17

这将是一个很长的问题......实际上是一组相关的问题......我想制作一个 iOS 应用程序,它将在 Apples App Store 上出售,(显然)。我的应用程序将在文档目录中存储一些敏感的用户数据。出于安全原因,我想到了一种可以保护这些数据的密码系统。有趣的事情从这里开始……这种数据安全机制几乎是牢不可破的。我将使用 AES-128/256、TwoFish 128/256 和 Serpent 128/256。用户可以选择在哪里使用什么...我可能正在使用双重加密,数据先用 AES 加密,然后用 Serpent 加密,或者两者的任意组合。

我显然需要检查应用商店上的“使用加密”按钮。问题是:

1) 我需要 CCAT 或 ERN 什么认证?

从 :

http://tigelane.blogspot.ro/2011/01/apple-itunes-export-restrictions-on.html

  1. 转到此链接并使用他的说明。这是一篇很棒的帖子:http: //zetetic.net/blog/2009/08/03/mass-market-encryption-commodity-classification-for-iphone-applications-in-8-easy-steps/
  2. 对所有情况执行第 1 步和第 2 步。如果您构建了自己的加密机制,请遵循整篇文章。如果您使用 SSL 或其他公共域加密,那么您可以在拥有 SNAP-R 帐户后停止。

我显然需要完成整个认证过程......我确实建立了自己的机制。

2) 完整的 CCATS 可以 100% 在线完成吗?

在那篇“8 个简单步骤”的帖子中,它说我需要通过(蜗牛)邮件发送一些文件。后来有用户说没必要了。注意:这些博客文章似乎很旧(2 年)。

很棒的描述!仅供参考:获取 SNAP-R 的 CIN/PIN 的过程现在完全是电子化的

另一位用户说:

您可能需要考虑更新您的帖子。BIS 顾问刚刚告诉我,不再需要邮寄申请表和证明文件的硬拷贝。这对某些人来说可能是微不足道的,但在国际运费上浪费 80 美元就是白白浪费了 80 美元。

我希望我不需要通过邮件发送所有文件,因为从欧盟将它们送到美国需要一段时间。

欧盟是否有人最近使用过 ERN/CCATS 流程?

3)我还看到他们要你提供传真号码……我没有传真。这是个大问题吗?

如果真的有必要,在线传真服务可以吗?

4)我需要详细解释整个加密机制吗?还是只是算法?我可以因为“对大众市场加密系统太好了”而被拒绝吗?

大多数情况下,我是否需要解释或声明某些数据将被加密两次?或者“将数据加密存储在磁盘上”是否足够好的解释?

5)我将使用一些密码扩展算法和散列(HMAC,使用 SHA-2,也许是 SHA-3)...我也需要报告 thous 吗?

4

2 回答 2

10

StormCloud 的回答很棒。我打电话给 BIS,并与代表谈了一个小时,涵盖了许多理论细节。我还了解到(代表说代表不应该告诉我这个)他们对那些只是打电话而不是先弄清楚流程的人感到恼火。因此,我想分享我在 2013 年 9 月 24 日致电 BIS 后的发现。

文件参考:

本页列出了所有相关文件。文档链接列在此网页的左侧和中心,位于名为“加密链接”的组中。

如何处理它们:

在文档“第 774 部分第 5 部分第 ii 部分的补充 1”中,请参阅“注释 4”以确定您的应用程序的所有主要功能是否都免于第 5 类第 2 节。语言令人困惑。那里至少有一个双重否定。如果有疑问,只需将其归类为大众市场商品。

该代表敦促我不仅要考虑主要功能是否按预期用途豁免,还要考虑如果用户以任何其他方式使用该应用程序,它们是否会被豁免。同样,如果有疑问,请归类为大众市场商品。

如果您选择归类为大众市场商品,则需要参考三个文件。请参阅 740.17 以确定您的软件是否应归类为 B1、B2 或 B3。B2x 类型肯定需要归类为大众市场商品。我没有说明 B1 或 B2 类型是否需要归类为大众市场商品。
增补 5 涉及 Bx 类型的分类。您将复制此文档并填写相关信息,然后与您的 SNAP-R 工作项一起提交。此外,请参阅您必须在一月份提交
的报告的补充 8 。

我们对我们的应用程序的结论:

我们的特定应用程序(尚未)归类为第 5 类第 2 部分。这意味着我可以选择将我们的应用程序“自我分类”为 EAR99,而不是 ECCN 5D992(大众市场)或 5D002(非大众市场)。这也意味着我不需要在 SNAP-R 工作项中创建导出项。:)

这是我从 BIS 代表处收到的完整电子邮件,旨在引导我将软件归类为大众市场商品:

导出前必须获得加密注册号 (ERN)。ERN 是您获得一次并永久使用的东西,或者直到您提供的信息发生更改。获得 ERN 只需几分钟的工作。您将在提交请求后大约一小时内收到 ERN。之后,始终将其包含在任何分类请求的附加信息块中,并将其用于第 742 部分报告的补充 8 的主题行中。

如果您无法立即提交 ERN 请求,并且了解在您提交之前您无权出口,请回复说明相同的内容,我将在其表面上使用 ERN 所需语言发布分类。我希望您继续请求加密注册号 (ERN) 并使用您的 ERN 回复此请求。我会将您的 ERN 放在附加信息块中,并在不参考 ERN 的情况下签发 CCATS。

今后,请始终按照第 740.17(b)(2) 或 (b)(3) 节和第 742.15(b)(3) 节所述物品分类规定的要求,将您的 ERN 包含在附加信息块中。耳朵。即使是 740.17(b)(1) 或 742.15(b)(1) 授权的物品,也需要在出口前进行加密注册。因此,即使对于“B1”请求,在发出分类请求之前获取并提供附加信息块中的 ERN 通常是有意义的。

如何获得 ERN:

在 BIS 主网站 www.bis.doc.gov 上,单击 Policy Guidance 下拉菜单下的“Encryption”一词。这将打开主要的加密网页。页面左侧第一列有两个蓝色框;但是,您可能需要向下滚动才能找到第二个蓝色框。第二个蓝色框表示“加密链接”,是一套重要的加密规则,包括 Supp。5 到第 742 部分。选择法规“第 742 部分的第 5 号补充”。将补充 5 问题复制到文字处理文档中。回答问题并将您的回答 PDF 格式。打开 SNAP-R 并选择“创建工作项” 从工作项类型列表中选择“加密注册”。附上您刚刚创建并提交的 .pdf。一个小时内,计算机应该会回复您的 ERN “

TMI ...我知道。有人读到这么远吗?

于 2013-09-24T22:54:52.243 回答
8

我认为您应该请一位投保的出口委员提供法律建议,因为您在某些问题中真正要求的是合理的法律建议。

bis.doc.gov上列出了许多出口委员。

bis.doc.gov 上还有一个广泛的常见问题解答,其中涵盖了您的一些问题(下面的链接)。

希望这会为您指明正确的方向。

于 2013-04-11T00:26:56.700 回答