Когда нужно установить флажок “Это приложение использует шифрование”?

StackOverflow https://stackoverflow.com//questions/9609901

Вопрос

При отправке или обновлении приложения вы сталкиваетесь с одним вопросом::

Вы добавили или изменили механизм шифрования с момента последнего загрузил двоичный файл для этого продукта?

Изображение: enter image description here

Мой вопрос заключается в следующем, если я использую шифрование, которое вы получаете от <CommonCrypto/CommonCryptor.h> библиотека, должен ли я проверить "ДА" на этот вопрос?

У меня есть файл, который я хотел бы зашифровать, отправить на iphone и расшифровать на iphone с помощью CommonCrypto.Разговаривая с коллегами, я получал неоднозначные ответы.Некоторые считают, что, поскольку это включенная система, это честная игра, другие говорят, что вы должны получить одобрение правительства.

Похоже, что CommonCrypto поддерживает (в лучшем случае) 128-битное шифрование AES с шифрованным режимом ECB.Итак, это то, что я планировал использовать.

Боковое примечание:Я планирую использовать NSData+CommonCrypto категория из АланКватермейн / aqtoolkit на github.Это всего лишь оболочка вокруг CommonCrypto и ничего больше.

Связанный с этим является, нужно ли вам проверять "ДА", если вы используете HTTPS (SSL)?Видишь Соответствие экспорта шифрования iPhone требованиям для приложений, устанавливающих соединения по протоколу HTTPS (TLS) - Продолжение.Мне не нужны https-соединения, и все же это меня удивляет...

Это было полезно?

Решение

Я верю, что нашел ответ, который искал.

Отказ от ответственности - Я НЕ юрист (как и вы, ребята) и не несу ответственности за этот ответ, но я думаю, что мои выводы могут принести пользу сообществу.

Относится ли мое приложение к товарам массового спроса?

Краткий ответ - я полагаю, что все приложения Apple будут считаться товарами массового спроса, но в этом трудно быть уверенным.Однако, похоже, что даже товары немассового рынка могут использовать алгоритм симметричного ключа с 56-битным ключом или меньше (как вы прочтете далее ниже).Примечание. DES - это алгоритм с симметричным ключом, который использует 56-битный ключ.

Примечание по криптографии (Примечание 3) к категории 5, часть 2 (“Информационная безопасность”), Списка контроля за торговлей

Примечание 3: Примечание по криптографии:ECCNS 5A002 и 5D002 не контролируют элементы, соответствующие всем следующим требованиям:

a. Общедоступный продается без ограничений со склада в розничной торговле пункты продажи с помощью любого из следующих средств:

  1. Внебиржевые транзакции;
  2. Транзакции с почтовыми заказами;
  3. Электронные транзакции;или
  4. Транзакции телефонных звонков;

b. Криптографическая функциональность не может быть легко изменена пользователем;

c. Предназначены для установки на пользователем без дальнейшей существенной поддержки поставщиком;и

d. При необходимости подробная информация о товарах доступна и будет предоставлена, по запросу, соответствующему органу в стране экспортера , чтобы убедиться в соответствии условиям, описанным в пунктах (а) - (с) настоящего примечания

ОК...Итак, если это товар массового спроса, каковы ограничения?

Вы должны подать запрос на классификацию в правительство, если (выделено жирным шрифтом):

Н.Б.к Примечанию 3 (Примечание по криптографии): Вы должны отправить классификацию запрос или регистрацию шифрования в BIS для шифрования на массовом рынке товары и программное обеспечение, подпадающие под примечание о криптографии используя длина ключа, превышающая 64 бита для симметричного алгоритма (или, для товаров и программного обеспечения, не реализующих какие-либо симметричные алгоритмы, использующие длину ключа более 768 бит для асимметричных алгоритмов или более 128 бит для эллиптической кривой алгоритмы) в соответствии с требованиями § 742.15 (b) EAR для освобождения от контроля ”EI“ и "NS” ECCN 5A002 или 5D002.

