Экспортное разрешение на шифрование для приложений из AppStore

    Сегодня наткнулся на неожиданность при загрузке программы в iTunes Connect для публикации в AppStore. Моя программа использует шифрование для защиты информации от неавторизированного распространения. Распространение приложений с шифрованием ограничено законодательством США и контролируется Департаментом Промышленности и Безопасности Министерства торговли СШАDepartment of Commerce (DOC) Bureau of Industry and Security (BIS). Для тех, кому интересно — что было, и что стало…

    Все документы и интернет-тексты на английском языке, так что я не буду их цитировать, дам ссылки на оригинал и приведу здесь свой перевод.

    В текущей инструкции iTunesConnect Developer Guide v.6.9 от 20/07/2011 есть раздел «Экспортное разрешение и законодательные проблемы».



    Ни этом скриншоте видны вопросы, ответив на любой из которых ДА, нужно предоставить документ из DOC BIS о том, что программа классифицируется «Для массового рынка» (Mass Market Classification). Подробнее о том, как получить такой документ, можно прочитать здесь. Или более сокращённый и формальный вариант на официальном сайте Департамента.

    Законодательство США изменилось с 7 января 2011 года, французское законодательство также недавно поменялось, соответственно теперь изменилась и процедура публикации в AppStore. На скриншоте ниже — вопросы, которые теперь задаются при публикации программы (в зависимости от YES / NO показываются немного разные, но общая суть одна — предоставьте документ-разрешение).



    Ссылка вверху скриншота ведет сюда. Предложенная Apple логика говорит следующее.
    • Экспортное разрешение не требуется, если приложение соответствует исключению Категории 5 Часть 2, а именно — шифрование используется:
      • (a) в продуктах для медицинского использования
      • (b) для защиты интеллектуальной собственности
      • (с) для авторизации, электронной подписи или расшифровки файлов данных
      • (d) исключительно для банковского использования или «денежных транзакций»
      • (e) в определенных алгоритмах сжатия данных или кодирования
      • (f) в приложении, которое соответствует Комментарию 4 к Категоии 5 Часть 2
    • Для продуктов, публикуемых из Франции, требуется предоставить два экспортных разрешения — из США и из Франции
    Подобные изменения для России упрощают и ускоряют публикацию очень большого класса программ, для которых ранее требовалось разрешение. Получение такого разрешения занимает 30-45 дней.

    В официальном FAQ в iTunes Connect (доступен для разработчиков) есть раздел «Выполнение условий законодательства при международной торговле» (World Wide Trade Compliance for the App Store), где можно найти более подробное описание новых условий.

    Комментарии 29

      0
      Мне кажется вы слишком переусердствовали с защитой, на что вам какие-то свои реализации, системных фреймворков вполне достаточно.

      Приложения даже из топ#10 с по сути отсутствующей защитой практически не ломают, а уж которые имеют встроенные стредства контроля модификаций и полиморфный код так вообше никто не трогает. Ну за редкими исключениями, причем если вы под него попадаете, то чтобы вы там не наворотили — не проблема. Вот буквально на днях «изучал» последнюю версию AppStar 2 (думаю разработчикам она хорошо известна, программа ведет статистику продаж, отзывы и прочее), там элементарная защита — три точки контроля модификации кода, запрос лицензии и проверка режима работы. В общем возни на 20 минут, а тем не менее нигде взломанной версии нет, а ведь программой по сути пользуются почти все разработчики приложений в AppStore. И судя по куче кода, разработчики потратили на защиту не один день, а может и неделю. Ну и зачем, себе же дороже?

      Я в своих приложениях пользуюсь обычной проверкой талончика, плюс в рантайме подменяю несколько кусков кода. Видел как на форуме программу пытались взломать — не осилили, ну там подростки-студенты были. Профи поломает опять же за 20 минут. Ну я могу потратить несколько недель и сделать действительно конфетку которая потребует несколько часов на слом, а толку-то? Лучше это время потратить на другой проект или новую версию, возможно с новой но не сложной защитой.
        +3
        Ох, похоже я не так понял Вас, вы написал для защиты информации, а не приложения как я подумал. Обещаю больше не писать в 4 часа ночи комментарии )
          +1
          Второй раз Вы все поняли правильно — защищать программу ради 10% jail-брекнутых, для которых ее вскроют, особого смысла нет — они и так ее не купят.

          А вот вытащить базу данных из файла APP особого ума не надо. Потому и применил шифрование, тем более технология отрабатывается один раз и можно использовать дальше в других программах.

          Как программу одобрят, я сделаю статью с кое-какими подробностями. Если интересно, в личку кину ссылку на сайт сопровождения программы.
        0
        Т.е. все приложения для хранения фото, видео и текстов в защищеных AES контейнерах не будут обновляться (или исчезнут) пока их авторы не озаботятся получением разрешения?
          0
          Меня удивляет, что они вообще появились в AppStore без разрешения — модераторы недоработали. Само разрешение получается несложно, там по ссылке все очень популярно описано. Но долго.
            0
            Кстати, теперь стало проще — если шифрование используется для (a)-(f), то разрешения не требуется. По прежнему потребуется для всех приложений, которые хранят пользовательские данные в шифрованных контейнерах.

