Ответ 1

Я считаю, что нашел ответ, который я искал.

Отказ от ответственности. Я НЕ являюсь адвокатом (как вы, ребята) и не будет нести ответственность за этот ответ, но я думаю, что мои выводы могут/будут полезны для сообщества.

Является ли мое приложение квалифицированным как элемент массового рынка?

Короткий ответ - я считаю, что все приложения для Apple будут считаться массовыми элементами рынка, но это трудно сделать. Тем не менее, кажется, что даже не массовые рыночные позиции могут использовать симметричный ключевой алгоритм с 56-битным ключом или меньше (как вы прочтете ниже). Примечание. DES - это алгоритм симметричного ключа, который использует 56-битный ключ.

Записка по криптографии (примечание 3) категории 5, часть 2 ( "Информационная безопасность" ) в списке контроля торговли

Примечание 3: Криптография Примечание: ECCN 5A002 и 5D002 не контролируют элементы, которые удовлетворяют всем следующим требованиям:

a.. Обычно доступен для публично, продавая, без ограничений, со склада в розницу продавая пункты с помощью любого из следующего:

• Внебиржевые транзакции;
• Операции почтового перевода;
• Электронные транзакции; или
• Операции телефонного звонка;

b. Криптографическая функциональность не может быть легко изменена пользователем;

c. Предназначен для установки пользователь без дополнительной существенной поддержки со стороны поставщика; и

д.Когда это необходимо, информация о деталях доступна и будет при условии, по запросу, соответствующему органу в страны, чтобы удостовериться в соблюдении условий, описанных в пункты (a) - (c) настоящей записки

Хорошо... Итак, если это элемент массового рынка, каковы ограничения?

Вы должны отправить запрос классификации правительству, если (см. жирный шрифт):

N.B. Примечание 3 (Записка по криптографии): Вы должны представить классификацию запрос или регистрация шифрования в BIS для шифрования массового рынка товаров и программного обеспечения, имеющих право на получение справки по криптографии используя длину ключа более 64 бит для симметричного алгоритм (или для товаров и программного обеспечения, не реализующих симметричные алгоритмы, использующие длину ключа более 768 бит для асимметричные алгоритмы или более 128 бит для эллиптической кривой алгоритмы) в соответствии с требованиями § 742.15 (b) EAR для того, чтобы быть освобожденными от контрольных точек "EI" и "NS" ECCN 5A002 или 5D002.

Итак, основываясь на том, что МОЖЕТ И НЕ МОЖЕТЕ использовать?

Отказ от ответственности:: Это моя интерпретация вышеизложенного - снова я не юрист

• AES 128 нельзя использовать без отправки запроса, так как он использует 128-битный ключ.
• DES может использоваться, так как он использует 56-битный ключ. Фактически DES может использоваться даже без того, чтобы быть классифицированным как элемент массового рынка.
• CAST может использоваться, поскольку он использует ключ между 40-128 бит (вам нужно будет использовать ключ из 64 бит или меньше).
• 3DES не может использоваться. Исходный ключ шифрования 3DES - 64 бит, но, как я понимаю, у него есть 3 ключа... Поэтому я не уверен, что проходит, и вам, вероятно, придется отправить запрос. Википедия говорит, что ее "назначил NIST иметь только 80 бит безопасности", что заставляет меня думать, что его нельзя использовать.
• RC4 Я считаю, что вы можете использовать это без отправки запроса, если ключ размера переменной равен 64 бит.

U. S. Бюро промышленности и безопасности - Шифрование. Могу ли я классифицировать свой элемент шифрования и экспортировать его БЕЗ регистрации шифрования?

Отказ от ответственности:: Я не лейбл, это моя интерпретация. Я не буду нести ответственность.

Вы можете использовать алгоритм симметричных ключей (например, DES) с 56-битным ключом (или меньше).

Кроме того, продукты массового рынка могут использовать симметричные ключевые алгоритмы с 64-битным ключом (или меньше).

Жирные важные разделы.

Схема потока 2 содержит обзор того, как определить, продукт может быть классифицирован и экспортирован без шифрования регистрация.

Если у вас есть продукт, который подпадает под категорию 5, часть 2, определенные продукты и транзакции не требуют шифрования регистрации, классификации или постэкспортной отчетности. Это включает в себя:

• Продукты, классифицированные под 5x992, в том числе:
  • Продукты с длиной ключа не более 56 бит симметричны, 512 бит асимметричны и/или 112-битная эллиптическая кривая.
  • Продукты массового рынка с длиной ключа не превышающий 64 бита симметрично или если нет симметричных алгоритмов, а не превышающей 768 бит асимметричной и/или 128-битной эллиптической кривой.
  • Некоторые продукты массового рынка, перечисленные в разделе 742.15 (b) (4)
  • Продукты с ограниченными возможностями криптографические функции, как описано в примечании к 5A002.
  • Продукты, которые используют шифрование только для аутентификации.
• Определенные продукты/транзакции 5x002, в том числе:
  • Некоторые продукты/транзакции имеют право на исключение лицензии ENC без любой регистрации, классификации или отчетности, в том числе:
    • Экспорт и реэкспортирует на "конечных пользователей частного сектора", как описано в 740.17 (a) (1);
    • Экспорт и реэкспорт в "Субсидиар" США, как описано в 740,17 (а) (2).
    • Некоторые продукты, перечисленные в разделе 740.17 (b) (4):
  • Некоторые продукты, требующие только уведомления перед экспортом:
    • "Публично доступное" программное обеспечение для шифрования и исходный код по исключению лицензии ТГУ (740,13);
    • Программное обеспечение Beta Test по исключению лицензии TMP (740.9).

Кроме того, если вы полагаетесь на самооценку производителей (в соответствии с регистрацией шифрования производителей) или CCATS для элемент шифрования, подходящий для экспорта или реэкспорта по лицензии Исключение ENC или массовый рынок, вы не обязаны предоставлять регистрация шифрования, запрос классификации или самоклассификация отчет. Вы по-прежнему обязаны соблюдать полугодовые продажи требования к отчетности в соответствии с пунктом 740.17 (e).