Quando selezionare la casella "Questa applicazione utilizza la crittografia"?

StackOverflow https://stackoverflow.com//questions/9609901

Domanda

Quando invii o aggiorni un'app, una domanda che devi affrontare è:

Hai aggiunto o apportato modifiche alle funzionalità di crittografia dall'ultima volta che hai caricato un binario per questo prodotto?

Immagine: enter image description here

La mia domanda è, se utilizzo la crittografia che ottieni da <CommonCrypto/CommonCryptor.h> libreria, devo selezionare SÌ a quella Q?

Ho un file che vorrei crittografare, inviare all'iPhone e decrittografare sull'iPhone utilizzando CommonCrypto.Ho ricevuto risposte contrastanti parlando con i colleghi.Alcuni credono che, poiché si tratta di un quadro incluso, sia un gioco leale, altri dicono che devi ottenere l'approvazione del governo.

Sembra che CommonCrypto supporti (nella migliore delle ipotesi) la crittografia AES a 128 bit con una modalità di crittografia della BCE.Quindi, questo è quello che avevo intenzione di usare.

Nota a margine:Ho intenzione di utilizzare il NSData+CommonCrypto categoria da AlanQuatermain/aqtoolkit su github.Questo è solo un involucro attorno a CommonCrypto e niente di più.

Correlato è, devi selezionare SÌ se usi HTTPS (SSL)?Vedere Conformità all'esportazione della crittografia iPhone per le app che effettuano connessioni HTTPS (TLS) - Continua.Non ho bisogno di connessioni https, tuttavia questo mi sorprende...

È stato utile?

Soluzione

Credo di aver trovato la risposta che cercavo.

Disclaimer - NON sono un avvocato (come voi) e non sarò ritenuto responsabile per questa risposta, ma penso che le mie scoperte possano/andranno a beneficio della comunità.

La mia app si qualifica come articolo del mercato di massa?

Risposta breve: credo che tutte le app Apple siano considerate articoli del mercato di massa, ma è difficile esserne sicuri.Tuttavia, sembra che anche gli articoli non del mercato di massa possano utilizzare un algoritmo a chiave simmetrica con una chiave a 56 bit o inferiore (come leggerai più avanti).Nota DES è un algoritmo a chiave simmetrica che utilizza una chiave a 56 bit.

Nota crittografica (nota 3) della categoria 5, parte 2 ("Sicurezza delle informazioni"), della lista di controllo del commercio

Nota 3: Nota sulla crittografia:ECCNS 5A002 e 5D002 non controllano gli elementi che soddisfano tutte le seguenti:

UN. Generalmente disponibile al pubblico essendo venduto, senza restrizioni, dallo stock nei punti di vendita al dettaglio per mezzo di uno dei seguenti:

  1. Transazioni fuori borsa;
  2. Transazioni di vendita per corrispondenza;
  3. Transazioni elettroniche;O
  4. Transazioni di chiamate telefoniche;

B. La funzionalità crittografica non può essere facilmente modificata dall'utente;

C. Progettato per l'installazione da parte dell'utente senza ulteriore supporto sostanziale da parte del fornitore;E

D. Se necessario, i dettagli degli articoli sono accessibili e saranno forniti, su richiesta, all'autorità appropriata nel paese dell'esportatore al fine di accertare la conformità alle condizioni descritte nei paragrafi da (a) a (c) della presente nota

OK...Quindi, se si tratta di un articolo del mercato di massa, quali sono le limitazioni?

È necessario presentare una richiesta di classificazione al governo se (vedi grassetto):

NB.alla nota 3 (nota sulla crittografia): È necessario inviare una richiesta di classificazione o una registrazione di crittografia ai BRI per le merci di crittografia del mercato di massa e il software idoneo per la nota di crittografia che impiega un Lunghezza chiave maggiore di 64 bit per l'algoritmo simmetrico (O, Per merci e software che non implementano algoritmi simmetrici, impiegando una lunghezza chiave maggiore di 768 bit per algoritmi asimmetrici o superiori a 128 bit per algoritmi della curva ellittica) in conformità con i requisiti di § 742.15 (b) dell'orecchio per essere rilasciati dai controlli "EI" e "NS" di ECCN 5A002 o 5D002.

Quindi, in base a ciò, cosa POSSO e NON POSSO usare?

Disclaimer :: Questa è la mia interpretazione di quanto sopra: ancora una volta non sono un avvocato

  • AES128 non può essere utilizzato senza inviare una richiesta poiché utilizza una chiave a 128 bit.
  • DES può essere utilizzata poiché utilizza una chiave a 56 bit.Infatti, il DES può essere utilizzato anche senza essere classificato come oggetto del mercato di massa.
  • LANCIO può essere utilizzata poiché utilizza una chiave compresa tra 40 e 128 bit (dovresti utilizzare una chiave di 64 bit o meno).
  • 3DES non può essere utilizzato.La chiave di cifratura originale di 3DES è a 64 bit, ma da quanto ho capito ha 3 chiavi...Quindi non sono sicuro che passi e probabilmente dovresti inviare una richiesta.Wikipedia dice che è "designata dal NIST per avere solo 80 bit di sicurezza", il che mi fa pensare che non possa essere utilizzata.
  • RC4 Credo Puoi usare questo senza presentare alcuna richiesta purché la chiave di dimensione variabile sia pari o inferiore a 64 bit.

U.S.Bureau of Industry and Security - Crittografia - Posso autoclassificare il mio elemento di crittografia ed esportarlo SENZA registrazione della crittografia?

Disclaimer :: Non sono un avvocato, questa è la mia interpretazione.Non sarò responsabile.

È possibile utilizzare un algoritmo a chiave simmetrica (come DES) con una chiave a 56 bit (o inferiore).

Inoltre, i prodotti del mercato di massa possono utilizzare algoritmi a chiave simmetrica con una chiave a 64 bit (o inferiore).

Sezioni importanti in grassetto.

Diagramma di flusso 2 Fornisce una panoramica di come determinare se il prodotto può essere auto-classificato ed esportato senza una registrazione di crittografia.

Se si dispone di un prodotto controllato nella categoria 5, parte 2, determinati prodotti e transazioni non richiedono alcuna registrazione di crittografia, classificazione o report post-esportazione.Ciò comprende:

  • Prodotti classificati sotto 5x992, tra cui:
    • Prodotti con lunghezze chiave non superiori a 56 bit simmetrici, 512 bit asimmetrici e/o curva ellittica a 112 bit.
    • Prodotti del mercato di massa con lunghezze chiave non superiori a 64 bit simmetrici o se non algoritmi simmetrici, non superiori a 768 bit asimmetrici e/o 128 bit di curva ellittica.
    • Alcuni prodotti del mercato di massa elencati in 742.15 (b) (4)
    • Prodotti con funzionalità crittografica limitata come descritto nella nota a 5A002.
    • Prodotti che utilizzano la crittografia solo per l'autenticazione.
  • Alcuni prodotti/transazioni 5x002, tra cui:
    • Alcuni prodotti/transazioni possono beneficiare di eccezioni di licenza senza alcuna registrazione, classificazione o reporting, tra cui:
      • Esportazioni ed revocazioni in "utenti finali del settore privato" come descritto in 740.17 (a) (1);
      • Esportazioni e riesportazioni verso un paese “U.S.Subisidario "come descritto in 740.17 (a) (2).
      • Alcuni prodotti elencati sotto 740.17(b)(4):
    • Alcuni prodotti che richiedono solo una notifica prima dell'esportazione:
      • Il software di crittografia "disponibile pubblicamente" e il codice sorgente in licenza eccezione TSU (740.13);
      • Software Beta Test con eccezione di licenza TMP (740.9).

Inoltre, se si fa affidamento sull'auto-classificazione del produttore (ai sensi della registrazione di crittografia del produttore) o CCATS per un elemento di crittografia idoneo per l'esportazione o la re-esportazione in base al mercato delle eccezioni o di massa della licenza Richiesta di classificazione o rapporto di auto-classificazione.È ancora necessario rispettare i requisiti di rendicontazione delle vendite semestrale ai sensi del paragrafo 740.17 (e).

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top