android - App Store 或 Google Play 应用程序的加密和导出许可证

Question

为了保密，我的 iOS 应用使用 crypto++ 作为静态库。由于这个库是开源的，因此对于任何可能的不法行为者都是可见的，常识意味着应该没有麻烦。但是，根据美国导出管理条例第 2 部分第 5 类，我的应用程序似乎并未明确豁免，但我不能确定，因为法律往往是一团乱麻的异常(exception)情况和随意的胡扯，所以我想问问那些在您的应用程序中包含开源加密库的实际经验的人(Android 的建议也可以):

我需要经历所有获得 EAR 批准的麻烦吗？

Answer 1

My iOS app uses crypto++ as a static library for confidentiality...
However, based on Category 5, Part 2 of the U.S. Export Administration Regulations, my app does NOT seem to be exempt explicitly...

正确。导出法规适用于加密技术。

有一些豁免。例如，如果 key 大小为 63 位或更小，则不需要导出许可证，因为 License Exemption is provided .您还可以在没有许可证的情况下构建测试系统和运送测试系统。

如果你属于这一类，你还是要自己归类。你只是不需要许可证。当您填写文件时，您会写上“NLR - 无需许可”。但这可能不是你......

如果您仅使用加密技术进行身份验证(而不是加密)，那么您就不需要导出许可证。或者，如果您通过 TestFlight 将您的应用分发到 Beta 测试，那么您不需要导出许可证。但是，Apple 仍然需要许可证，因为他们没有花时间区分加密和身份验证；或 Beta 测试与发布...

---

Since this library is open-sourced, and thus visible to any would-be wrong-doers as it is, common sense implies that there should be no hassle...

您的应用与其使用的底层加密库有不同的要求。底层库需要做什么和你需要做什么是两件不同的事情。

例如，OpenSSL 和 Crypto++ 属于 EAR 734 和 740，它们只需要向 BIS 和加密协调员发送一封电子邮件，其中包含其网站和源代码的链接。你必须做更多...

---

Do I need to go through all that hassle of getting an EAR approval?

是的。最后，您需要做的就是注册一个 SNAP-R 帐户并进行 self 分类。当您进行 self 分类时，您需要查找一些代码、填写一些文书工作、收集一些额外的文档，然后将其提交给 BIS 和加密协调员。

提交后，BIS 等待加密协调员反对或拒绝申请。在加密协调员沉默 30 天后，BIS 颁发了许可证。

顺便说一句，加密协调员是国家安全局。这是他们在米德堡的邮寄地址。

---

... I wish to ask those of you with actual experience with including an open-source encryption library in your apps

在整个过程中，我管理了 3 个库和 1 个应用程序。在这些库中，一个库是基于 OpenSSL 的，一个库是基于 Crypto++ 的。他们都没有被拒绝。

---

... I cannot tell for sure as law tends to be a convoluted mess of exceptions and random hair-splitting...

题外话，但是 BIS 的女士们非常好。你调用这个号码，一个真人接听。他们相当知识渊博。他们是告诉我测试豁免的人。

为了与那些知识渊博的女士交谈，这里是您正在寻找的办公室的名称:导出商服务办公室，加密部门。他们的电话号码会显示在 Google 搜索中(知道办公室名称后就很容易了)。

---

相关的，这可能是您要寻找的信息:如何去做。 Zetetic 在 Mass Market Encryption CCATS Commodity Classification for iPhone Applications in 8 Easy Steps 上有一套很好的说明。 .这是我一年前第一次使用的。

---

(comment) and if I want to publish an Android version of the same app on Google Play, can I reuse the license, or do I need to do it over?

是的。许可证是为应用程序而不是 Play 商店颁发的。

---

(comment) What about updates that do not touch crypto++, but expose an additional algorithm for the user to choose from in the UI, i.e. first I want to use only RSA for dig. signatures, but in the next version I want to add ECDSA as choice?

我不记得了。给加密部门导出商服务办公室 的女士们打电话。他们真的很有帮助。

如果您要添加或修改核心加密例程(这是本文所涵盖的内容)，那么您可能需要更新现有应用程序或重新分类。

如果您只是更改签名算法，那么它只是实体身份验证，可能不需要更新现有应用程序或重新分类。

我问了一个类似的问题:它是关于在没有 crpyto 更改的情况下命名产品和(重新)品牌化。就我而言，重命名不需要重新分类。