何时检查“此应用程序使用加密”框?
-
09-12-2019 - |
题
在提交或更新应用程序时,您面临的一个问题是:
您持续后是否添加或更改了加密功能 上传了此产品的二进制文件?
图片:
我的问题是,如果我使用从
<CommonCrypto/CommonCryptor.h>
库中获得的加密,我是否必须检查是的q?我有一个文件,我想加密,发送到iPhone,并使用CommonCrypto在iPhone上解密。我和同事交谈时,我已经得到了混合的反应。有些人认为,由于它是一个包括公平游戏的框架,其他人表示你必须获得政府批准。
它看起来commoncrepto支持(充其量)128位加密,具有ecb的密码模式。所以,这就是我的计划。
side注意:我计划使用 alanquatermain / aqtoolkit 在github上。这只是Commoncrypto周围的包装器,而且更多。
相关是,你必须检查是的,如果你使用https(ssl)?查看 iPhone加密导出适用于应用HTTPS(TLS)连接 - 续。我不需要https连接,仍然让我惊喜...
解决方案
我相信我找到了我正在寻找的答案。
免责声明 - 我不是律师(比如你的人),并不会对这个答案负责,但我认为我的发现可以/将使社区受益。
我的应用程序是否有资格作为大众市场项目?
简短的答案 - 我相信所有Apple应用程序都将被视为大众市场项目,但很难确定。然而,它看起来均匀的非大众市场可以使用一个对称的密钥算法,其中56位键或更少(如下,如下所示)。 note ds是一种使用56位键的对称密钥算法。
Cureptography Note(注3)第5部分,第2部分(“信息安全”) ,商务控制列表
注3:加密注意:ECCNS 5A002和5D002不控制
符合以下所有项目的项目:
a。一般可供选择
公众通过销售,没有限制,从零售业股票
通过以下任何一种销售点:
- 过上交易;
- 邮件订单事务;
- 电子交易;或
- 电话通话交易;
b。用户不能轻易改变密码功能;
c。设计用于安装
用户没有进一步实质性支持的用户;和
d。
必要时,可以访问物品的详细信息,将是
根据要求提供给出口商的适当权威
国家以确定遵守条件
本说明的第(a)至(c)段
好的......所以如果是大众市场项目,有什么限制?
您必须向政府提交分类请求(见粗体):
n.b。注3(密码识别):您必须提交分类
对大众市场加密的要求或加密登记
商品和软件符合加密笔记的条件
使用键长度超过64位的对称
算法(或商品和软件而非实施任何
对称算法,采用大于768位的键长度
椭圆曲线的非对称算法或大于128位
算法)按照§742.15(b)的要求
耳朵是从“EI”和“NS”控制的eCCN释放
5a002或5d002。
所以,基于该可以且不能使用什么?
免责声明 :: 这是我对上述的解释 - 再次我不是律师
- aes 128 不能使用而不提交请求,因为它使用了128位键。
- des 可以使用,因为它使用了56位键。事实上,即使没有被归类为大众市场项目也可以使用DES。
- cast 可以使用,因为它使用40-128位之间的键(您必须使用64位或更少的键)。
- 3des 不能使用。 3DES的原始密钥是64位,但我理解它有3个键...所以我不确定通过它,你可能需要提交请求。维基百科说其“由NIST指定只有80位安全性”,这让我认为它无法使用。
- rc4 我相信您可以在不提交请求的情况下使用,只要变量大小键是64位或更少的。
U. S.行业局和安全 - 加密 - 我可以自我分类我的加密项目并在没有加密注册的情况下导出它吗?
免责声明 :: 我不是一个laterwer,这是我的解释。我不会责任。
您可以使用一个对称密钥算法(如des),其中56位键(或更少)。
此外,大众市场产品可以使用64位键(或更少)的对称密钥算法。
粗体的重要部分。
流程图2 概述了如何确定您的
产品可以自我分类并导出无需加密
注册。
如果您的产品在5类,第2部分控制的产品,
某些产品和交易不需要任何加密
注册,分类或出口后报告。这包括:
- 产品分类为5x992,包括:
- 产品的键长度不超过56位对称,512位
不对称和/或
112位椭圆曲线。
注3:加密注意:ECCNS 5A002和5D002不控制 符合以下所有项目的项目:
a。一般可供选择 公众通过销售,没有限制,从零售业股票 通过以下任何一种销售点:
- 过上交易;
- 邮件订单事务;
- 电子交易;或
- 电话通话交易;
b。用户不能轻易改变密码功能;
c。设计用于安装 用户没有进一步实质性支持的用户;和
d。 必要时,可以访问物品的详细信息,将是 根据要求提供给出口商的适当权威 国家以确定遵守条件 本说明的第(a)至(c)段
好的......所以如果是大众市场项目,有什么限制?
您必须向政府提交分类请求(见粗体):
n.b。注3(密码识别):您必须提交分类 对大众市场加密的要求或加密登记 商品和软件符合加密笔记的条件 使用键长度超过64位的对称 算法(或商品和软件而非实施任何 对称算法,采用大于768位的键长度 椭圆曲线的非对称算法或大于128位 算法)按照§742.15(b)的要求 耳朵是从“EI”和“NS”控制的eCCN释放 5a002或5d002。
所以,基于该可以且不能使用什么?
免责声明 :: 这是我对上述的解释 - 再次我不是律师
- aes 128 不能使用而不提交请求,因为它使用了128位键。
- des 可以使用,因为它使用了56位键。事实上,即使没有被归类为大众市场项目也可以使用DES。
- cast 可以使用,因为它使用40-128位之间的键(您必须使用64位或更少的键)。
- 3des 不能使用。 3DES的原始密钥是64位,但我理解它有3个键...所以我不确定通过它,你可能需要提交请求。维基百科说其“由NIST指定只有80位安全性”,这让我认为它无法使用。
- rc4 我相信您可以在不提交请求的情况下使用,只要变量大小键是64位或更少的。
U. S.行业局和安全 - 加密 - 我可以自我分类我的加密项目并在没有加密注册的情况下导出它吗?
免责声明 :: 我不是一个laterwer,这是我的解释。我不会责任。
您可以使用一个对称密钥算法(如des),其中56位键(或更少)。 此外,大众市场产品可以使用64位键(或更少)的对称密钥算法。
粗体的重要部分。
流程图2 概述了如何确定您的 产品可以自我分类并导出无需加密 注册。
如果您的产品在5类,第2部分控制的产品, 某些产品和交易不需要任何加密 注册,分类或出口后报告。这包括:
- 产品分类为5x992,包括:
- 产品的键长度不超过56位对称,512位
- 产品分类为5x992,包括:
- 某些产品/交易有资格获得许可证异常ENC
任何注册,分类或报告,包括:
- 出口和 740.17(a)(1)中所述,重新进入“私营部门最终用户”;
- 导出并重新进出“美国”下亚利亚“如上所述 740.17(a)(2)。
- 在740.17(b)(4)下列下市的某些产品:
- 某些产品只需要出口前的通知:
- “公开 可用的“许可证异常下的加密软件和源代码 TSU(740.13);
- Beta测试软件在许可证异常TMP(740.9)。
此外,如果您依靠制片人的自我分类 (根据生产者的加密登记)或CCATS 加密项目符合许可证的导出或重新进出 例外ENC或大众市场,您不需要提交 加密登记,分类请求或自我分类 报告。您仍然需要遵守半年销售额 根据第740.17(E)项报告要求。