我的应用程序是否“包含加密”？

更新：自 2016 年 9 月下旬起，使用 HTTPS 现在免于 ERN

https://stackoverflow.com/a/40919650/4976373

不幸的是，即使您只使用 HTTPS，我相信您的应用程序在美国 BIS 方面“包含加密”（如果您的应用程序不是问题 2 中的例外）。

引自 FAQ on iTunes Connect：

“我怎么知道我是否可以遵循出口商注册和报告 (ERN) 流程？

如果您的应用程序使用、访问、实施或合并行业标准加密算法用于问题 2 中列出的豁免之外的目的，您需要提交 ERN 授权。标准加密的示例有：AES、SSL、https。此授权要求您每年 1 月向两个美国政府机构提交一份年度报告，其中包含有关您的应用程序的信息。 "

“第二个问题：您的产品是否符合第 5 类第 2 部分规定的任何豁免条件？

美国出口法规第 5 类第 2 部分（信息安全和加密法规）中针对使用、访问、实施或合并加密的应用程序和软件提供了多项豁免。

所有与出口法规的误解或不准确地声称豁免相关的责任均由应用程序的所有者和开发者承担。

如果您满足以下任何条件，您可以对问题回答“是”：

(i) 如果您根据 BIS 在 encryption question 提供的指南确定您的应用程序不属于 EAR 第 2 部分第 5 类。 EAR 第 774 部分的补充第 3 号中的医疗设备谅解声明可在联邦法规电子代码网站上访问。请访问加密页面的常见问题解答部分中的问题 #15，了解 BIS 列出的可以要求注释 4 豁免的示例项目。

(ii) 您的应用程序使用、访问、实施或合并加密仅用于身份验证

(iii) 您的应用程序使用、访问、实施或合并密钥长度不超过 56 位对称、512 位非对称和/或 112 位椭圆曲线的加密

(iv) 您的应用是一种大众市场产品，其密钥长度不超过 64 位对称，或者如果没有对称算法，则不超过 768 位非对称和/或 128 位椭圆曲线。

请查看第 5 类第 2 部分中的注释 3，以了解大众市场定义的标准。

(v) 您的应用是专门为银行用途或“货币交易”而设计和限制的。 “货币交易”一词包括收取和结算票价或信用功能。

(vi) 您的应用程序的源代码是“公开可用的”，您的应用程序免费向公众分发，并且您已满足 740.13.(e) 规定的通知要求。

如果您在确定您的应用程序是否有资格获得任何豁免时需要更多帮助，请访问 encryption 网页。

如果您认为您的应用符合豁免条件，请对问题回答“是”。”

---

以正确的方式获得应用程序的批准并不难。 SSL (HTTPS/TLS) 仍然是加密的，除非您仅将其用于身份验证，否则您应该获得适当的批准。我刚刚获得批准，我的应用程序现在在商店中，用于使用 SSL 加密数据流量（不仅仅是身份验证）的东西。

这是我制作的博客条目，以便其他人可以以正确的方式做到这一点。

apple itunes export restrictions

---

简短的回答：是的，但你不必做任何事情

我在网上搜索了几个小时。实际上这很容易，您可以在 iTunes 连接中验证这一点：

1.所有你必须做的

如果您的应用仅使用 HTTPS 或仅将加密用于身份验证、令牌等，您无需执行任何操作，只需包含

<key>ITSAppUsesNonExemptEncryption</key><false/>

在你的 Info.plist 中，你就完成了。

2. 验证

您可以在 iTunes Connect 中验证这一点。

选择您的应用

选择的功能

选择加密

点击“+”

按照对话框

对于 https 或身份验证，答案是肯定的

无论如何，您当然应该通过对话仔细阅读自己。

可以在这里找到一篇非常有用的文章：

https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/

---

我问了苹果同样的问题并得到了答案（来自高级出口合规专家），“通过 https 发送信息会迫使数据通过 SSL 的安全通道，因此它符合美国政府对CCAT 审查和批准。”请注意，Apple 已经为他们的 SSL 实施做了这件事并不重要，但对于政府来说，如果你使用与你自己编码的相同（对他们来说）加密。我还更新了我们的博客 (http://blog.theanimail.com)，因为 Tim 链接到它，其中包含有关该过程的更新和详细信息。希望有帮助。

---

对于仅使用 TLS 连接到他们自己的 Web 服务器的应用程序开发人员来说，所有这些都可能非常令人困惑。因为 ATS（应用程序传输安全）变得越来越重要，我们被鼓励将所有内容都转换为 https - 我认为更多的开发人员会遇到这个问题。

