートがあります:bis.doc.gov/index.php/policy-guidance/encryption/…これは、主な機能をサポートするために暗号化使用するほとんどのアプリが登録なしで問題ありません
アンドリューアルコック

7
@AndrewAlcock主な機能が「情報セキュリティ」でも、「オペレーティングシステム、部品、コンポーネントを含むコンピュータ」でも、「情報の送信、受信、または保存」でもない場合のみ(エンターテイメント、大規模商業放送、デジタル著作権のサポートを除く)管理または医療記録管理);」「ネットワーキング(操作、管理、管理、プロビジョニングを含む)」でもありません。残念ながら、多くのビジネスアプリはまだ登録が必要だと思います。ゲームは今でも大丈夫です!
JosephH

25
それで、私のアプリがhttps経由でAPIにアクセスする場合、それは資格がありますか?これら4つの基準の例を挙げていただけますか?
H.Rabiee、2015年

16
ガレージ内の独立したアプリ開発者全員が弁護士を雇うことを期待することはできません。それは高価であり、すべての説明オーバーヘッドのために潜在的に時間がかかる。
シンデセリア2016

91

アプリの承認を適切な方法で取得することは難しくありません。SSL(HTTPS / TLS)は引き続き暗号化されており、認証のみに使用しない限り、適切な承認を得る必要があります。承認を受けたばかりで、SSLを使用してデータトラフィックを暗号化する(認証だけでなく)ためのアプリがストアに登場しました。

他の人が適切な方法でこれを行うことができるように私が作成したブログエントリは次のとおりです。

アップルiTunesの輸出制限


1
良い情報ですが、問題は承認を得るのが難しいかどうかではなく、それが必要かどうかです。この公式の回答によると、この場合はそうではない可能性があります(注3と注4 は同じ結果を示している可能性があります)。
Paul Kulchenko 2013年

これをありがとう。CIN / PINの最初のリクエストは、FAXやメールではなく、郵送する必要があるようです。関連ページ(snapr.bis.doc.gov/snapr/docs/fieldHelp.htmlで「Electronic Submission Letter」を検索)では、表面のメールアドレスが表示されません。誰もこれが何であるか知っていますか?
Chris Prince、

1
参考までに、米国とカナダでのみアプリを提供する予定がある場合、これは問題になりません。これは、iTunes Connectサポートドキュメントからの抜粋です。「(開発者が)米国とカナダのみでアプリをリリースすることを選択した場合。-US CCATSまたはERNは必要ありません。フランスの輸入申告は必要ありません。」
PICyourBrain

私たちがInMobi SDK(インド以外に基づく)を使用していて、これが非USコンポーネントであり、非US製造であると見なされている場合、記入してほしいテーブルについて誰かが知っていますか?
isJulian00 2018

1月の後にアプリを公開しました。この場合、このレポートを今すぐ送信する必要がありますか、それとも翌年まで待つことができますか?
user924

47

私はAppleにまったく同じ質問をして、(シニアエクスポートコンプライアンススペシャリストから)「https経由で情報を送信すると、データがSSLから安全なチャネルを通過するよう強制されるため、米国政府の要件CCATSのレビューと承認。」AppleがSSL実装のためにすでにこれを行っていることは問題ではありませんが、政府に対して、自分でコーディングしたのと同じ暗号化を(彼らに)使用する場合は注意してください。Timがブログに更新とプロセスの詳細をリンクしたため、ブログ(http://blog.theanimail.com)も更新しました。お役に立てば幸いです。


22
「シニア輸出コンプライアンススペシャリスト」、真剣に?Appleには、コンプライアンスの質問についてまともなアドバイスを提供するだけのジュニアエクスポートコンプライアンススペシャリストの軍隊はいますか?あなたはだまされたと思います。Appleが注意を怠って誤解したいと思うのは理解できる。しかし、輸出制限を規制する実際の合意は、それらが間違っていることを示します:httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Udo

@ウド「mod_sslはWasenaarアレンジメントの影響を受けますか」というセクションを参照していますか?あなたがいる場合は、私はOPの質問に対する正しい答えだか分からないながら、以来、私は、あなたが参照文書が適用されないことを指摘したいと思い何の App Storeのアプリはそのさらなる普及の際に制約を受けることなく、」利用可能行われません」私は間違いが証明されることをとても
愛しています

