iOS AppStore上的CCATS和encryption
这将是一个长期的问题…其实是一组相关的问题…我想制作一个iOS应用程序,这将在Apples App Store上销售,(显然)。 我的应用程序将在文档目录中存储一些敏感的用户数据。 出于安全原因,我想到了一个可以保护这些数据的密码系统。 这里的乐趣开始了……那个数据安全机制实际上是牢不可破的。 我将使用AES-128/256,TwoFish 128/256和Serpent 128/256。 用户可以select使用什么地方…我可能会使用双重encryption,数据被AESencryption一次,然后用蛇,或任何组合。
我显然需要检查app store中的“使用encryption”button。 问题是:
1)我需要什么authenticationCCATS或只是ERN?
来自:
http://tigelane.blogspot.ro/2011/01/apple-itunes-export-restrictions-on.html
- 去这个链接,并使用他的指示。 这是一个伟大的职位:http: //zetetic.net/blog/2009/08/03/mass-market-encryption-commodity-classification-for-iphone-applications-in-8-easy-steps/
- 对所有情况执行步骤1和2。 如果你build立了你自己的encryption机制,那跟着整个post。 如果您使用SSL或其他公共域encryption,那么您可以在拥有SNAP-R账户后停止。
我显然需要做整个authentication过程……我确实是自己制定了机制。
2)完整的在线CCATS可以完成吗?
在“8个简单的步骤”后,它说我需要通过(蜗牛)邮件发送一些文件。 然后稍后用户说,这是没有必要了。 注意:这些博客文章看起来很老(2年)。
很好的描述! 仅供参考:获得SNAP-R的CIN / PIN的过程现在完全是电子的
另一个用户说:
您可能要考虑更新您的post。 我刚刚被一位BIS顾问告诉我们,不再需要在申请表和certificate文件上打印邮件。 对一些人来说这可能是微不足道的,但是在国际航运上浪费80美元就是80美元。
我希望我不需要邮寄所有的文件,因为从欧盟到美国需要一段时间。
欧盟有没有人最近使用ERN / CCATSstream程?
3)我也看到他们问你一个传真号码…我没有传真。 这是一个大问题吗?
如果真的有必要在线传真服务好吗?
4)我需要详细解释整个encryption机制吗? 或者只是algorithm? 我可以因为拥有“大众市场encryption密码系统”而被拒绝吗?
大多数情况下,我是否需要解释或声明某些数据将被encryption两次? 或者是“将存储在磁盘上的数据encryption”一个足够好的解释?
5)我将使用一些密码扩展algorithm和哈希(HMAC,SHA-2,也许SHA-3)…我也需要报告吗?
stormCloud的答案是伟大的。 我给BIS打了个电话,和一位代表谈了一个小时,内容涉及理论细节。 我也了解到(代表说,代表不应该告诉我这个),他们只是打电话,而不是试图找出这个过程。 所以,我想分享一下自2013年9月24日以来BIS的调用情况。
参考文献:
所有相关的文件都列在这个页面上 。 文档链接在本页面左侧和中间的“encryption链接”组中列出。
如何处理他们:
在“第774部分第5类第2部分的补充1”文档中,请参阅“注释4”以确定您的应用程序的所有主要function是否免于第5类第2部分。该语言令人困惑。 那里至less有一个双重否定。 如果有疑问,就把它归类为大众市场商品。
该代表呼吁我不仅要考虑主要function是否按照预期用途免除,而且如果用户以其他方式使用该应用程序,是否免除。 再次,如果有疑问,分类为大众市场商品。
如果您select分类为大众市场商品,您将需要参考三个文件。 请参阅740.17以确定您的软件是否应被分类为B1,B2或B3。 B2xtypes肯定需要划分为大众市场商品。 我没有说明B1或B2types是否需要划分为大众市场商品。
增补5涉及对Bxtypes进行分类。 您将复制本文档并填写相关信息,然后提交您的SNAP-R工作项目。
另外请参阅增刊8,您必须在1月份提交报告。
我们的应用程序的结论:
我们特殊的应用程序还没有被归入类别5第2部分。这意味着我可以select将我们的应用程序自我分类为EAR99,而不是ECCN 5D992(大众市场)或5D002(不是大众市场)。 这也意味着我不需要在SNAP-R工作项目中创build一个导出项目。 🙂
这是我从BIS代表收到的完整电子邮件,通过分类软件将我作为大众市场商品:
encryption注册码(ERN)必须在导出之前获得。 ERN是您一次获取并永久使用或您提供的信息发生变化的内容。 获得一个ERN只需要几分钟的工作。 您将在提交请求约一小时内收到ERN。 之后,请始终将其包含在任何分类请求的附加信息块中,并将其用于第742部分报告的补充资料8的主题行中。
如果您无法立即提交ERN申请,并且明白您没有授权出口,请在回复时说明相同的内容,我将在ERN所要求的语言的基础上发布分类。 我更喜欢你继续并请求一个encryption注册号码(ERN)并用你的ERN回复这个请求。 我会把你的ERN放在附加的信息块中,并发出CCATS而不参考ERN。
将来,请务必将您的ERN列入附加信息块中,以符合“电子政务法”第740.17(b)(2)或(b)(3)和742.15(b)(3)耳。 即使740.17(b)(1)或742.15(b)(1)授权的物品在出口之前也需要encryption注册。 因此,即使对于“B1”请求,在作出分类请求之前,在附加信息块中获得并提供ERN通常也是有意义的。
如何获得ERN:
在BIS的主网站www.bis.doc.gov上,单击策略指南下拉菜单中的“encryption”一词。 这带来了主要的encryption网页。 页面左侧第一列有两个蓝色框, 但是,您可能需要向下滚动以查找第二个蓝色框。 第二个蓝色框中显示“Encryption Links”,是一组重要的encryption规则,包括Supp。 5部分742.select“742部分补充号5”的规定。 将Supplement 5的问题复制到文字处理文档中。 回答问题和PDF你的回应。 打开SNAP-R并select“创build工作项目”从工作项目types列表中select“encryption注册”。 附上您刚创build并提交的.pdf。 在一个小时内,计算机应该回应您的ERN“以'R'开始的号码”提供给我这个号码,并将所有未来的encryptionCCATS工作项目的“附加信息”存入方框24。
TMI …我知道。 任何人都读这个吗?
我认为你应该问一个被保险的出口委员会提供法律build议,因为你在一些问题上真正要求的是合理的法律build议。
在bis.doc.gov上列出了一些出口委员。
bis.doc.gov也是一个覆盖您的一些问题的广泛的常见问题(下面的链接)。
- http://www.bis.doc.gov/licensing/do_i_needaneccn.html
- http://www.bis.doc.gov/licensing/index.htm#faqs
- http://www.bis.doc.gov/encryption/enc_faqs.htm
希望能指出你正确的方向。