我的应用程序只是使用 https 协议在我们的服务器和用户之间交换数据。看到免责声明中的“使用加密”字样有点吓人，所以我给美国政府办公室打了电话，并与工业和安全局 (BIS) http://www.bis.doc.gov/index.php/about-bis/contact-bis 的代表进行了交谈。

该代表向我询问了我的应用程序，因为它通过了“主要功能测试”，因为它与安全/通信无关，只是使用 https 作为将我的客户数据连接到我们的服务器的通道 - 它属于 EAR99 类别这意味着它免于获得政府许可（参见https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn）

我希望这对其他应用程序开发人员有所帮助。

---

如果您使用 Apple 提供的 Security 框架或 CommonCrypto 库，您确实在您的应用程序中包含了加密，您必须回答“是”——因此仅仅因为 Apple 提供了库并不会让您摆脱困境。

关于最初的问题，Apple Development Forums 最近的帖子让我相信即使您使用的只是 SSL，您也需要回答“是”。

---

自 2016 年 9 月 20 日起，使用 https（或其他加密形式）的应用不再需要注册：https://web.archive.org/web/20170312060607/https://www.bis.doc.gov/index.php/informationsecurity2016-updates

https://i.stack.imgur.com/MLgAy.png

具体来说，他们指出：

不再需要加密注册——注册中的一些信息现在进入了 Supp。第 8 部分至第 742 部分报告。

这意味着您可能需要向 BIS 发送年度报告，但您不需要注册，并且您可以在提交您的应用程序时注明它是免税的。

---

是的，根据 iTunes Connect 出口合规信息屏幕，如果您使用内置 iOS 或 MacOS 加密（钥匙串、https），则您使用加密是为了美国政府出口法规。您是否有资格获得出口合规豁免取决于您的应用程序做什么以及它如何使用这种加密。所附图片显示了 iTunes Connect 出口合规性屏幕，可帮助您确定出口报告义务。它特别指出：

如果您使用 ATS 或调用 HTTPS，请注意，您需要向美国政府提交年终自我分类报告。学到更多

https://i.stack.imgur.com/NHa0H.png

https://i.stack.imgur.com/SKIqZ.png

---

@hisnameisjimmy 是正确的：当您提交应用程序以供审核并到达出口合规演练时，您会注意到（至少截至今天，2016 年 12 月 1 日），您会注意到菜单现在指出 HTTPS 是加密（如果您每次通话都使用它）：

https://i.stack.imgur.com/Exatr.png

https://i.stack.imgur.com/Bo1Rr.png

---

我发现美国工业和安全局的这个常见问题解答非常有帮助。

encryption

问题 15（什么是注 4？）是重点：

...

注释 4 从第 5 类第 2 部分中排除的项目示例包括但不限于以下内容：

消费者应用。一些例子：

软件或音乐的盗版和盗窃预防；音乐、电影、曲调/音乐、数码照片 - 播放器、录音机和组织者 游戏/游戏 - 设备、运行时软件、HDMI 和其他组件接口、开发工具 LCD TV、蓝光/DVD、视频点播 (VoD)、电影院, 数字录像机 (DVR) / 个人录像机 (PVR) – 设备、在线媒体指南、商业内容完整性和保护、HDMI 和其他组件接口（不是视频会议）；打印机、复印机、扫描仪、数码相机、互联网相机——包括零件和子组件 家用公用事业和电器

---

简单的答案是 Yes（App 有加密）和 Yes（App 使用 Exempt 加密）。在我的应用程序中，我只是在 WKWebView 中打开我公司的网站，但由于它使用“https”，它将被视为豁免加密。 Apple 文档了解更多信息：https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

或者，您可以在应用程序的 info.plist 文件中添加键“ITSAppUsesNonExemptEncryption”和值“NO”。这样 iTunes connect 就不会再问你这些问题了。更多信息：https://developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc

您可以按照以下 3 个简单步骤来验证您的申请是否获得豁免：https://help.apple.com/app-store-connect/#/dev63c95e436

您可能需要将此年度自我分类提交给美国政府。欲了解更多信息：https://www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification

---

看起来 HTTPS 很重要

https://i.stack.imgur.com/ZkhgS.png

---

只是添加我对一个非常特殊情况的个人解释：在我的应用程序中，用户可以选择自己访问网站或让我的应用程序打开 Safari，Safari 将调用 HTTPS 网站。可以是任何 - 自己的网站、文章等。我解释 Safari 进行实际的 HTTPS 调用，而不是我的应用程序，因此以“否”回答第一个问题（或在 info.plist 中设置标志）并且不需要每年报告。

---

如果您没有明确使用加密库或滚动您自己的加密代码，那么我认为答案是“不”

---