16
@ウドと彼のコメントに賛成した人々。 ああ、あなたはどうしてそんなに間違っている。1つは、あなたの常識を使用している可能性があります。これが最初の間違いです。輸出管理に関しては常識は当てはまりません。第二に、httpd.apache.orgは米国商務省の関連ウェブサイトではないため、そのサイトの情報を信頼すると、別の間違いを犯していることになります。それだけの価値があるので、私のキャリアの大部分はインテリジェンスソフトウェアの作成に費やされており、その多くは他の国に輸出される防衛製品に使用されています。私は(残念ながら)私が話していることを知っています。
ネイト

8
@ネイト、それはジュニア輸出コンプライアンスの専門家の軍隊がないということですか?:)
bbozo

私たちがInMobi SDK(インド以外に基づく)を使用していて、これが非USコンポーネントであり、非US製造であると見なされている場合、記入してほしいテーブルについて誰かが知っていますか?
isJulian00 2018

38

Appleが提供するセキュリティフレームワークまたはCommonCryptoライブラリを使用する場合は、アプリに暗号を含めて、yesと答える必要があります。これは、Appleによって提供されたライブラリがフックから外れないためです。

元の質問に関しては、Apple Development Forumsの最近の投稿で、使用しているのがSSLだけであっても、yesと答える必要があると思いました。


これは私の知る限り正しいことです。暗号化の輸出に関する法律は厳格であり(ソフトウェアがネットワークを介して簡単に送信できるという事実を考慮して)、この要件は特定の暗号化アプローチまたは実装が「許可」されているかどうかとは関係ありませんが、システムは(あなたのアプリ)それを利用することが最初に吟味されます。#IANAL、ただし。
ジャスティン・シアーズ

私たちがInMobi SDK(インド以外に基づく)を使用していて、これが非USコンポーネントであり、非US製造であると見なされている場合、記入してほしいテーブルについて誰かが知っていますか?
isJulian00 2018

34

短い答え:はい、ただし何もする必要はありません

私はこれを数時間ウェブで探していました。実際にはかなり簡単で、iTunesの接続でこれを確認できます。

1.あなたがしなければならないすべて

アプリがHTTPSのみを使用する場合、または認証やトークンなどにのみ暗号化を使用する場合は、何もする必要はありません

<key>ITSAppUsesNonExemptEncryption</key><false/>

あなたのInfo.plistで、あなたは完了です。

2.検証

これはiTunes Connectで確認できます。

  • アプリを選択
  • 機能を選択しました
  • 暗号化を選択しました
  • 「+」をクリック
  • ダイアログに従ってください
  • httpsまたは認証の場合、答えは「はい」「はい」です。

いずれにしても、もちろんダイアログを注意深く読んでください


非常に役立つ記事がここにあります:

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/


7
Appleから次のメッセージを読みました。「アプリでの暗号化の使用はHTTPS経由での呼び出しに限定されています。年末に自己分類レポートを提出するのはあなたの責任です。」私はあなたがまだにあると思う自己分類として、ここで毎年1月を免除:bis.doc.gov/index.php/policy-guidance/encryption/...
ジョシュアPlicque

私たちがInMobi SDK(インド以外に基づく)を使用していて、これが非USコンポーネントであり、非US製造であると見なされている場合、記入してほしいテーブルについて誰かが知っていますか?
isJulian00 2018

33

これらすべては、単にTLSを使用して自分のWebサーバーに接続するアプリ開発者にとって非常に混乱する可能性があります。ATS(App Transport Security)の重要性が増しているため、すべてをhttpsに変換することをお勧めします。この問題が発生する開発者は増えると思います。

私のアプリは、httpsプロトコルを使用してサーバーとユーザー間でデータを交換するだけです。免責事項に「USES ENCRYPTION」という言葉を見るのは少し怖いので、私は米国政府のオフィスに電話をかけ、産業安全保障局(BIS)の代表者と話しましたhttp://www.bis.doc .gov / index.php / about-bis / contact-bis

担当者がアプリについて尋ねたところ、アプリは「プライマリ機能テスト」に合格したため、セキュリティ/通信とは何の関係もなく、顧客データをサーバーに接続するためのチャネルとしてhttpsを使用するだけでした-EAR99カテゴリに分類されましたつまり、政府の許可を得ることは免除されますhttps://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccnを参照

