Wann muss das Kontrollkästchen „Diese Anwendung verwendet Verschlüsselung“ aktiviert werden?

StackOverflow https://stackoverflow.com//questions/9609901

Frage

Wenn Sie eine App einreichen oder aktualisieren, stehen Sie vor der Frage:

Haben Sie die Verschlüsselungsfunktionen hinzugefügt oder Änderungen vorgenommen, seit Sie das letzte Mal ein binäres für dieses Produkt hochgeladen haben?

Bild: enter image description here

Meine Frage ist, Wenn ich die Verschlüsselung verwende, die Sie von der erhalten <CommonCrypto/CommonCryptor.h> Bibliothek, muss ich diese Frage mit JA beantworten?

Ich habe eine Datei, die ich mit CommonCrypto verschlüsseln, an das iPhone senden und auf dem iPhone entschlüsseln möchte.Ich habe bei Gesprächen mit Kollegen gemischte Reaktionen erhalten.Einige glauben, dass es Freiwild sei, da es sich um ein integriertes Rahmenwerk handele, andere meinen, man müsse die Genehmigung der Regierung einholen.

Es scheint, dass CommonCrypto (bestenfalls) AES-128-Bit-Verschlüsselung mit dem Verschlüsselungsmodus ECB unterstützt.Das ist es also, was ich verwenden wollte.

Randnotiz:Ich habe vor, das zu verwenden NSData+CommonCrypto Kategorie aus AlanQuatermain / aqtoolkit auf Github.Dies ist nur ein Wrapper um CommonCrypto und nichts weiter.

Verwandt ist, Müssen Sie JA ankreuzen, wenn Sie HTTPS (SSL) verwenden??Sehen Exportkonformität der iPhone-Verschlüsselung für Apps, die HTTPS (TLS)-Verbindungen herstellen – Fortsetzung.Ich brauche keine https-Verbindungen, trotzdem überrascht mich das ...

War es hilfreich?

Lösung

Ich glaube, ich habe die Antwort gefunden, nach der ich gesucht habe.

Haftungsausschluss - Ich bin KEIN Anwalt (wie Sie) und werde für diese Antwort nicht verantwortlich gemacht, aber ich denke, dass meine Erkenntnisse der Gemeinschaft zugute kommen können/werden.

Gilt meine App als Massenmarktartikel?

Kurze Antwort: Ich glaube, dass alle Apple-Apps als Massenmarktartikel gelten würden, aber es ist schwer, sicher zu sein.Es scheint jedoch, dass auch Nicht-Massenmarktartikel einen symmetrischen Schlüsselalgorithmus mit einem 56-Bit-Schlüssel oder weniger verwenden können (wie Sie weiter unten lesen werden).Hinweis DES ist ein symmetrischer Schlüsselalgorithmus, der einen 56-Bit-Schlüssel verwendet.

Kryptographische Anmerkung (Anmerkung 3) der Kategorie 5, Teil 2 („Informationssicherheit“) der Handelskontrollliste

Notiz 3: Hinweis zur Kryptografie:ECCNS 5A002 und 5D002 kontrollieren keine Elemente, die alle folgenden Punkte erfüllen:

A. Im Allgemeinen für die Öffentlichkeit zur Verfügung, indem sie ohne Beschränkung von Aktien an den Verkaufspunkten im Einzelhandel verkauft werden, mittels eines der folgenden:

  1. Außerbörsliche Transaktionen;
  2. Versandhandelsgeschäfte;
  3. Elektronische Transaktionen;oder
  4. Telefongespräche;

B. Die kryptografische Funktionalität kann vom Benutzer nicht einfach geändert werden;

C. Entwickelt für die Installation durch den Benutzer ohne weitere erhebliche Unterstützung durch den Lieferanten;Und

D. Bei Bedarf sind Einzelheiten zu den Elementen zugänglich und werden auf Anfrage der zuständigen Behörde im Land des Exporteurs auf Anfrage zur Verfügung gestellt, um die Einhaltung der in den Absätzen (a) bis (c) dieses Note beschriebenen Bedingungen festzustellen

OK...Wenn es sich also um einen Massenmarktartikel handelt, welche Einschränkungen gibt es?

Sie müssen einen Klassifizierungsantrag bei der Regierung einreichen, wenn (siehe Fettdruck):

Hinweis:zu Anmerkung 3 (Kryptographie-Anmerkung): Sie müssen eine Klassifizierungsanforderung oder Verschlüsselungsregistrierung für BIS für Massenmarktverschlüsselungshäuser und Software vorlegen Schlüssellänge mehr als 64 Bit für den symmetrischen Algorithmus (oder, Für Rohstoffe und Software, die symmetrische Algorithmen nicht implementieren und eine Schlüssellänge von mehr als 768 Bit für asymmetrische Algorithmen oder mehr als 128 Bit für elliptische Kurvenalgorithmen verwenden) gemäß den Anforderungen von § 742.15 (b) des Ohrs, um aus den „EI “- und„ NS “-Kontrollen von ECCN 5A002 oder 5D002 entlassen zu werden.

