Перед загрузкой приложения на ревью в Apple App Store нам задают неожиданный вопрос, а не использует ли наше приложение криптографию?
И хотя соблазн ответить «нет» и загрузить наконец-то очень велик, и кто-то тихо шепчет, что ты мог и забыть про https или вообще не знать, как он работает, но совесть советует разобраться и в этом.
У меня много сил ушло, чтобы получить ERN(Encryption Registration approval from BIS), и я решил написать инструкцию.
А может — не надо?
Даже если Вы ответили «да» на вопрос по криптографии, возможно, Ваше приложение попадает в список исключений и не обязательно получать ERN. Об этом как раз следующий вопрос.
На который можно ответить «да», если приложение использует криптографию:
- В медицинских целях;
- Для защиты интеллектуальной собственности или авторских прав;
- Для аутентификации, цифровой подписи или для расшифровки данных;
- Для управления деньгами;
- Для алгоритмов сжатия или шифрования данных, которые не используют внешние параметры шифрования(например, ключи), и пользователь не может повлиять на используемые внутренние параметры.
Также ответить «да» можно, если приложение удовлетворяет всем требованиям из Note 4 этого документа:
- Основной функционал приложения:
- Не относится к информационной безопасности;
- Не является операционной системой или ее частью;
- Не предназначен для передачи и хранения информации(за исключением массовой коммерческой рассылки, организации развлекательных мероприятий, защиты авторских прав, управлении медицинскими картами);
- Не относится к организации компьютерных сетей.
- Криптография является основным функционалом приложения.
- В случае необходимости, по запросу соответствующих полномочных органов, будет предоставлена вся необходимая информация для подтверждения выполнения первых двух пунктов.
Я долго пытался разобраться нужно ли получать ERN, если приложение только использует https. Большинство коллег в англоязычном интернете сходится во мнении, что надо. Тем более что вникнуть во все эти условия затруднительно и многие допускают разночтения. Проще получить ERN.
Все-таки получаем
Были опасения, не возникнут ли проблемы с российским происхождением компании. Но все прошло хорошо.
- Надо зарегистрироваться на сайте Bureau of Industry and Security U. S. Department of commerce, чтобы получить SNAP-R аккаунт. По ссылке самая обычная форма регистрации. После регистрации нужно будет подтвердить email. И ждать, когда Ваш запрос рассмотрят и активируют. Но на самом деле происходит это достаточно быстро. Нам через полтора часа уже прислали CIN(Applicant ID) и ссылку для активации, где было предложено выбрать себе логин и пароль.
- Заходим на сайт. Используем логин и пароль, указанные на предыдущем шаге, и Applicant ID из письма.
- Нажимаем Create Work Item.
- Выбираем Encription Registration в выпадающем списке и придумываем Reference Number. Reference Number это строка из трех букв и четырех цифр. Нам повезло — сокращение от Tik-Tok Coach как раз состоит из трех букв. Поэтому на скриншоте Reference Number – TTC0001.
- Здесь мы видим еще одну обычную форму, которую надо заполнить. Нам интересен пункт «Documents attached to application».
Нужно заполнить Supplement No. 5 to Part 742—Encryption Registration и приложить в формате pdf.
Можно скопировать текст с приведенной ссылки, заполнить необходимую информацию в Office Word и сохранить как pdf документ.Пример заполнения. Выделено то, что надо заполнить.Supplement No. 5 to Part 742—Encryption Registration
Certain classification requests and self-classification reports for encryption items must be supported by an encryption registration, i.e., the information as described in this Supplement, submitted as a support documentation attachment to an application in accordance with the procedures described in §§740.17(b), 740.17(d), 742.15(b), 748.1, 748.3 and Supplement No. 2 to part 748 of the EAR.(1) Point of Contact Information
(a) Contact Person
Ivan Ivanov(b) Telephone Number
+7-999-999-99-99© Fax Number
+7-999-999-99-88(d) E-mail address
iivanov@thebestcompany.tu(e) Mailing Address
1, Imaginary Street, Omsk, Russian Federation, 644001(2) Company Overview (approximately 100 words).
We are the best company. We develop HelloWorld App. We've mission to make the better world. And so on.(3) Identify which of the following categories apply to your company's technology/families of products:
(a) Wireless
(i) 3G cellular
(ii) 4G cellular/WiMax/LTE
(iii) Short-range wireless/WLAN
(iv) Satellite
(v) Radios
(vi) Mobile communications, n.e.s.
(b) Mobile applications
© Computing platforms
(d) Multimedia over IP
(e) Trusted computing
(f) Network infrastructure
(g) Link layer encryption
(h) Smartcards or other identity management
(i) Computer or network forensics
(j) Software
Yes: We only create software.
(i) Operating systems(ii) Applications
(k) Toolkits/ASICs/components
(l) Information security including secure storage
(m) Gaming
(n) Cryptanalytic tools
(o) “Open cryptographic interface” (or other support for user-supplied or non-standard cryptography)
(p) Other (identify any not listed above)
(q) Not Applicable (Not a producer of encryption or information technology items)
(4) Describe whether the products incorporate or use proprietary, unpublished or non-standard cryptographic functionality, including encryption algorithms or protocols that have not been adopted or approved by a duly recognized international standards body. (If unsure, please explain.)
Our product does not use any proprietary, unpublished or non-standard cryptographic functionality.
We only use standards based Secure Socket Layer(SSL) encryption and system encryption mechanisms that are available in Windows, Mac, Ubuntu operation systems.(5) Will your company be exporting “encryption source code”?
No.(6) Do the products incorporate encryption components produced or furnished by non-U.S. sources or vendors? (If unsure, please explain.)
No.(7) With respect to your company's encryption products, are any of them manufactured outside the United States? If yes, provide manufacturing locations. (Insert “not applicable”, if you are not the principal producer of encryption products.)
No.[75 FR 36497, June 25, 2010]
- В скором времени после отправки формы на сайте приходит сообщение с ERN.
- Но в App Store необходимо загрузить pdf документ. Поэтому снимает скриншот с сообщением и вставляем его в pdf.
Готово! Теперь Вы можете загружать приложение на ревью.
Замечание
Судя по отзывам в интернете, условия получения иногда меняются. Поэтому прошу не полагаться только на мой вольный перевод и трактование документов, но и ознакомиться с оригиналом непосредственно перед получением ERN.
Автор: JacobL