متى يتم تحديد مربع "هذا التطبيق يستخدم التشفير"؟

Question

عند إرسال تطبيق ما أو تحديثه، هناك سؤال واحد يواجهك وهو:

هل قمت بإضافة أو إجراء تغييرات على ميزات التشفير منذ آخر مرة قمت بتحميلها ثنائيًا لهذا المنتج؟

صورة:

سؤالي هو، إذا استخدمت التشفير الذي تحصل عليه من <CommonCrypto/CommonCryptor.h> المكتبة، هل يجب علي التحقق من نعم لذلك السؤال؟

لدي ملف أرغب في تشفيره وإرساله إلى جهاز iPhone وفك تشفيره على جهاز iPhone باستخدام CommonCrypto.لقد حصلت على ردود فعل متباينة عند التحدث مع زملاء العمل.يعتقد البعض أنه بما أن هذا إطار عمل مضمن فهو لعبة عادلة، يقول آخرون أنه يجب عليك الحصول على موافقة الحكومة.

يبدو أن CommonCrypto يدعم (في أحسن الأحوال) تشفير AES 128 بت مع وضع تشفير البنك المركزي الأوروبي.لذلك، هذا ما كنت أخطط لاستخدامه.

ملاحظة جانبية:أخطط لاستخدام NSData+CommonCrypto فئة من آلان كواترماين / aqtoolkit على جيثب.هذا مجرد غلاف حول CommonCrypto وليس أكثر.

ذات الصلة هو، هل يجب عليك التحقق من نعم إذا كنت تستخدم HTTPS (SSL)؟يرى التوافق مع تصدير تشفير iPhone للتطبيقات التي تجري اتصالات HTTPS (TLS) - تابع.لا أحتاج إلى اتصالات https، لا يزال هذا يفاجئني ...

Answer 1

أعتقد أنني وجدت الإجابة التي كنت أبحث عنها.

تنصل - أنا لست محاميًا (مثلكم) ولن أكون مسؤولاً عن هذه الإجابة، لكنني أعتقد أن النتائج التي توصلت إليها يمكن أن تفيد المجتمع.

هل تطبيقي مؤهل كعنصر في السوق الشامل؟

إجابة مختصرة - أعتقد أن جميع تطبيقات Apple سيتم اعتبارها من منتجات السوق الشامل، ولكن من الصعب التأكد من ذلك.ومع ذلك، يبدو أنه حتى العناصر غير السوقية يمكنها استخدام خوارزمية مفاتيح متماثلة بمفتاح 56 بت أو أقل (كما ستقرأ المزيد أدناه).ملاحظة: DES عبارة عن خوارزمية مفاتيح متماثلة تستخدم مفتاحًا بطول 56 بت.

مذكرة التشفير (الملاحظة 3) للفئة 5، الجزء 2 ("أمن المعلومات")، من قائمة مراقبة التجارة

ملاحظة 3: ملاحظة التشفير:لا تتحكم ECCNS 5A002 و 5D002

أ. متاح بشكل عام للجمهور من خلال بيعه ، دون قيود ، من الأسهم في نقاط بيع البيع بالتجزئة عن طريق أي مما يلي:

1. المعاملات خارج البورصة؛
2. معاملات الطلب عبر البريد؛
3. المعاملات الإلكترونية؛أو
4. معاملات المكالمات الهاتفية؛

ب. لا يمكن للمستخدم تغيير وظيفة التشفير بسهولة؛

ج. تم تصميمه للتثبيت من قبل المستخدم دون دعم كبير من قبل المورد ؛و

د. عند الضرورة ، يمكن الوصول إلى تفاصيل العناصر وسيتم توفيرها ، عند الطلب ، للسلطة المختصة في بلد المصدر من أجل التأكد من الامتثال للشروط الموضحة في الفقرات (أ) إلى (ج) من هذه المذكرة

نعم...لذا، إذا كان هذا المنتج منتجًا في السوق الشامل، فما هي القيود؟

يجب عليك تقديم طلب تصنيف إلى الحكومة إذا (انظر الخط العريض):

ملحوظة:إلى الملاحظة 3 (ملاحظة التشفير): يجب تقديم طلب تصنيف أو تسجيل تشفير إلى BIS لسلع تشفير السوق الشامل والبرامج المؤهلة للحصول على ملاحظة التشفير باستخدام أ طول المفتاح أكبر من 64 بت للخوارزمية المتماثلة (أو، بالنسبة للسلع والبرامج التي لا تنفذ أي خوارزميات متماثلة ، تستخدم طولًا رئيسيًا أكبر من 768 بت للخوارزميات غير المتماثلة أو أكبر من 128 بت للخوارزميات المنحنية الإهليلجية) وفقًا لمتطلبات الفقرة 742.15 (ب) من الأذن من أجل إطلاقها من عناصر التحكم "EI" و "NS" في ECCN 5A002 أو 5D002.

