Quand cocher la case « Cette application utilise le cryptage » ?
https://stackoverflow.com//questions/9609901
-
09-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Lors de la soumission ou de la mise à jour d'une application, une question à laquelle vous êtes confronté est la suivante :
Avez-vous ajouté ou apporté des modifications aux fonctionnalités de chiffrement depuis que vous avez téléchargé un binaire pour ce produit?
Image:
Ma question est, si j'utilise le cryptage que vous obtenez du <CommonCrypto/CommonCryptor.h> bibliothèque, dois-je cocher OUI à ce Q ?
J'ai un fichier que j'aimerais crypter, envoyer à l'iPhone et déchiffrer sur l'iPhone à l'aide de CommonCrypto.J'ai eu des réponses mitigées lorsque je discutais avec des collègues.Certains pensent que puisqu'il s'agit d'un cadre inclus, c'est un jeu équitable, d'autres disent que vous devez obtenir l'approbation du gouvernement.
Il semble que CommonCrypto prenne en charge (au mieux) le cryptage AES 128 bits avec un mode de chiffrement ECB.C'est donc ce que j'avais prévu d'utiliser.
Remarque latérale :J'ai l'intention d'utiliser le NSData+CommonCrypto catégorie de AlanQuatermain / aqtoolkit sur github.Ceci est juste un wrapper autour de CommonCrypto et rien de plus.
Lié est, devez-vous cocher OUI si vous utilisez HTTPS (SSL)?Voir Conformité à l'exportation du chiffrement iPhone pour les applications établissant des connexions HTTPS (TLS) - Suite.Je n'ai pas besoin de connexions https, ça me surprend quand même...
La solution
Je crois que j'ai trouvé la réponse que je cherchais.
Disclaimer - Je ne suis pas un avocat (comme vous les gens) et je ne serais pas tenu responsable de cette réponse, mais je pense que mes conclusions peuvent / feront profiter à la communauté.
Mon application est-elle qualifiée comme élément de marché de masse?
Réponse courte - Je crois que toutes les applications Apple seraient considérées comme des éléments de marché de masse, mais il est difficile d'être sûr d'être sûr. Cependant, il semble que même les articles de marché non masse peuvent utiliser un algorithme de clé symétrique avec une clé de 56 bits ou moins (comme vous allez lire davantage ci-dessous). Remarque Des est un algorithme de clé symétrique qui utilise une clé 56 bits.
Note 3: cryptographie Remarque: ECCNS 5A002 et 5D002 ne contrôlent pas
articles qui répondent à toutes les opérations suivantes:
a. généralement disponible pour la
public en étant vendu, sans restriction, des stocks au détail
Points de vente au moyen de l'une des suivantes:
- transactions en vente libre;
- Transactions de commande de messagerie;
- transactions électroniques; ou
- Transactions d'appel téléphonique;
b. La fonctionnalité cryptographique ne peut pas être facilement modifiée par l'utilisateur;
c. conçu pour l'installation par
l'utilisateur sans autre soutien substantiel par le fournisseur; et
d.
Si nécessaire, les détails des articles sont accessibles et seront
fourni, sur demande, à l'autorité compétente de l'exportateur
pays afin de déterminer le respect des conditions décrites dans
paragraphes a) à (c) de cette note
OK ... Donc, s'il s'agit d'un article de marché de masse, quelles sont les limitations?
Vous devez soumettre une demande de classification au gouvernement si (voir gras):
n.b. NOTE 3 (Note de cryptographie): Vous devez soumettre une classification
Enregistrement de la demande ou du cryptage à BIS pour le cryptage du marché de masse
Produits et logiciels éligibles à la cryptographie
Utilisation d'une longueur de clé supérieure à 64 bits pour le symétrique
algorithme (ou pour les produits de base et les logiciels ne mettant en œuvre aucun
algorithmes symétriques, employant une longueur de clé supérieure à 768 bits pour
algorithmes asymétriques ou supérieur à 128 bits pour courbe elliptique
algorithmes ) conformément aux exigences du § 742.15 (b) de la
Oreille pour être libéré des contrôles "EI" et "NS" de ECCN
5A002 ou 5D002.
Ainsi, en fonction de ce que peut-on utiliser et que je ne puis-je pas utiliser?
Disclaimer de non-responsabilité :: C'est mon interprétation de ce qui précède - encore une fois, je ne suis pas un avocat
- AES 128 ne peut pas être utilisé sans soumettre une demande puisqu'il utilise une touche 128 bits.
- des peut être utilisé car il utilise une touche 56 bits. En fait, des des OF peuvent être utilisés même sans être classés comme élément de marché de masse.
- casting peut être utilisé car il utilise une touche entre 40-128 bits (vous devez utiliser une clé de 64 bits ou moins).
-
3DES ne peut pas être utilisé . La clé de chiffrement originale de 3DES est de 64 bits, mais si je comprends, il a 3 clés ... Donc, je ne suis pas sûr que cela passe et que vous deviez probablement soumettre une demande. Wikipedia dit que son "désigné par NIST ne doit avoir que 80 bits de sécurité", ce qui me fait penser qu'il ne peut pas être utilisé.
-
rc4 Je crois Vous pouvez utiliser cela sans soumettre une demande tant que la clé de taille variable est de 64 bits ou moins .
U. S. Bureau of Industry and Security - Cryptage - Puis-je auto-classer mon élément de cryptage et l'exporter sans enregistrement de cryptage?
Disclaimer de non-responsabilité :: Je ne suis pas uneyywer, c'est mon interprétation. Je ne serai pas responsable.
