J'ai créé une application pour stocker le nom d'utilisateur / mot de passe, etc. à l'aide d'algorithme de cryptage AES256 disponible publiquement. Je n'ai pas écrit ce code juste copié et collé de la toile et l'inclus dans mon application. MAINTENANT POUR LA QUESTION MILLION DOLLAR. Quel type de processus d'approbation dois-je passer pour que cette application soit approuvée? Il y a environ autant de réponses sur le Web car il y a des feuilles dans une jungle. Certains disent n'en ont pas besoin, d'autres disent que vous devez passer par un cycle de 50 à 60 jours avec l'approbation du gouvernement américain. Si quelqu'un a utilisé ce type de cryptage dans leur application avant alors s'il vous plaît faites-le moi Sachez ce que je dois faire pour obtenir cette application approuvée par les gardiens de la porte Apple. Merci
4 Réponses :
Je crois que vous n'avez rien à faire.
Pour plus d'informations sur les contrôles à l'exportation des États-Unis, je suggère d'écrémer les réponses sur https://softwareEngineering.stackexchange.com/ Q / 127809/25885 pour des liens vers les différentes agences et quelles notifications ou autorisations ils nécessitent avant d'exporter des logiciels en dehors des États-Unis.
En général, si vous utilisez des API fournies par le système sans introduire vous-même de nouveau code de cryptographie vous-même, vous devriez être complètement clair. (Au moins, je n'ai entendu aucun contre-exemples à cette logique ni à lire quoi que ce soit pour le contredire.)
Je do espérons que vous utilisez correctement les AES - n'utilisez pas de la BCE, génère de manière aléatoire votre IV, etc.
Pas vraiment la question de l'opération, mais AES256CRYPRYPTWITHEY est une pièce bien connue de code de coupe et de pâte. Il ne gère pas le tout iv du tout et il ne gère pas correctement les clés AES. C'est assez peu sûr, mais il est très couramment utilisé. Il repose sur communcrypto. Je discute des problèmes de code de code similaire ici: robnapier.net/blog/aes-commoncrypto-564 . (Comme indiqué, l'OP ne demande pas une évaluation de sa sécurité et je ne le donne pas; répondant simplement à la question de Sarnold.)
@Quixoto: Si l'assistant de soumission Apple était que Clear, Sam ne serait pas ici demander à nous . :)
Tout ce que je veux savoir, c'est quelles sont les étapes à suivre pour obtenir une telle application approuvée. Pas de conseils juridiques seulement des étapes de l'approbation, donc je n'ai pas à continuer de jouer à des jeux avec Apple.
(premier off: cela ne constitue pas de véritables conseils juridiques.)
La raison pour laquelle il est difficile d'obtenir une réponse claire à ceci est que les réponses sont en réalité dépendantes de cas, et comme fournisseur qui choisit d'exporter votre logiciel international, c'est vous qui est sur le crochet pour faire une détermination et se conformer à la réglementation gouvernementale. Il est facile de supposer que cela devrait tous être clé en main et simple puisque Apple l'a rendu trivial pour les développeurs de vendre leurs marchandises à l'international, mais le gouvernement ne le voit pas de cette façon, vous êtes un fournisseur de logiciels indépendant qui exportent des fonctionnalités qui pourraient avoir des implications réglementaires.
Il ne s'agit pas d'une portion de portes ou d'approbation Apple . La conformité à l'exportation ne fait pas partie de la "application de l'application" elle-même. Apple est en quelque sorte là-bas comme chèque dessus puisqu'il s'agit de votre distributeur, mais leur motivation dans ce cas est la conformité du gouvernement, ne faisant pas de jugement et approuver / vous rejeter, ils ne veulent pas être dans le secteur de l'application de la loi légale . Apple vous emmènera presque certainement à votre mot, tout ce que vous dites, mais si vous êtes trouvé plus tard pour être hors de conformité, ils se réservent le droit de vous lancer.
passer par l'assistant sur la soumission de l'application. Si vous dites que Crypto a changé, il vous posera ensuite une série de questions assez spécifiques sur ce que fait votre crypto, et si nécessaire, vous demandera de soumettre un ERN ou éventuellement une chose de la CCATS. Il y a une FAQ ici.