إذن، بناءً على ذلك، ما الذي يمكنني استخدامه وما الذي لا يمكنني استخدامه؟

تنصل :: هذا هو تفسيري لما سبق - ومرة ​​أخرى أنا لست محاميًا

• ايه اي اس 128 لا يمكن استخدامها دون تقديم طلب لأنه يستخدم مفتاح 128 بت.
• ديس ممكن استخدامه لأنه يستخدم مفتاح 56 بت.في الواقع، يمكن استخدام DES حتى بدون تصنيفها كعنصر في السوق الشامل.
• يقذف ممكن استخدامه لأنه يستخدم مفتاحًا بين 40-128 بت (يجب عليك استخدام مفتاح 64 بت أو أقل).
• 3DES لا يمكن استخدامها.مفتاح التشفير الأصلي لـ 3DES هو 64 بت، ولكن كما أفهم فإنه يحتوي على 3 مفاتيح...لذلك لست متأكدًا من نجاح ذلك وربما يتعين عليك تقديم طلب.تقول ويكيبيديا أن "NIST قد خصصت لها 80 بتًا فقط من الأمان"، مما يجعلني أعتقد أنه لا يمكن استخدامها.
• RC4 أعتقد يمكنك استخدام وذلك دون تقديم الطلب طالما أن مفتاح الحجم المتغير هو 64 بت أو أقل.

ش.س.مكتب الصناعة والأمن - التشفير - هل يمكنني تصنيف عنصر التشفير الخاص بي وتصديره دون تسجيل التشفير؟

تنصل :: أنا لست محامياً، هذا هو تفسيري.لن أكون مسؤولا.

يمكنك استخدام خوارزمية مفاتيح متماثلة (مثل DES) بمفتاح 56 بت (أو أقل).

بالإضافة إلى ذلك، قد تستخدم منتجات السوق الشامل خوارزميات مفاتيح متماثلة بمفتاح 64 بت (أو أقل).

أقسام مهمة بالخط العريض.

مخطط التدفق 2 يوفر نظرة عامة على كيفية تحديد ما إذا كان يمكن تصنيف منتجك وتصديره دون تسجيل تشفير.

إذا كان لديك منتج يتم التحكم فيه بموجب الفئة 5 ، أو الجزء 2 ، فإن بعض المنتجات والمعاملات لا تتطلب أي تسجيل تشفير أو تصنيف أو تقارير ما بعد التصدير.هذا يتضمن:

• المنتجات المصنفة تحت 5x992، بما في ذلك:
  • المنتجات ذات الأطوال الرئيسية التي لا تتجاوز 56 بت متماثل ، 512 بت غير متماثل و/أو 112 بت منحنى إهليلجي.
  • منتجات السوق الجماعية ذات الأطوال الرئيسية التي لا تتجاوز 64 بت متماثل ، أو إذا لم تكن هناك خوارزميات متماثلة ، لا تتجاوز 768 بت غير متماثل و/أو 128 بتات إهليلجية.
  • بعض منتجات السوق الجماعية المدرجة تحت 742.15 (ب) (4)
  • المنتجات ذات وظائف التشفير المحدودة كما هو موضح في الملاحظة إلى 5A002.
  • المنتجات التي تستخدم التشفير للمصادقة فقط.
• بعض المنتجات/المعاملات 5x002، بما في ذلك:
  • بعض المنتجات/المعاملات مؤهلة للحصول على استثناء للترخيص ENC دون أي تسجيل أو تصنيف أو إعداد تقارير ، بما في ذلك:
    • الصادرات وإعادة التصدير إلى "المستخدمين النهائيين في القطاع الخاص" كما هو موضح في 740.17 (أ) (1) ؛
    • الصادرات وإعادة التصدير إلى "الولايات المتحدة".التبعية "كما هو موضح في 740.17 (أ) (2).
    • بعض المنتجات المدرجة تحت 740.17 (ب) (4):
  • بعض المنتجات التي تتطلب إشعارًا فقط قبل التصدير:
    • برنامج التشفير "المتاح للجمهور" ورمز المصدر ضمن استثناء الترخيص TSU (740.13) ؛
    • برنامج اختبار بيتا بموجب استثناء الترخيص TMP (740.9).

بالإضافة إلى ذلك ، إذا كنت تعتمد على التصنيف الذاتي للمنتج (عملاً بتسجيل تشفير المنتج) أو CCATs للحصول على عنصر تشفير مؤهل للتصدير أو إعادة التصدير بموجب ترخيص ENC أو السوق الشامل ، فلا يُطلب منك تقديم تسجيل تشفير ، طلب التصنيف أو تقرير التصنيف الذاتي.لا يزال يتعين عليك الامتثال لمتطلبات الإبلاغ عن المبيعات نصف السنوية بموجب الفقرة 740.17 (هـ).