Développement iOS
  1. Développement iOS
  3. CCATS sur iOS AppStore et encryption
Intereting Posts
AVAssetExportSession échoue – Fusion de deux files WAV (iOS7) Pourquoi mon image n'est-elle pas ajoutée au tableau? Quelle class / code iOS renvoie le Nord magnétique? Comment puis-je sauvegarder une réponse JSON dans un file qui serait accessible depuis un file HTML local chargé dans UIWebWiew Alors que le process d'envoi de courrier utilisant les simulateurs ios 8 génère une erreur La notification FCM ne fonctionne pas dans ios Fuite de memory avec ARC Comment vérifier si l'appareil est Ipad mini La police ttf personnalisée de xcode ne fonctionne pas Est-il possible d'append UIView (Admob) dans uitableviewcontroller ou dans uicollectionviewcontroller Erreur "Sélecteur non reconnu envoyé à l'instance" ne peut pas get la valeur correcte de la hauteur du keyboard dans iOS8 "Utilisation invalide de 'ceci' dans une fonction non-membre" dans un context objective-c? Impossible d'parsingr les services Web qui obtiennent des données dans l'iPhone Comment save une video avec avfoundation dans Swift?

CCATS sur iOS AppStore et encryption

Cela va être une longue question … En fait, un set de questions connexes … Je veux faire une application iOS, qui sera vendue sur Apple App Store, (évidemment). Mon application va stocker des données user sensibles dans le directory des documents. Pour des raisons de security, j'ai pensé à un système de chiffrement qui sécuriserait ces données. Ici, le plaisir commence … Ce mécanisme de security des données sera pratiquement indestructible. Je vais utiliser AES-128/256, TwoFish 128/256 et Serpent 128/256. L'user peut choisir quoi utiliser où … Je peux utiliser le double encryption, datatables étant cryptées une fois avec AES, puis avec Serpent, ou toute combinaison de mille.

Je dois évidemment vérifier le button "utilise le encryption" sur l'App Store. Le problème est:

1) Quelle certificateion ai-je besoin du CCATS ou juste du numéro ERN?

De :

http://tigelane.blogspot.ro/2011/01/apple-itunes-export-ressortingctions-on.html

  1. Allez sur ce lien et utilisez ses instructions. C'est un article génial: http://zetetic.net/blog/2009/08/03/mass-market-encryption-classification-classification-pour-iphone-applications-in-8-easy-steps/
  2. Faites les étapes 1 et 2 pour tous les cas. Si vous avez construit votre propre mécanisme de encryption, cela suit l'intégralité du message. Si vous avez utilisé le encryption SSL ou d'un autre domaine public, vous pouvez vous arrêter après avoir votre count SNAP-R.

J'ai apparemment besoin de faire tout le process de certificateion … J'ai définitivement fait mon propre mécanisme.

2) Le CCATS complet peut-il être fait à 100% en ligne?

Dans ce post "8 étapes faciles" il est dit que je dois envoyer des documents par courrier (escargot). Puis plus tard, un user a dit que ce n'est plus nécessaire. Remarque: ces articles de blog semblent vieux (2 ans).

Excellente description! FYI: Le process d'obtention d'un CIN / PIN pour SNAP-R est maintenant entièrement électronique

Un autre user a dit:

Vous voudrez peut-être envisager de mettre à jour votre message. Un conseiller de la BRI vient de me dire qu'il n'est plus nécessaire d'expédier le courrier dans des copys papier de votre formulaire de request et des pièces justificatives. C'est peut-être quelque chose de sortingvial pour certains, mais perdre 80 $ sur l'expédition internationale, c'est 80 $ dans les égouts.

J'espère que je n'ai pas besoin d'envoyer tous les documents par la post, car il faudra un certain time pour les envoyer aux États-Unis en provenance de l'UE.

Quelqu'un dans l'UE at-il récemment utilisé le process ERN / CCATS?

3) J'ai aussi vu qu'ils vous demandaient un numéro de fax … Je n'ai pas de fax. Est-ce un gros problème?

Si vraiment nécessaire un service de fax en ligne serait ok?

4) Dois-je expliquer le mécanisme de encryption complet en détail? Ou juste les algorithms? Est-ce que je peux être rejeté pour avoir un «trop bon pour cryptosystem de encryption de marché de masse»?

La plupart du time, dois-je expliquer ou déclarer que certaines données seront cryptées deux fois? Ou est "va stocker des données cryptées sur le disque" une explication assez bonne?

5) Je vais utiliser des algorithms d'extension de mot de passe et de hachage (HMAC, avec SHA-2, peut-être SHA-3) … ai-je besoin de signaler mille aussi?

La réponse de stormCloud est géniale. J'ai appelé le BIS, et j'ai parlé à un représentant pendant une heure couvrant tous les détails théoriques. J'ai également appris (le représentant a dit que le représentant ne devrait pas me dire cela) qu'ils sont contrariés par les gens qui appellent juste au lieu d'essayer de comprendre le process en premier. Donc, je voulais partager ce que j'ai trouvé à la suite de l'appel BIS à partir du 24/09/2013.