@ Quixoto, merci pour une réponse aussi détaillée. Un retour au repos de la communauté, j'ai soumis mon application tel quel et quand elle a demandé si j'avais cryptage, j'ai dit non ... Mais j'ai aussi dit que la vente de cette application qu'aux États-Unis et non tous les marchés de l'Apple à l'échelle mondiale. Depuis que je vends localement ici aux États-Unis, il n'y a rien à exporter et donc pas besoin de contrôle des exportations. Je vais mettre à jour ma réponse une fois que je sais si mon application a été approuvée ou non. Merci à tous ceux qui m'ont aidé avec ce post
Je n'ai pas fait de long ERN ou de traitement de la CCATS. App a approuvé dans 5 jours.
Correction: En réalité, c'était une bonne chance que mon application a été approuvée. Je n'ai pas mentionné dans ma description de l'application que j'avais un cryptage AES 256 dans mon application. Si vous ne mentionnez pas que l'application sera approuvée sans aucun document supplémentaire. Si vous faites, préparez-vous pour un processus de retrait de longue date. Apple n'a de toute façon pas vérifier si votre application a / n'a pas de cryptage. C'est à vous de le déclarer ou non.
c'est hilarant. est-ce conseillé? J'ai été rejeté une fois à cause de cette raison. Si je n'efface la pièce que dans ma description de ma application que j'utilise un algorithme de cryptage, je pourrais être accepté? (BTW Mine est une application de mot de passe)
@Sam Pouvez-vous me faire savoir est votre application toujours sur l'App Store. Après 2015 aussi.
bonne jour, J'ai trouvé cette page de support iTunes, à compter d'aujourd'hui, ce sont les nouvelles politiques / règles:
Si le BIS dit qu'un ERN n'est plus nécessaire, pourquoi la pomme est-elle toujours Demander cela?
Le Bureau de l'industrie et de la sécurité (BIS) récemment publié des modifications aux règlements de chiffrement pouvant être consultés ici.
Les enregistrements de chiffrement (ERN) ne sont plus nécessaires avant Exportation. Au lieu d'obtenir un ERN avant d'exporter, bis maintenant nécessite un rapport d'auto-classification de fin d'année. Compatible avec ces Modifications réglementaires, Apple a simplifié l'examen de la conformité à l'exportation processus et ne nécessitera plus de développeurs pour télécharger un ERN.
Si vous ne vous qualifiez pas pour les exemptions, Apple exige que vous fournir une brève déclaration écrite confirmant que vous comprenez votre Obligations légales de soumettre un rapport d'auto-classification de fin d'année requis par BIS. Il vous sera demandé de télécharger un fichier lors de la téléchargement de l'application, Après avoir répondu à toute la conformité à l'exportation applicable questions.
Référence: https://itunespartner.apple.com / FR / Apps / FAQ / Gestion% 20Your% 20Apps_export% 20Commiance
La copie et le code collant sont généralement une mauvaise idée. Avez-vous le droit d'utiliser ce code et de le distribuer? Juste parce que c'est en ligne ne signifie pas que vous avez la permission.
Mec, j'ai la permission et ce n'était pas la question.
La raison pour laquelle il n'a pas eu de réponse claire pourrait être que c'est vraiment un avis juridique que vous devriez seulement obtenir de votre avocat. Trouvez-en un qui a déjà fait la conformité de la CCATS. Apple ne vous donnera pas de conseils juridiques et d'Ianal.
Ce n'est vraiment pas une question d'avocat. Il s'agit de la question pour tous les développeurs d'iPhone Apple qui ont dû utiliser une sorte d'algorithme de cryptage dans leur application et sur la manière dont ils ont continué à obtenir cette application approuvée par Apple. Je sais que Apple va heureusement rejeter mon application si j'ai choisi, hey il n'y a pas de cryptage dans mon application. Ce que je veux savoir, ce sont les étapes à suivre pour obtenir une telle application approuvée. Pas de conseils juridiques seulement des étapes de l'approbation.