Итак, исходя из этого, что я МОГУ использовать, а ЧТО НЕТ?

Отказ от ответственности :: Это моя интерпретация вышесказанного - опять же, я не юрист

  • AES 128 не может быть использован без отправки запроса, поскольку он использует 128-битный ключ.
  • DES может быть использован поскольку он использует 56-битный ключ.Фактически, DES можно использовать даже без отнесения к категории товаров массового спроса.
  • ОТЛИТЫЙ может быть использован поскольку он использует ключ в диапазоне 40-128 бит (вам придется использовать ключ в 64 бита или меньше).
  • 3ДЭС не может быть использован.Исходный ключ шифрования 3DES является 64-битным, но, как я понимаю, он имеет 3 ключа...Так что я не уверен, что это пройдет, и вам, вероятно, придется отправить запрос.Википедия говорит, что он "обозначен NIST как имеющий только 80 бит безопасности", что заставляет меня думать, что он не может быть использован.
  • RC4 Я верю вы можете использовать это без отправки запроса при условии, что ключ переменного размера равен 64 битам или меньше.

U.S.Бюро промышленности и безопасности - Шифрование - Могу ли я самостоятельно классифицировать свой элемент шифрования и экспортировать его БЕЗ регистрации в системе шифрования?

Отказ от ответственности :: Я не дилетант, это моя интерпретация.Я не буду нести ответственности.

Вы можете использовать алгоритм симметричного ключа (например, DES) с 56-битным ключом (или меньше).

Кроме того, продукты массового рынка могут использовать алгоритмы симметричного ключа с 64-битным ключом (или меньше).

Важные разделы выделены жирным шрифтом.

Технологическая схема 2 представлен обзор о том, как определить, является ли ваш продукт может быть собственной группировки и экспортируются без шифрования Регистрация.

Если у вас есть продукт, который контролируется в соответствии с категорией 5, часть 2, некоторые продукты и транзакции не требуют никакого шифрования регистрация, классификация или отчетность после экспорта.Это включает в себя:

  • Продукты, классифицированные как 5x992, включая:
    • Продукты с длиной ключа, не превышающей 56 бит симметричных, 512 бит асимметричных и /или 112 бит эллиптической кривой.
    • Массовые продукты с длиной ключа не более 64 бит, симметричные, или, если симметричных алгоритмов нет, не более 768 бит, асимметричные и / или 128 бит, эллиптическая кривая.
    • Определенных масс-маркет средства, перечисленные в соответствии 742.15(B) в(4)
    • Продукты с ограниченной криптографической функциональностью , как описано в примечании к 5A002.
    • Продукты, использующие шифрование только для аутентификации.
  • Некоторые продукты/транзакции 5x002, включая:
    • Определенные продукты / транзакции подпадают под действие лицензионного исключения ENC без какой-либо регистрации, классификации или отчетности, включая:
      • Экспорт и реэкспорт ‘конечным пользователям частного сектора’, как описано в 740.17(a)(1);
      • Экспортирует и реэкспортирует в “СШАСубсидиарный”, как описано в 740.17(a)(2).
      • Некоторые продукты, перечисленные в пункте 740.17 (b)(4):
    • Некоторые продукты, для экспорта которых требуется только уведомление:
      • “Публично доступно ” программное обеспечение для шифрования и исходный код по лицензии, за исключением TSU (740.13);
      • Бета-тестирование программного обеспечения по лицензии с исключением TMP (740.9).

Кроме того, если вы полагаетесь на самоклассификацию производителя (в соответствии с регистрацией шифрования производителя) или CCATS для изделия для шифрования, подлежащего экспорту или реэкспорту по лицензии За исключением ENC или массового рынка, от вас не требуется отправлять запрос на регистрацию шифрования, классификацию или отчет о самоклассификации .Вы по-прежнему обязаны соблюдать полугодовые требования к отчетности о продажах в соответствии с пунктом 740.17 (e).

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top