Références de document:

Tous les documents pertinents sont répertoriés sur cette page . Les liens de documents sont listés à gauche et au centre de cette page dans un groupe intitulé "Liens cryptés".

Que faire avec eux:

Dans le document «Supplément 1 à la partie 774, catégorie 5, partie ii», voir «Note 4» pour déterminer si toutes les fonctions principales de votre application sont exemptées de la catégorie 5, section 2. La langue prête à confusion. Il y a au less un double négatif là-dedans. En cas de doute, classr simplement comme un produit de marché de masse.

Le représentant m'a demandé de considérer non seulement si les fonctions principales sont exemptées par utilisation prévue, mais si elles seraient exemptées si les users utilisaient l'application de toute autre manière. Encore une fois, en cas de doute, classr comme un produit de marché de masse.

Si vous choisissez de classr comme un produit de marché de masse, vous devrez vous référer à trois documents. Voir 740.17 pour déterminer si votre logiciel doit être classé en B1, B2 ou B3. Les types B2x doivent être catégorisés comme des produits de grande consommation. Je n'ai pas précisé si les types B1 ou B2 doivent être classés comme des produits de grande consommation.
Le supplément 5 concerne la classification des types Bx. Vous copyz ce document et remplissez les informations pertinentes, pour ensuite les soumettre avec votre élément de travail SNAP-R.
De plus, voir le Supplément 8 pour les rapports que vous devez soumettre en janvier.

Notre conclusion pour notre application:

Notre application particulière n'est pas (encore) classée dans la catégorie 5, partie 2. Cela signifie que je peux choisir d'auto-classifier notre application comme EAR99 au lieu de ECCN 5D992 (marché de masse) ou 5D002 (pas marché de masse). Cela signifie également que je n'ai pas besoin de créer un élément d'export dans un élément de travail SNAP-R. 🙂

Ceci est l'email complet que j'ai reçu du représentant BIS pour me guider à travers le classment des logiciels comme un produit de masse:

Un numéro d'logging de encryption (ERN) doit être obtenu avant l'export. Un ERN est quelque chose que vous obtenez une fois et utilisez pour toujours ou jusqu'à ce que les informations que vous fournissez changent. L'obtention d'un numéro ERN ne prend que quelques minutes de travail. Vous recevrez l'ERN dans environ une heure après avoir soumis la request. Après cela, incluez-le toujours dans le bloc d'informations supplémentaires de toute request de classification et utilisez-le sur la ligne d'object de vos rapports du complément 8 à la partie 742.

Si vous ne pouvez pas soumettre immédiatement la request de numéro ERN et que vous n'êtes pas autorisé à exporter jusqu'à ce que vous le fassiez, veuillez répondre en indiquant la même chose et je publierai la classification avec la langue requirejse ERN à première vue. Je préfère que vous aller de l'avant et requestr un numéro d'logging de encryption (ERN) et répondre à cette request avec votre ERN. Je vais mettre votre ERN dans le bloc d'information supplémentaire et émettre le CCATS sans reference à l'ERN.

À l'avenir, veuillez toujours inclure votre numéro ERN dans le bloc d'informations supplémentaires, comme l'exigent les règles de classification des articles décrites aux articles 740.17 (b) (2) ou (b) (3) et 742.15 (b) (3) du OREILLE. Même les articles autorisés par 740.17 (b) (1) ou 742.15 (b) (1) nécessitent un logging de encryption avant l'export. Par conséquent, il est généralement judicieux d'get et de fournir l'ERN dans le bloc d'information supplémentaire avant de faire une request de classification même pour les requests "B1".

COMMENT OBTENIR UN ERN:

Sur le site Web principal de la BRI http://www.bis.doc.gov, click le mot «Encryption» dans le drop down menu Policy Guidance. Cela amène la page Web principale de encryption. Il y a deux cases bleues dans la première colonne sur le côté gauche de la page; Cependant, vous devrez peut-être faire défiler vers le bas pour find la deuxième boîte bleue. La deuxième case bleue indique "Encryption Links" et est un set de règles de chiffrement importantes, y compris Supp. 5 à la partie 742. Choisissez le règlement "Supplément n ° 5 à la partie 742." Copiez les questions du supplément 5 dans un document de traitement de text. Répondez aux questions et PDF votre réponse. Ouvrez SNAP-R et select "Créer un élément de travail". Dans la list des types d'éléments de travail, select "Enregistrement de chiffrement". Joignez le .pdf que vous venez de créer et de soumettre. Dans une heure, l'ordinateur devrait répondre avec votre ERN "Un numéro commençant par" R "" Fournissez-moi ce numéro et inscrivez dans le bloc 24 "informations supplémentaires" sur tous les futurs éléments de travail de chiffrement CCATS.

TMI … Je sais. Quelqu'un a-t-il lu jusqu'ici?

Je pense que vous devriez requestr à un conseiller à l'export qui est assuré de donner un avis juridique, car ce que vous requestz vraiment dans certaines de vos questions, c'est un avis juridique judicieux.

Un certain nombre de conseillers à l'export sont répertoriés sur bis.doc.gov .

Aussi sur bis.doc.gov est une FAQ complète qui couvre certaines de vos questions (liens ci-dessous).

J'espère que cela vous indique la bonne direction.