use*_*028 17 encryption appstore-approval ios
这将是一个长期的问题......实际上是一组相关的问题......我想制作一个iOS应用程序,它将在Apples App Store上销售,(显然).我的应用程序会将一些敏感的用户数据存储在文档目录中.出于安全考虑,我想到了一个可以保护数据的密码系统.这里的乐趣开始......数据安全机制几乎是牢不可破的.我将使用AES-128/256,TwoFish 128/256和Serpent 128/256.用户可以选择在哪里使用...我可能正在使用双重加密,数据使用AES加密一次,然后使用Serpent或thous的任意组合加密.
我显然需要检查应用商店中的"使用加密"按钮.问题是:
1)我需要什么认证CCATS或ERN?
来自:
http://tigelane.blogspot.ro/2011/01/apple-itunes-export-restrictions-on.html
- 转到此链接并使用他的说明.这是一篇很棒的文章:http://zetetic.net/blog/2009/08/03/mass-market-encryption-commodity-classification-for-iphone-applications-in-8-easy-steps/
- 对所有情况执行步骤1和2.如果您构建了自己的加密机制,那么请遵循整个帖子.如果您使用SSL或其他公共域加密,则可以在拥有SNAP-R帐户后停止.
我显然需要完成整个认证过程......我绝对建立了自己的机制.
2)完整的CCATS可以100%在线完成吗?
在"8个简单的步骤"帖子中,它说我需要通过(蜗牛)邮件发送一些文件.然后用户说以后就没有必要了.注意:这些博客文章看起来很旧(2年).
优秀的描述!仅供参考:获得SNAP-R的CIN/PIN的过程现在完全是电子的
另一位用户说:
您可能需要考虑更新您的帖子.国际清算银行顾问告诉我,我们不再需要在申请表和支持文件的硬拷贝中邮寄邮件.这对某些人来说可能是微不足道的,但是在国际航运中浪费80美元就是80美元.
我希望我不需要通过邮件发送所有文件,因为从欧盟将它们带到美国需要一段时间.
欧盟有没有人最近使用过ERN/CCATS流程?
3)我也看到他们要求你提供传真号码......我没有传真.这是一个大问题吗?
如果真的有必要在线传真服务可以吗?
4)我是否需要详细解释整个加密机制?或者只是算法?我是否因为"对大众市场加密密码系统太好"而被拒绝?
大多数情况下,我是否需要解释或声明某些数据会被加密两次?或者"将存储数据加密到磁盘上"是一个足够好的解释吗?
5)我将使用一些密码扩展算法和散列(HMAC,使用SHA-2,也许是SHA-3)......我是否也需要报告?
ste*_*hen 10
stormCloud的答案很棒.我打电话给国际清算银行,并与代表谈了一个小时,涵盖了所有的理论细节.我也学会了(代表说代表不应该告诉我这个),他们对那些只是打电话而不是试图先弄清楚这个过程的人感到恼火.因此,我希望分享自2013年9月24日起调用BIS后发现的内容.
文件参考:
本页列出了所有相关文件.文档链接列在该网页的左侧和中间,标题为"加密链接".
怎么做他们:
在文档"补充1至部分774第5类第ii部分"中,请参阅"注释4"以确定您的应用程序的所有主要功能是否免于第5类第2节.该语言令人困惑.那里至少有一个双重否定.如果有疑问,只需将其归类为大众市场商品.
该代表敦促我不仅考虑主要功能是否按照预期用途豁免,而且如果用户以任何其他方式使用该应用程序,它们是否可以免除.如果有疑问,再次归类为大众市场商品.
如果您选择归类为大众市场商品,则需要参考三个文件.请参阅740.17以确定您的软件是否应归类为B1,B2或B3.B2x类型肯定需要归类为大众市场商品.我没有澄清B1或B2类型是否需要归类为大众市场商品.
补充5涉及对Bx类型进行分类.您将复制此文档并填写相关信息,然后使用您的SNAP-R工作项提交.
另外,根据您必须在1月份提交的报告,请参阅补充说明8 .
我们的应用结论:
我们的特定应用尚未归类为第5类第2部分.这意味着我可以选择将我们的应用程序"自我分类"为EAR99而不是ECCN 5D992(大众市场)或5D002(非大众市场).这也意味着我不需要在SNAP-R工作项中创建导出项.:)
这是我从BIS代表处收到的完整电子邮件,指导我将软件归类为大众市场商品:
必须在导出前获取加密注册号(ERN).ERN是您获得一次并永久使用或直到您提供的信息发生变化的内容.获取ERN只需要几分钟的工作.您将在提交请求后约一小时内收到ERN.之后,始终将其包含在任何分类请求的附加信息块中,并将其用于补充8至部分742报告的主题行.
如果您无法立即提交ERN请求,并且在您这样做之前了解您无权导出,请回复说明同样的情况,我将在其面前发出ERN所需语言的分类.我希望您继续请求加密注册号(ERN)并使用您的ERN回复此请求.我将把您的ERN放在附加信息块中,并在不参考ERN的情况下发布CCATS.
将来,请始终按照第740.17(b)(2)或(b)(3)和742.15(b)(3)节所述项目分类的规定,在附加信息块中包含您的ERN.耳.即使是740.17(b)(1)或742.15(b)(1)授权的项目,也需要在出口前进行加密注册.因此,即使对于"B1"请求,在进行分类请求之前,在附加信息块中获得并提供ERN通常也是有意义的.
如何获得ERN:
在主要的BIS网站www.bis.doc.gov上,单击"政策指导"下拉菜单下的"加密"一词.这将打开主加密网页.页面左侧的第一列有两个蓝色框; 但是,您可能需要向下滚动才能找到第二个蓝色框.第二个蓝色框表示"加密链接",是一套重要的加密规则,包括Supp.5至742部分.选择"第742部分补编第5号"的规定.将Supplement 5问题复制到文字处理文档中.回答问题并回复PDF.打开SNAP-R并选择"创建工作项"从工作项类型列表中选择"加密注册".附上您刚创建的.pdf并提交.一小时内,计算机应该响应你的ERN"
TMI ......我知道.有人读过这个吗?
我认为您应该向出口委员会询问被保险人提供法律建议,因为您在某些问题中提出的要求是合理的法律建议.
在bis.doc.gov上列出了一些出口议员.
另外在bis.doc.gov上有一个广泛的常见问题解答,涵盖了你们中的一些问题(链接如下).
希望能指出你正确的方向.
| 归档时间: |
|
| 查看次数: |
7226 次 |
| 最近记录: |