这将是一个长期的问题...实际上是一组相关的问题...
我想制作一个iOS应用程序,该应用程序将在Apples App Store上出售(显然)。我的应用程序将在文档目录中存储一些敏感的用户数据。出于安全原因,我想到了一种可以保护该数据的密码系统。有趣的开始在这里...数据安全性机制几乎是坚不可摧的。我将使用AES-128/256,TwoFish 128/256和Serpent 128/256。用户可以选择在哪里使用...我可能正在使用双重加密,先用AES然后再用Serpent或thous的任意组合对数据加密一次。
我显然需要检查应用商店上的“使用加密”按钮。问题是:
1)我需要CCATS或仅需要ERN的哪些证书?
从 :
http://tigelane.blogspot.ro/2011/01/apple-itunes-export-restrictions-on.html
- Go to this link and use his instructions. This is a great post: http://zetetic.net/blog/2009/08/03/mass-market-encryption-commodity-classification-for-iphone-applications-in-8-easy-steps/
- Do step 1 and 2 for all cases. If you built your own encryption mechanism, that follow the entire post. If you used SSL or other public domain encryption, then you can stop after you have your SNAP-R account.
我显然需要完成整个认证过程……我绝对制定了自己的机制。
2)完整的CCATS可以100%在线完成吗?
在“8个简单步骤”中,我说我需要通过(蜗牛)邮件发送一些文档。然后,稍后用户说不再需要了。注意:这些博客帖子似乎很旧(2年)。
Excellent description! FYI: The process for obtaining a CIN/PIN for SNAP-R is now entirely electronic
另一位用户说:
You might want to consider updating your post. I've just been told by a BIS Counsellor that it's no longer necessary to snail mail in hard copies of your application form and supporting documentation. It may be something trivial to some but wasting $80 on international shipping is $80 down the drain.
我希望我不需要通过邮件发送所有文档,因为从欧盟将它们发送到美国需要一些时间。
欧盟最近有没有人使用ERN/CCATS流程?
3)我还看到他们要求您提供传真号码...我没有传真。那是个大问题吗?
如果确实有必要,可以使用在线传真服务吗?
4)我需要详细解释整个加密机制吗?还是只是算法?我可以因为“对大众市场加密密码系统太好了”而被拒绝吗?
通常,我是否需要解释或声明某些数据将被加密两次?还是“将数据存储在磁盘上加密”是一个足够好的解释?
5)我将使用一些密码扩展算法和哈希(HMAC,使用SHA-2,也许使用SHA-3)...我是否也需要报告?
最佳答案
stormCloud的答案很好。我调用国际清算银行,并与代表进行了一个小时的交谈,讨论了理论上的细节。我还了解到(销售代表说销售代表不应该告诉我这一点),他们对那些只是打电话来而不是先弄清楚流程的人感到恼火。因此,我想分享一下我从2013年9月24日致电BIS所获得的发现。
文档引用:
所有相关文档均为listed on this page。文档链接在该网页的左侧和中央的“加密链接”组中列出。
与他们做什么:
在“774部分第5部分ii的补编1”文档中,请参阅“注4”以确定应用程序的所有主要功能是否都不受类别5第2节的限制。该语言令人困惑。那里至少有一个双重负数。如有疑问,只需将其分类为大众市场商品即可。
代表促请我不仅考虑是否按预期用途免除主要功能,而且还应考虑如果用户以任何其他方式使用该应用程序,则是否应免除这些主要功能。同样,如果有疑问,可以归类为大众市场商品。
如果选择分类为大众市场商品,则需要引用三个文档。请参阅740.17,确定您的软件应分类为B1,B2还是B3。 B2x类型肯定需要归类为大众市场商品。我没有阐明是否需要将B1或B2类型归类为大众市场商品。
补编5涉及对Bx类型进行分类。您将复制此文档并填写相关信息,然后与您的SNAP-R工作项一起提交。
另外,对于您必须在一月份提交的报告,请参阅附录8。
我们对应用程序的结论:
我们的特定应用程序(尚未)分类为第5部分,第2部分。这意味着我可以选择将我们的应用程序“自分类”为EAR99,而不是ECCN 5D992(大众市场)或5D002(非大众市场)。这也意味着我不需要在SNAP-R工作项目中创建导出项目。 :)
这是我从BIS代表处收到的完整电子邮件,可指导我将软件归类为大众市场商品:
导出前必须获得加密注册号(ERN)。 ERN是您一次获得的东西,可以永久使用,或者直到您提供的信息发生更改为止。获得ERN只需花费几分钟的时间。提交请求后约一小时内,您将收到ERN。之后,始终将其包括在任何分类请求的附加信息块中,并在您的第742部分补编8的主题行上使用它。
如果您不能立即提交对ERN的请求,并且知道自己没有被授权进行导出,请回复并声明该问题,然后我将在表面上标明ERN所需的语言。我希望您继续并要求一个加密注册号(ERN),并与您的ERN一起回复此请求。我将把您的ERN放在附加信息框中,并发布CCATS,而无需引用ERN。
将来,请务必按照740.17(b)(2)或(b)(3)和742.15(b)(3)条所述的项目分类规定,将您的ERN包含在附加信息栏中。耳朵。甚至740.17(b)(1)或742.15(b)(1)授权的物品在导出前也需要进行加密注册。因此,通常甚至在对“B1”请求进行分类请求之前,也要在附加信息块中获得并提供ERN。
如何获得ERN:
在BIS主网站www.bis.doc.gov上,单击“策略指南”下拉菜单下的“加密”一词。这将打开主要的加密网页。页面左侧第一栏中有两个蓝色框。但是,您可能必须向下滚动才能找到第二个蓝色框。第二个蓝色框显示“加密链接”,它是一组重要的加密规则,包括Supp。 5至742部分。
选择规则“第742部分的补编第5号”。
将补充5问题复制到文字处理文档中。
回答问题并以PDF格式答复。
打开SNAP-R并选择“创建工作项”
从工作项类型列表中选择“加密注册”。
附加刚刚创建的.pdf并提交。
在一个小时内,计算机应以您的ERN“以'R'开头的数字”响应
给我提供该编号,然后在所有将来的加密CCATS工作项目的“方框24”中输入“附加信息”。
TMI ...我知道。有人读过这么远吗?
关于ios - iOS AppStore上的CCATS和加密,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15770215/