これが他のアプリ開発者の役に立つことを願っています。


これはメモリからのもので、しばらくは画面を見ていませんが、次の点に注意してください。今、アップローダーをウォークスルーする場合、暗号化の質問に「はい」と答えることができます。次の質問は免除に関するものです。それはいくらか詳細に説明されており、私は自分のアプリを暗号化していてとにかくそれを通過させるものとして数えることに問題はありませんでした。
スティーブンフィッシャー

5
要約すると、クライアント/サーバー通信にhttpsを使用する平均的なコンシューマーアプリケーションは、通常、注4の適用除外に該当します。したがって、平均的なインディー開発者は単に「はい」を選択し、次にもう一度「はい」を選択して、直接送信に進む必要があります。:iTunesの接続よくある質問も、よくある質問で、この質問#5へのリンク注4を説明し、さらにいくつかの例を持っていbis.doc.gov/index.php/policy-guidance/encryption/...
Vitalii

1
@Vitaliiこのリンクは404
1800になり

@ 1800INFORMATION物事は変わります。私のコメントは2016年日付です。それ以降、要件にいくつかの変更がありました。Appleのドキュメントに依存する方が良い:help.apple.com/app-store-connect
Vitalii

私たちがInMobi SDK(インド以外に基づく)を使用していて、これが非USコンポーネントであり、非US製造であると見なされている場合、記入してほしいテーブルについて誰かが知っていますか?
isJulian00 2018

31

2016年9月20日以降、https(または他の形式の暗号化)を使用するアプリ(https://web.archive.org/web/20170312060607/https://www.bis.doc)の登録は不要になりました。 gov / index.php / informationsecurity2016-updates

実際、SNAP-Rでは「暗号化登録」を選択できなくなりました。 ここに画像の説明を入力してください

具体的には、次のように述べています。

暗号化登録は不要になりました-登録からの情報の一部は、Suppに送られます。第8部からパート742レポート。

これは、BISに年次報告を送信する必要がある場合があることを意味しますが、登録する必要はなく、アプリを送信するときに免除されることを通知できます。


ありがとうございますが、リンクは壊れています。元の記事をインターネットのどこかで見つけられますか?
青みがかった

23

はい。iTunesConnectの輸出コンプライアンス情報画面によると、組み込みのiOSまたはMacOS暗号化(キーチェーン、https)を使用している場合、米国政府の輸出規制の目的で暗号化を使用しています。輸出コンプライアンス免除の対象となるかどうかは、アプリの機能とこの暗号化の使用方法によって異なります。添付の画像は、輸出報告義務を判断するのに役立つiTunes Connect輸出コンプライアンス画面を示しています。特に、それは述べています:

ATSを使用している場合、またはHTTPSを呼び出している場合は、年末の自己分類レポートを米国政府に提出する必要があることに注意してください。もっと詳しく知る

iTunes Connectエクスポートコンプライアンス情報Q1

iTunes Connectエクスポートコンプライアンス情報Q2


22
その「詳細」リンクの下で何かを理解するには、法学位が必要だと思います...この「年末の自己分類レポート」をどのように作成するかを示すものはまったくありません。
Tim Tisdall 2017

7
ブラウザーでhttpsのURLを開く単純なボタンを使用すると、ユーザーは自分のTwitterアカウントを見つけることができるため、米国政府に年末の自己分類レポートを送信する必要がありますか。WOW
Suhaib

4
見つけるのが難しかったので、自己分類レポートガイドラインへのリンクを次に示します(再度移動するまで)。bis.doc.gov
index.php

2
@Suhaib-ブラウザーでリンクを開くことはおそらくカウントされません-アプリはhttpsを使用しておらず、アプリは別のアプリを開いています。そのアプリはHTTPSを使用する場合と使用しない場合があります(この場合、そのアプリはサファリまたはクロムなどです)
csga5000

1
この年次自己分類レポートの作り方をご存知ですか?(非弁護士
ハハ

20

@hisnameisjimmyは正しいです:少なくとも2016年12月1日現在、レビューのためにアプリを送信してエクスポートコンプライアンスのウォークスルーにアクセスすると、HTTPSがの免除バージョンであることがメニューに表示されます暗号化(すべての呼び出しで使用する場合):

