アプリケーションに「暗号化が含まれていますか」？

初めてバイナリをアップロードしています。iTunes Connectは私に尋ねました：

輸出法では、暗号化を含む製品の輸出が適切に許可されている必要があります。
順守しないと、重大なペナルティが発生する可能性があります。
詳細については、ここをクリックしてください。
製品に暗号化が含まれていますか？

私はを使用していますがhttps://、NSURLConnectionおよび経由のみUIWebViewです。

私のこれを読んだところ、私のアプリには「暗号化が含まれていない」とのことですが、これがどこに記載されているのか疑問に思っています。「重大なペナルティ」はまったく心地よく聞こえないので、「そうだと思います」は少し大ざっぱです...信頼できる答えの方が良いでしょう。

ありがとう。

[ 更新：2016年9月下旬以降、HTTPSの使用はERNから除外されました] https://stackoverflow.com/a/40919650/4976373

残念ながら、HTTPSのみを使用している場合でも、アプリはUS BISの観点から「暗号化が含まれている」と考えています（アプリが質問2に含まれる例外でない場合）。

iTunes ConnectのFAQからの引用：

「輸出者登録および報告（ERN）プロセスに従うことができるかどうかはどうすればわかりますか？

アプリが使用する場合、質問2で免除としてリストされている以外の目的で業界標準の暗号化アルゴリズムを、アクセス、実装、または組み込んでいる場合は、ERN承認を申請する必要があります。標準暗号化の例は、AES、SSL、httpsです。この承認では、毎年1月にアプリに関する情報を記載した年次報告を2つの米国政府機関に提出する必要があります。」

「2番目の質問：製品は、カテゴリー5パート2で提供される免除の対象ですか？

暗号化を使用、アクセス、実装、または組み込むアプリケーションおよびソフトウェアについて、カテゴリー5パート2（情報セキュリティおよび暗号化規制）に基づく米国の輸出規制で利用可能ないくつかの免除規定があります。

輸出規制の誤解や免除の不正確な主張に関連するすべての責任は、アプリの所有者と開発者が負います。

次の基準のいずれかを満たしている場合、質問に「はい」と答えることができます。

（i）アプリが暗号化の質問で BISによって提供されたガイダンスに基づいて、EARのカテゴリ5、パート2に分類されていないと判断した場合。EARの付録774の補足3にある医療機器の理解に関する声明には、連邦規制の電子コードサイトからアクセスできます。注4の免除を主張できるBISがリストしたサンプル項目については、暗号化ページのFAQセクションにある質問15をご覧ください。

（ii）アプリが認証のみに暗号化を使用、アクセス、実装、または組み込む

（iii）アプリは、56ビット対称、512ビット非対称、および/または112ビット楕円曲線を超えないキー長で暗号化を使用、アクセス、実装、または組み込みます

（iv）アプリは、64ビット対称を超えないキー長、または対称アルゴリズムがない場合は、768ビット非対称および/または128ビット楕円曲線を超えない大規模市場製品です。

マスマーケット定義の基準を理解するには、カテゴリ5パート2の注3を参照してください。

（v）アプリが特別に設計されており、銀行での使用または「金銭取引」用に制限されている。「金銭取引」という用語には、運賃やクレジット機能の収集と決済が含まれます。

（vi）アプリのソースコードが「一般に利用可能」であり、アプリが無料で一般に配布されており、740.13。（e）に規定されている通知要件を満たしている。

アプリが免除の対象かどうかを判断するのにさらに助けが必要な場合は、暗号化の Webページにアクセスしてください。

アプリが免除の対象であると思われる場合は、質問に「はい」と答えてください。」

アプリの承認を適切な方法で取得することは難しくありません。SSL（HTTPS / TLS）は引き続き暗号化されており、認証のみに使用しない限り、適切な承認を得る必要があります。承認を受けたばかりで、SSLを使用してデータトラフィックを暗号化する（認証だけでなく）ためのアプリがストアに登場しました。

他の人が適切な方法でこれを行うことができるように私が作成したブログエントリは次のとおりです。

アップルiTunesの輸出制限

私はAppleにまったく同じ質問をして、（シニアエクスポートコンプライアンススペシャリストから）「https経由で情報を送信すると、データがSSLから安全なチャネルを通過するよう強制されるため、米国政府の要件CCATSのレビューと承認。」AppleがSSL実装のためにすでにこれを行っていることは問題ではありませんが、政府に対して、自分でコーディングしたのと同じ暗号化を（彼らに）使用する場合は注意してください。Timがブログに更新とプロセスの詳細をリンクしたため、ブログ（http://blog.theanimail.com）も更新しました。お役に立てば幸いです。

Appleが提供するセキュリティフレームワークまたはCommonCryptoライブラリを使用する場合は、アプリに暗号を含めて、yesと答える必要があります。これは、Appleによって提供されたライブラリがフックから外れないためです。

元の質問に関しては、Apple Development Forumsの最近の投稿で、使用しているのがSSLだけであっても、yesと答える必要があると思いました。

短い答え：はい、ただし何もする必要はありません

私はこれを数時間ウェブで探していました。実際にはかなり簡単で、iTunesの接続でこれを確認できます。

1.あなたがしなければならないすべて

アプリがHTTPSのみを使用する場合、または認証やトークンなどにのみ暗号化を使用する場合は、何もする必要はありません。

<key>ITSAppUsesNonExemptEncryption</key><false/>

あなたのInfo.plistで、あなたは完了です。

2.検証

これはiTunes Connectで確認できます。

• アプリを選択
• 機能を選択しました
• 暗号化を選択しました
• 「+」をクリック
• ダイアログに従ってください
• httpsまたは認証の場合、答えは「はい」と「はい」です。