            По ссылке есть шаблоны документов-запросов, которые надо представить для получения разрешения. По сути это техническая попытка объясниться, что
            • пользуешься свободно опубликованными в исходных текстах алгоритмами шифрования
            • пользователь не может по своему усмотрению менять алгоритм
            • шифрование не публикуется в исходных текстах
            и т.д. В общем, распространением «бытового» шифрования они не боятся — скорее всего, это легко вскрывается АНБ. Но то, что используется именно оно — нужно доказать и получить подтверждение.
              0
              Все же — сильного шифрования больше ждать не стоит? Обычный XOR для всех?
                0
                А чем AES-256 не нравится — США он устраивает, и это совсем даже не XOR?
                  0
                  Нравится. Но стоит ли тогда считать его домашним и вскрываемым АНБ? Никакой паранои, просто для себя хочется понять — стоит ли наедятся, что ПО для хранения приватных данных обеспечивает надежное шифрование.
                    0
                    При сегодняшней стоимости вычислительной мощности, я уже ни в чем не уверен… Облака Amazon, графические процессоры в качестве супер-вычислителей. Даже супер-компьютерные кластеры на основе игровых консолей — там, оказывается, стоят сверх-мощные IBM-овские процессоры Cell… Это при бытовом применении. У АНБ/ФСБ — можно пофантазировать — вычислительных мощностей будет побольше.

                    Так что — мое мнение — ПО для хранения приватных данных достаточно надежно, пока у знающих людей руки не дошли. Техника уже позволяет.
                      +1
                      А если ещё вспомнить про социальную инженерию, трояны и т. п.
                      0
                      А что вы там такого собрались хранить, что вас интересует именно вскрываемость АНБшниками? План террористических акций против США? В публичном айфонном приложении???
                        0
                        Вопрос не в том, что я собрался хранить, вопрос в том какие средства хранения мне запрещают и с какими целями.

                        Почитайте например ru.intel.com/business/community/index.php?automodule=blog&blogid=43938&showentry=2370
                          +1
                          Вам вообще никто ничего не может запретить.

                          Статья касается смешной коллизи, когда импортёр попадает на ограничение экспорта из США при том, что он не может продавать продукт не через штатовский магазин.

                          По вашей же ссылке статья любопытная, но связана уже с импортом. Государственные дела, чо. К вам, как к физическому лицу это всё имеет весьма опосредованное отношение. Как минимум, всё это не накладывает конкретно на вас никаких ограничений по использованию технологии.
                  0
                  Зачем такое шифрование, которое вскрывается АНБ?
                    0
                    Чтоб не вскрыла жена, начальник, конкуренты и просто любопытствующие (типа Яндекса :) )?
                      0
                      Думаешь, конкуренты, особенно конкуренты из Яндекса, не смогут нанять парочку криптографов, купить десяток Tesla и подождать пару месяцев пока перемелется казуально зашифрованая смска? ;)
                        +1
                        Для этого надо стать конкурентом Яндекса, как минимум. Но тогда с программами из AppStore уже не стоит связываться — проще написать свою, и распространять AdHoc. И никакие экспортные ограничения не помешают.
                          0
                          Ну, если так рассуждать, то и жена с начальником могут нанять :)
                            0
                            А я как раз вчера страдал, что у меня нет жены :)
                              0
                              А я вот сейчас страдаю, что похоже скоро будет. Теперь надо хоть права не 777 выставлять…
                                +1
                                На жену, на себя, на собственность, или вообще на все?
                        0
                        Как кто-то недавно высказался — «Смиритесь с отсутствием приватности в современном мире. И чем дальше, тем её будет меньше».
                          0
                          Вот пусть он, кто сказал, пусть пойдет и смирится. В тюряге путь посидит для закрепления смирения, там, говорят можно читать книжки популярных философов.

                          Шифрование, которое в приемлемые сроки не вскроет АНБ, вполне доступно. Не вижу причин поднимать лапки раньше времени.
                            0
                            Оно доступно публично в исходных текстах? Тогда никаких проблем — разрешение будет получено за месяц-полтора. И можно писать программы и публиковать в AppStore.
                              0
                              Почему-то вечером в субботу думаются грустные мысли :( Тут заходишь в интернеты, и видишь, как люди отчаянно пытаюстся отдать контроль над своей судьбой в чужие руки. Так грустно и больно. Хочу другой глобус…
                    0
                    Но согласитесь, XORа не хочется. Хотя я у кого-то видел в описании, что разрешение получено.
                      0
                      XOR крайне трудно (невозможно?) взломать при использовании неизвестного злоумышленнику ключа, длина которого равна длине открытого текста.
                        0
                        Что считать «длиной текста» в случае хранения гигабайт фото, видео и документов?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое