home *** CD-ROM | disk | FTP | other *** search
/ Ian & Stuart's Australian Mac: Not for Sale / Another.not.for.sale (Australia).iso / fade into you / being there / Issues & Ideas / Digital Cash / First Virtual / FAQ-security.txt < prev    next >
Text File  |  1994-10-15  |  23KB  |  461 lines
  1. First Virtual SECURITY Frequently Asked Questions
  2.  
  3. This list of Frequently Asked Questions (FAQ) addresses concerns  about
  4. the  security  of First Virtual's Internet Payment System. To receive a
  5. copy of this list from us by email, please send an email message to the
  6. address  "security@fv.com";  our  information server will automatically
  7. send you a copy of the most current version.
  8.  
  9. This version was last updated on 1 September 1994.
  10.  
  11. Copyright (c) 1994 First  Virtual  Holdings  Incorporated.  All  rights
  12. reserved in the United States and other countries throughout the world.
  13. First Virtual is a trademark of First  Virtual  Holdings  Incorporated.
  14. For  information  about First Virtual, send email to "help@fv.com". You
  15. may freely redistribute this document in  any  form,  as  long  as  you
  16. distribute it in its entirety, including this copyright notice.
  17.  
  18. To find out how you can  get  more  information  about  First  Virtual,
  19. please see the end of this document.
  20.  
  21. ------------------------------------------------------
  22.  
  23. Outline
  24.  
  25. This SECURITY FAQ answers the following questions:
  26.  
  27. 1.  What are "encryption" and "digital signatures," and  why  do
  28.    other Internet commerce schemes use them?
  29. 2.  Why don't you use encryption with First Virtual?
  30. 3.  Without encryption, how can you keep my credit  card  number
  31.    secure?
  32. 4.  But wouldn't using encryption  with  First  Virtual  add  an
  33.    extra level of security?
  34. 5.  Can I  use  encryption  or  digital  signatures  with  First
  35.    Virtual if I want to?
  36. 6.  Who takes the risk in First Virtual transactions?
  37. 7.  What prevents buyers from getting information without paying
  38.    for it?
  39. 8.  How secure are First Virtual's servers?
  40. 9.  How hard is it  to  impersonate  an  accountholder  and  buy
  41.    information fraudulently using First Virtual?
  42. 10. Where can I find out more about First Virtual?
  43.  
  44. ------------------------------------------------------
  45.  
  46.  
  47. QUESTIONS AND ANSWERS
  48.  
  49. ------------------------------------------------------
  50.  
  51. What are "encryption"  and  "digital  signatures,"  and  why  do  other
  52. Internet commerce schemes use them?
  53.  
  54. "Encryption" refers to scrambling the contents  of  an  email  message,
  55. using  some  sort  of  cryptographic  scheme, so that only the intended
  56. recipient -- who has the "key" -- can  unscramble  and  read  it.  Some
  57. Internet  commerce  models  use  encryption  to  enable  people to send
  58. sensitive information like credit card numbers over  the  Internet  and
  59. limit the risk that they might be intercepted.
  60.  
  61. A "digital signature" is a code, embedded in a message,  which  special
  62. software  can  decode  to confirm that the person whose name appears on
  63. the message is actually the sender.
  64.  
  65. An Internet email message may pass through any number of networks as it
  66. travels  from  the  sender  to  the  recipient, and at any point in its
  67. journey, there exists the possibility that someone might intercept  and
  68. read  it.  If  the message contains a credit card number (for example),
  69. there exists the possibility that someone might take  that  number  and
  70. use it for fraud.
  71.  
  72. ------------------------------------------------------
  73.  
  74. Why don't you use encryption with First Virtual?
  75.  
  76. Encryption is almost always cumbersome and  difficult.  And  it  always
  77. adds  an additional step, and something else to worry about. After all,
  78. even banks and armored  cars  are  subject  to  robbery  attempts,  and
  79. sometimes  those  attempts  succeed.  Rather  than  use  encryption, we
  80. decided to design a system in which it wouldn't be necessary.
  81.  
  82. ------------------------------------------------------
  83.  
  84. Without encryption, how can you keep my credit card number secure?
  85.  
  86. Rather than build encryption into our system, we decided  to  design  a
  87. system in which no sensitive information like credit card numbers would
  88. ever have to travel over the Internet in the first place. The result is
  89. First Virtual's Internet Payment System.
  90.  