いずれにしても、もちろんダイアログを注意深く読んでください。

非常に役立つ記事がここにあります：

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

これらすべては、単にTLSを使用して自分のWebサーバーに接続するアプリ開発者にとって非常に混乱する可能性があります。ATS（App Transport Security）の重要性が増しているため、すべてをhttpsに変換することをお勧めします。この問題が発生する開発者は増えると思います。

私のアプリは、httpsプロトコルを使用してサーバーとユーザー間でデータを交換するだけです。免責事項に「USES ENCRYPTION」という言葉を見るのは少し怖いので、私は米国政府のオフィスに電話をかけ、産業安全保障局（BIS）の代表者と話しましたhttp：//www.bis.doc .gov / index.php / about-bis / contact-bis。

担当者がアプリについて尋ねたところ、アプリは「プライマリ機能テスト」に合格したため、セキュリティ/通信とは何の関係もなく、顧客データをサーバーに接続するためのチャネルとしてhttpsを使用するだけでした-EAR99カテゴリに分類されましたつまり、政府の許可を得ることは免除されます（https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccnを参照））

これが他のアプリ開発者の役に立つことを願っています。

2016年9月20日以降、https（または他の形式の暗号化）を使用するアプリ（https://web.archive.org/web/20170312060607/https://www.bis.doc）の登録は不要になりました。 gov / index.php / informationsecurity2016-updates

実際、SNAP-Rでは「暗号化登録」を選択できなくなりました。

具体的には、次のように述べています。

暗号化登録は不要になりました-登録からの情報の一部は、Suppに送られます。第8部からパート742レポート。

これは、BISに年次報告を送信する必要がある場合があることを意味しますが、登録する必要はなく、アプリを送信するときに免除されることを通知できます。

はい。iTunesConnectの輸出コンプライアンス情報画面によると、組み込みのiOSまたはMacOS暗号化（キーチェーン、https）を使用している場合、米国政府の輸出規制の目的で暗号化を使用しています。輸出コンプライアンス免除の対象となるかどうかは、アプリの機能とこの暗号化の使用方法によって異なります。添付の画像は、輸出報告義務を判断するのに役立つiTunes Connect輸出コンプライアンス画面を示しています。特に、それは述べています：

ATSを使用している場合、またはHTTPSを呼び出している場合は、年末の自己分類レポートを米国政府に提出する必要があることに注意してください。もっと詳しく知る

@hisnameisjimmyは正しいです：少なくとも2016年12月1日現在、レビューのためにアプリを送信してエクスポートコンプライアンスのウォークスルーにアクセスすると、HTTPSがの免除バージョンであることがメニューに表示されます暗号化（すべての呼び出しで使用する場合）：

米国産業安全保障局からのこのFAQは非常に役に立ちました。

暗号化

質問15（注4とは）は重要なポイントです。

...

注4によってカテゴリー5、パート2から除外されるアイテムの例には、以下が含まれますが、これらに限定されません。

消費者向けアプリケーション。いくつかの例：

ソフトウェアまたは音楽の著作権侵害および盗難防止。音楽、映画、曲/音楽、デジタル写真–プレーヤー、レコーダー、オーガナイザーゲーム/ゲーム–デバイス、ランタイムソフトウェア、HDMIおよびその他のコンポーネントインターフェイス、開発ツールLCD TV、Blu-ray / DVD、ビデオオンデマンド（VoD）、映画、デジタルビデオレコーダー（DVR）/パーソナルビデオレコーダー（PVR）–デバイス、オンラインメディアガイド、商用コンテンツの整合性と保護、HDMIおよびその他のコンポーネントインターフェイス（ビデオ会議以外）。プリンター、コピー機、スキャナー、デジタルカメラ、インターネットカメラ-部品およびサブアセンブリを含む家庭用ユーティリティおよび電化製品

これらの回答のいくつかは非常に有用であることがわかりましたが、質問全体を説明するため、完全を期すためにこのURLを追加したいと考えました。

https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148

2020 SNAP-Rフォームに記入する手順は、このリンクにあります。また、2020年に向けて年次自己分類レポートの説明が更新されています。

https://stackoverflow.com/a/61431496/1217670

簡単な答えは、はい（アプリは暗号化されています）とはい（アプリは免除暗号化を使用しています）です。私のアプリケーションでは、WKWebViewで会社のWebサイトを開いているところですが、「https」を使用しているため、免除暗号化と見なされます。詳しくはAppleのドキュメント：https : //developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

または、アプリのinfo.plistファイルにキー「ITSAppUsesNonExemptEncryption」と値「NO」を追加するだけです。このようにして、iTunes Connectはその質問をもうしなくなります。より詳しい情報： https //developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

次の3つの簡単な手順に従って、アプリケーションが免除されているかどうかを確認できます。https：//help.apple.com/app-store-connect/#/dev63c95e436

この年次自己分類を米国政府に提出する必要がある場合があります。詳細：https : //www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

暗号化ライブラリを明示的に使用していない場合、または独自の暗号化コードをローリングしていない場合、答えは「いいえ」だと思います