ここに画像の説明を入力してください

ここに画像の説明を入力してください


それはしばらくその方法でしたが、その答えは質問に答えることができません:はい、アプリケーションには暗号化が含まれています。また、はい、将来の質問はあなたがそれからあなたを許します。これは、受け入れられた回答が正確に言っていることでもあります。受け入れられた回答だけが、より良いと言っています。編集:また、その回答に対する編集は冗長です。
スティーブンフィッシャー

オペレーティングシステム内での暗号化の使用に限定して、クラウドに自動的にバックアップされるデータが含まれますか?
Ian Warburton

私たちがInMobi SDK(インド以外に基づく)を使用していて、これが非USコンポーネントであり、非US製造であると見なされている場合、記入してほしいテーブルについて誰かが知っていますか?
isJulian00 2018

8

米国産業安全保障局からのこのFAQは非常に役に立ちました。

暗号化

質問15(注4とは)は重要なポイントです。

...

注4によってカテゴリー5、パート2から除外されるアイテムの例には、以下が含まれますが、これらに限定されません。

消費者向けアプリケーション。いくつかの例:

ソフトウェアまたは音楽の著作権侵害および盗難防止。音楽、映画、曲/音楽、デジタル写真–プレーヤー、レコーダー、オーガナイザーゲーム/ゲーム–デバイス、ランタイムソフトウェア、HDMIおよびその他のコンポーネントインターフェイス、開発ツールLCD TV、Blu-ray / DVD、ビデオオンデマンド(VoD)、映画、デジタルビデオレコーダー(DVR)/パーソナルビデオレコーダー(PVR)–デバイス、オンラインメディアガイド、商用コンテンツの整合性と保護、HDMIおよびその他のコンポーネントインターフェイス(ビデオ会議以外)。プリンター、コピー機、スキャナー、デジタルカメラ、インターネットカメラ-部品およびサブアセンブリを含む家庭用ユーティリティおよび電化製品


6

これらの回答のいくつかは非常に有用であることがわかりましたが、質問全体を説明するため、完全を期すためにこのURLを追加したいと考えました。

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148


良いリンク。最近この問題に遭遇したほとんどの人は、「暗号化の使用はオペレーティングシステム(iOSまたはmacOS)内での暗号化に限定されます」または「HTTPS経由でのみ電話をかける」の免除を受ける資格があると思います。
スティーブンフィッシャー


0

簡単な答えは、はい(アプリは暗号化されています)とはい(アプリは免除暗号化を使用しています)です。私のアプリケーションでは、WKWebViewで会社のWebサイトを開いているところですが、「https」を使用しているため、免除暗号化と見なされます。詳しくはAppleのドキュメント:https : //developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

または、アプリのinfo.plistファイルにキー「ITSAppUsesNonExemptEncryption」と値「NO」を追加するだけです。このようにして、iTunes Connectはその質問をもうしなくなります。より詳しい情報: https //developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

次の3つの簡単な手順に従って、アプリケーションが免除されているかどうかを確認できます。https//help.apple.com/app-store-connect/#/dev63c95e436

この年次自己分類を米国政府に提出する必要がある場合があります。詳細:https : //www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification


-1

暗号化ライブラリを明示的に使用していない場合、または独自の暗号化コードをローリングしていない場合、答えは「いいえ」だと思います


10
詳しく説明します。暗号化(TLS)を使用していますが、米国からのエクスポート(およびiPhoneに同梱)適切に許可されているため、問題ありません。
BlueRaja-Danny Pflughoeft、2010年

BlueRaja、スマートコメント。私はコードを書くだけではないと考えていましたが、あなたの観点から考えれば、AppleのHTTPSがすでに承認されていることは明らかです。それは私が考える質問をはるかに単純にします。
スティーブンフィッシャー

11
ライブラリがエクスポート用にライセンスされているからといって、ライブラリを使用する製品もライセンスされているわけではありません。これが論理的に意味をなさないことは知っていますが、これは私たちが話し合っている政府です。Timの回答のリンクを参照するか、信頼できる回答が必要かどうかをAppleまたはUS BISに直接尋ねてください。
Steve Madsen
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.