  91. With First Virtual, no one -- neither us, nor you, nor any  information
  92. seller  or other party to a transaction -- ever needs to send sensitive
  93. information about you, like your credit card number, over the Internet.
  94. Transactions  are  all  handled  with your unique First Virtual account
  95. identifier, which may safely travel in ordinary Internet email because,
  96. even  in  the  highly  unlikely  event  that  it  were  intercepted, an
  97. unauthorized user couldn't use it for fraud. He or  she  couldn't  even
  98. use it to buy information over the Internet fraudulently, because -- as
  99. discussed in detail in the BUYING and SELLING FAQs -- all  transactions
  100. are  confirmed via email before you're charged. If someone tried to use
  101. your  First  Virtual  account  identifier  to  buy  something   without
  102. authorization, you'd simply tell us so when we sent you email asking to
  103. confirm  the  charge,  and  the  stolen  account  identifier  would  be
  104. inactivated immediately.
  105.  
  106. Even when you're first signing up for a First Virtual account, we  will
  107. never  ask  you  to  enter sensitive information, like your credit card
  108. number, in email or over  an  Internet  connection.  Your  credit  card
  109. number  will  only  be given to us over a private telephone line. We'll
  110. keep it secure, on a computer which isn't on the Internet at all.
  111.  
  112. ------------------------------------------------------
  113.  
  114. But wouldn't using encryption with First Virtual add an extra level  of
  115. security?
  116.  
  117. No. Not only do we think it wouldn't add an extra level of security; we
  118. think it would make the system so complicated and difficult to use that
  119. it would entirely defeat  the  purpose  for  which  we  designed  First
  120. Virtual's  Internet Payment System in the first place: to make Internet
  121. commerce safe and easy for everyone  to  use,  even  ordinary  Internet
  122. users without a computer science degree or years of experience.
  123.  
  124. Most people assume that digital encryption or  digital  signatures  are
  125. essential for doing real commerce on the Internet, or at the very least
  126. that they are the best mechanism for commerce on  the  Internet.  First
  127. Virtual disagrees, for several reasons:
  128.  
  129.  * Encryption  and  signature  technologies,  by  their  nature,
  130.    prevent most people from participating in Internet commerce.
  131.  * Encryption and signature  technologies  are  complicated  and
  132.    confusing.
  133.  * Encryption and signature technologies yield a false sense  of
  134.    security.
  135.  * Encryption and signature  technologies  require  the  use  of
  136.    software   and   certification  infrastructures  that  aren't
  137.    commonly available.
  138.  
  139.  * Encryption and signature technologies  don't  add  any  legal
  140.    weight to most transactions.
  141.  * Encryption  and  signature  technologies  are  restricted  by
  142.    patents, copyrights, and export restrictions.
  143.  
  144. We'll discuss each of these in some detail:
  145.  
  146. Encryption and signature technologies, by their  nature,  prevent  most
  147. people from participating in Internet commerce.
  148. To be an information seller in a marketplace based  on  encryption  and
  149. signatures  requires  that  you  be a "member of the club." At the very
  150. least, you have to have a digital signature; give it to  a  centralized
  151. certifying  institution, so that other people can look you up when they
  152. want to verify your identity; and prove to the  certifying  institution
  153. that you really are who you say you are. And, of course, you need to be
  154. able to use all the digital  encryption  and  signature  software  that
  155. keeps the system running.
  156.  
  157. At  the  very  least,  becoming  an  information  seller  under   those
  158. conditions  would  be as hard as getting a credit card merchant account
  159. AND operating your own Internet server. And on top of everything  else,
  160. you'd  have  to be willing to go through all the trouble of encrypting,
  161. decrypting, and digitally signing and verifying messages every time you
  162. send or receive one.
  163.  
  164. In  contrast,  the  First  Virtual  system  allows   anyone   to   sell
  165. information,  including  people  with  no  business  credit history and
  166. (using our Infohaus, as described  in  the  SELLING  FAQ)  no  Internet
  167. servers of their own.
  168.  