Vous pouvez utiliser un algorithme de clé symétrique (comme des) avec une touche 56 bits (ou moins).
En outre, les produits du marché de masse peuvent utiliser des algorithmes de clé symétrique avec une clé de 64 bits (ou moins).
sections importantes en gras.
Organigramme 2 fournit un aperçu de la manière de déterminer si votre
Le produit peut être auto-classé et exporté sans cryptage
Inscription.
Si vous avez un produit contrôlé sous la catégorie 5, partie 2,
Certains produits et transactions ne nécessitent aucun cryptage
enregistrement, classification ou rapports post-exportation. Cela inclut:
- Produits classés sous 5x992, y compris:
-
produits avec des longueurs de clé ne dépassant pas 56 bits symétriques, 512 bits
asymétrique et / ou
Courbe elliptique 112 bits.
- transactions en vente libre;
- Transactions de commande de messagerie;
- transactions électroniques; ou
- Transactions d'appel téléphonique;
b. La fonctionnalité cryptographique ne peut pas être facilement modifiée par l'utilisateur; c. conçu pour l'installation par l'utilisateur sans autre soutien substantiel par le fournisseur; et
d. Si nécessaire, les détails des articles sont accessibles et seront fourni, sur demande, à l'autorité compétente de l'exportateur pays afin de déterminer le respect des conditions décrites dans paragraphes a) à (c) de cette note OK ... Donc, s'il s'agit d'un article de marché de masse, quelles sont les limitations?
Vous devez soumettre une demande de classification au gouvernement si (voir gras):
n.b. NOTE 3 (Note de cryptographie): Vous devez soumettre une classification Enregistrement de la demande ou du cryptage à BIS pour le cryptage du marché de masse Produits et logiciels éligibles à la cryptographie Utilisation d'une longueur de clé supérieure à 64 bits pour le symétrique algorithme (ou pour les produits de base et les logiciels ne mettant en œuvre aucun algorithmes symétriques, employant une longueur de clé supérieure à 768 bits pour algorithmes asymétriques ou supérieur à 128 bits pour courbe elliptique algorithmes ) conformément aux exigences du § 742.15 (b) de la Oreille pour être libéré des contrôles "EI" et "NS" de ECCN 5A002 ou 5D002. Ainsi, en fonction de ce que peut-on utiliser et que je ne puis-je pas utiliser?
Disclaimer de non-responsabilité :: C'est mon interprétation de ce qui précède - encore une fois, je ne suis pas un avocat
- AES 128 ne peut pas être utilisé sans soumettre une demande puisqu'il utilise une touche 128 bits.
- des peut être utilisé car il utilise une touche 56 bits. En fait, des des OF peuvent être utilisés même sans être classés comme élément de marché de masse.
- casting peut être utilisé car il utilise une touche entre 40-128 bits (vous devez utiliser une clé de 64 bits ou moins).
-
3DES ne peut pas être utilisé . La clé de chiffrement originale de 3DES est de 64 bits, mais si je comprends, il a 3 clés ... Donc, je ne suis pas sûr que cela passe et que vous deviez probablement soumettre une demande. Wikipedia dit que son "désigné par NIST ne doit avoir que 80 bits de sécurité", ce qui me fait penser qu'il ne peut pas être utilisé. -
rc4 Je crois Vous pouvez utiliser cela sans soumettre une demande tant que la clé de taille variable est de 64 bits ou moins . U. S. Bureau of Industry and Security - Cryptage - Puis-je auto-classer mon élément de cryptage et l'exporter sans enregistrement de cryptage?
Disclaimer de non-responsabilité :: Je ne suis pas uneyywer, c'est mon interprétation. Je ne serai pas responsable. Vous pouvez utiliser un algorithme de clé symétrique (comme des) avec une touche 56 bits (ou moins).
En outre, les produits du marché de masse peuvent utiliser des algorithmes de clé symétrique avec une clé de 64 bits (ou moins).
sections importantes en gras.
Organigramme 2 fournit un aperçu de la manière de déterminer si votre Le produit peut être auto-classé et exporté sans cryptage Inscription.
Si vous avez un produit contrôlé sous la catégorie 5, partie 2, Certains produits et transactions ne nécessitent aucun cryptage enregistrement, classification ou rapports post-exportation. Cela inclut:
- Produits classés sous 5x992, y compris:
-
produits avec des longueurs de clé ne dépassant pas 56 bits symétriques, 512 bits
-
- Produits classés sous 5x992, y compris:
- Certains produits / transactions sont admissibles à une exception de licence ENC sans
Toute enregistrement, classification ou rapport, y compris:
- exportations et réexportation à "Utilisateurs finaux du secteur privé" comme décrit au 740.17 (a) (1);
- exporte et reexports vers un "U.S. Subisidaire "comme décrit dans 740.17 (a) (2).
- Certains produits énumérés au moins 740.17 (B) (4):
- Certains produits qui ne nécessitent qu'une notification avant l'exportation:
- "publiquement Disponible "Logiciel de cryptage et code source sous une exception de licence TSU (740.13);
- logiciel de test bêta sous une exception de licence TMP (740.9).
En outre, si vous comptez sur la classification de l'auto-classification du producteur (conformément à l'enregistrement du cryptage du producteur) ou de la CCATS pour un Objet de cryptage éligible à l'exportation ou à Reexport sous licence Exceptions Enc ou Mass Market, vous n'êtes pas obligé de soumettre un Enregistrement de cryptage, demande de classification ou auto-classification rapport. Vous devez toujours vous conformer aux ventes semestrielles Exigences relatives aux rapports en vertu de l'alinéa 740.17 (e).