Was kann ich also basierend darauf verwenden und was nicht?

Haftungsausschluss :: Dies ist meine Interpretation des oben Gesagten – ich bin wiederum kein Anwalt

  • AES 128 kann nicht verwendet werden ohne eine Anfrage zu senden, da ein 128-Bit-Schlüssel verwendet wird.
  • DES kann verwendet werden da es einen 56-Bit-Schlüssel verwendet.Tatsächlich kann DES auch ohne Einstufung als Massenmarktartikel verwendet werden.
  • GIESSEN kann verwendet werden da ein Schlüssel zwischen 40 und 128 Bit verwendet wird (Sie müssten einen Schlüssel mit 64 Bit oder weniger verwenden).
  • 3DES kann nicht verwendet werden.Der ursprüngliche Verschlüsselungsschlüssel von 3DES ist 64 Bit, aber soweit ich weiß, hat er 3 Schlüssel ...Ich bin mir also nicht sicher, ob das erfolgreich ist, und Sie müssten wahrscheinlich einen Antrag stellen.Wikipedia sagt, dass es „vom NIST als nur 80-Bit-Sicherheit vorgesehen“ ist, was mich zu dem Schluss bringt, dass es nicht verwendet werden kann.
  • RC4 Ich glaube Sie können verwenden dies ohne eine Anfrage zu stellen solange der Schlüssel mit variabler Größe 64 Bit oder weniger beträgt.

U.S.Bureau of Industry and Security – Verschlüsselung – Darf ich mein Verschlüsselungselement selbst klassifizieren und OHNE Verschlüsselungsregistrierung exportieren?

Haftungsausschluss :: Ich bin kein Anwalt, das ist meine Interpretation.Ich übernehme keine Haftung.

Sie können einen symmetrischen Schlüsselalgorithmus (wie DES) mit einem 56-Bit-Schlüssel (oder weniger) verwenden.

Darüber hinaus können Massenmarktprodukte symmetrische Schlüsselalgorithmen mit einem 64-Bit-Schlüssel (oder weniger) verwenden.

Wichtige Abschnitte sind fett hervorgehoben.

Flussdiagramm 2 Bietet einen Überblick darüber, wie Sie feststellen können, ob Ihr Produkt ohne Verschlüsselungsregistrierung selbst eingestuft und exportiert werden kann.

Wenn Sie ein Produkt haben, das nach Kategorie 5, Teil 2 kontrolliert wird, benötigen bestimmte Produkte und Transaktionen keine Verschlüsselungsregistrierung, Klassifizierung oder Berichterstattung nach dem Export.Das beinhaltet:

  • Unter 5x992 klassifizierte Produkte, darunter:
    • Produkte mit Schlüssellängen von nicht mehr als 56 Bitsymmetrie, 512 Bits asymmetrisch und/oder 112 Bit elliptischer Kurve.
    • Massenmarktprodukte mit wichtigen Längen von nicht mehr als 64 Bits symmetrisch oder wenn keine symmetrischen Algorithmen über 768 Bits asymmetrische und/oder 128 Bits elliptische Kurve überschreiten.
    • Bestimmte Massenmarktprodukte, die unter 742,15 (b) (4) aufgeführt sind
    • Produkte mit begrenzten kryptografischen Funktionen, wie in der Note auf 5A002 beschrieben.
    • Produkte, die Verschlüsselung nur zur Authentifizierung verwenden.
  • Bestimmte 5x002-Produkte/Transaktionen, darunter:
    • Bestimmte Produkte/Transaktionen können ohne Registrierung, Klassifizierung oder Berichterstattung für Lizenzausnahmeberechtigung berechtigt sind, einschließlich:
      • Exporte und Reexports in "Endbenutzer des privaten Sektors", wie in 740.17 (a) (1) beschrieben;
      • Exporte und Reexporte in ein „U.S.Subisidarisch “wie in 740.17 (a) (2) beschrieben.
      • Bestimmte Produkte, die unter 740.17(b)(4) aufgeführt sind:
    • Bestimmte Produkte, für die vor dem Export lediglich eine Anmeldung erforderlich ist:
      • "Öffentlich verfügbar" Verschlüsselungssoftware und Quellcode unter Lizenzausnahme TSU (740.13);
      • Betatest-Software unter Lizenzausnahme TMP (740.9).

Wenn Sie sich auf die Selbstklassifizierung des Herstellers (gemäß der Verschlüsselungsregistrierung des Herstellers) oder CCATs für einen Verschlüsselungsgegenstand für den Export oder eine erneute Exporte unter Lizenzausnahme-ENC oder Massenmarkt verlassen, müssen Sie nicht eine Verschlüsselungsregistrierung einreichen. Klassifizierungsanfrage oder Selbstklassifizierungsbericht.Sie müssen weiterhin die Anforderungen an die halbjährlichen Verkaufsberichterstattung gemäß Absatz 740.17 (e) erfüllen.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top