我创建了一个应用程序,用于存储用户名/密码等使用公开可用的AES256加密算法。这段代码不是我写的,只是从网上复制粘贴到我的应用程序中。
- (NSData *)AES256EncryptWithKey:(NSString *)key
- (NSData *)AES256DecryptWithKey:(NSString *)key
现在是最重要的问题。我需要通过什么样的审批程序才能获得这个应用程序的批准?网上的答案就像丛林里的树叶一样多。有些人说不需要,另一些人说你必须经过美国政府批准的50-60天的周期。
如果有人之前在他们的应用程序中使用过这种加密,请让我知道我需要做些什么才能成功地让这个应用程序通过苹果门卫的批准。谢谢你
(首先,这并不构成真正的法律建议。)
很难得到一个明确的答案的原因是,答案实际上是非常依赖于情况的,作为一个选择将您的软件出口到国际上的供应商,您必须做出决定,并遵守政府法规。人们很容易认为这一切都应该是交钥匙和简单的,因为苹果已经让开发者在国际上销售他们的产品变得微不足道,但政府并不这么认为——你是一个独立的软件供应商,你正在输出可能有监管影响的功能。
这不是苹果把关或批准的问题。出口合规性不是"应用审查"本身的一部分。因为苹果是你的分销商,所以他们的动机是遵从政府的要求,而不是做出判断或批准或拒绝你的申请——他们不想参与司法执法。无论你说什么,苹果公司几乎肯定会相信你的话,但如果你后来被发现不遵守规定,他们保留开除你的权利。
浏览应用提交向导。如果你说加密已经改变了,它会问你一系列非常具体的问题,关于你的加密是做什么的,如果有必要,它会要求你提交一个ERN,或者可能是一个CCATS的东西。这里有常见问题解答。
坏消息:您正在做的可能需要您声明加密。有豁免,但它们是针对相当特定的类型的产品而不是实现类型(美国BIS网站和Apple向导将指定它们)。简单地使用系统api或公开已知的加密算法并不能保护它。(人们总是这样做而不注册吗?当然有。如果你愿意,你也可以。)
好消息:如果你需要的是一个ERN,这在过去一年左右已经成为一个非常精简的自动化过程。你可以在网上完成,几个小时内就能完成。关注这篇博客文章:http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html有些案件可能仍然需要完整的CCATS程序,这可能会更加复杂。
我没有做任何长的ERN或CCATS处理。App 5天内通过审核。
更正:实际上我的应用被批准纯属运气。我没有在应用描述中提到我的应用中有AES 256加密。如果你没有提到这一点,那么应用将无需任何额外的文书工作就能获得批准。如果是这样,那就准备好迎接一个漫长的过程吧。苹果不会检查你的应用是否有任何加密。是否申报由你决定。
如果BIS说不再需要ERN,为什么苹果仍然这是自找的?
工业和安全局(BIS)最近公布的变化到加密规则,可以在这里查看
加密注册(ERN)在…之前不再需要出口。代替在出口前获得ERN, BIS现在要求一份年终自我分类报告。与这些一致监管变化,苹果简化了出口合规审查进程,不再需要开发人员上传ERN。如果您不符合豁免条件,Apple要求您提供一份简短的书面声明,确认你理解你的申请有法律义务提交年终自我分类报告BIS要求的。在上传应用程序时,你会被要求上传一个文件,在您回答了所有适用的出口遵从性之后问题。
参考:https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance
我相信你无事可做。
关于美国出口管制的更多信息,我建议浏览https://softwareengineering.stackexchange.com/q/127809/25885上不同机构的链接,以及在将软件出口到美国境外之前他们需要什么通知或许可。
一般来说,如果您使用系统提供的api而没有自己引入任何新的加密代码,那么您应该完全清楚。(至少,我没有听到任何反对这个逻辑的反例,也没有读到任何反驳它的东西。)