  169. Encryption and signature technologies are complicated and confusing.
  170. The most widely used encryption program,  PGP,  comes  with  a  printed
  171. manual  divided  into  two  parts,  the  first  of  which is considered
  172. "essential" and "should be read by all PGP users". Yet this "essential"
  173. part  is  40  pages  long,  and  is  generally  incomprehensible to the
  174. ordinary user. So people develop  "shortcuts"  --  quick  tutorials  or
  175. cheat  sheets -- that leave readers with an incomplete understanding of
  176. the system. The problem is, if people use the system without completely
  177. understanding  how  it  works, that undercuts the system's security for
  178. everyone -- even for those who are persistent enough to master its use.
  179.  
  180. Some simpler-to-use technologies have been proposed that are  based  on
  181. specialized  hardware,  e.g. "smart cards." But the Internet has always
  182. allowed anyone to connect and use the worldwide network, no matter what
  183. kind  of computer they have. It would violate that tradition to require
  184. every Internet user to have a specific piece of hardware  in  order  to
  185. use  the  net.  Moreover, deploying such hardware would be an extremely
  186. lengthy, costly, and complicated effort,  and  anyone  who  hadn't  yet
  187. installed  the  special  hardware  wouldn't  be able to participate. In
  188. contrast, First Virtual is available to  almost  everyone,  right  now,
  189. without requiring anyone to buy any special hardware at all.
  190.  
  191. Encryption and signature technologies yield a false sense of security.
  192. First, the  use  of  "shortcuts"  as  described  above  tends  to  make
  193. encryption  systems  less  secure  in a number of ways -- for instance,
  194. when people don't store passwords securely, select passwords  that  are
  195. easy  for  them  to  remember  and easy for others to guess, or rely on
  196. unverified passwords and keys without realizing the implications.
  197.  
  198. Second, encryption and signature technology, even if they were perfect,
  199. would really only address two aspects of security anyway: they'd assure
  200. you that the other party really was who he  said  he  was,  and  they'd
  201. assure  you  that other people could't listen in on your communication.
  202. But to call such a transaction "secure" is to  ignore  the  fundamental
  203. importance  of  the establishment of trust. To put it simply, would you
  204. rather have a signed, authenticated transaction with Al Capone,  or  an
  205. open transaction with Mother Teresa?
  206.  
  207. Encryption and signature technologies require the use of  software  and
  208. certification infrastructures that aren't commonly available.
  209. People have been trying to deploy such technologies on the Internet for
  210. nearly  two  decades,  and  people  are  still  fighting over the basic
  211. infrastructure. Some of us are tired of waiting. If they're not needed,
  212. why wait for them?
  213.  
  214. Encryption and signature technologies don't add  any  legal  weight  to
  215. most transactions.
  216. There have been no definitive legal opinions  on  this  matter  in  the
  217. United  States,  but several experts believe that unencrypted email may
  218. have as much legal standing as many other kinds of correspondence,  and
  219. there  is  no consensus that digital authentication technology adds any
  220. legal standing to an agreement.
  221.  
  222. In contrast, First Virtual's  transaction  confirmation  system  --  in
  223. which  buyers  must  agree, as a condition of using First Virtual, that
  224. their email confirmation of a transaction constitutes a  commitment  to
  225. pay  -- is clear, unequivocal, and legally enforceable without any need
  226. for encryption.
  227.  
  228. Encryption  and  signature  technologies  are  restricted  by  patents,
  229. copyrights, and export restrictions.
  230.  
  231. The most common form of encryption, using public keys, is protected  by
  232. a  well-defended  patent  in  the United States. Most strong encryption
  233. technologies are export-restricted by  the  United  States  government,
  234. causing  serious problems for international information commerce. We're
  235. committed to making First Virtual easy to use all around the world, but
  236. we   couldn't   use   common   encryption   technologies   for  certain
  237. international transactions without  risking  prosecution  for  us,  the
  238. information seller, and the information buyer.
  239.  
  240. ------------------------------------------------------
  241.  
  242. Can I use encryption or digital signatures with First Virtual if I want
  243. to?
  244.  
  245. Of course. If you're an information seller, you're free  to  set  up  a
  246. system which encrypts information before sending it to buyers, or which
  247. requires buyers  to  digitally  sign  messages  to  you.  We  certainly
  248. wouldn't  recommend  doing this, for all the reasons outlined in detail
  249. above. It would drastically reduce your  sales,  because  only  a  very
  250. small  subset  of  the  Internet  community  is comfortable using these
  251. difficult and complicated security methods. But that's  a  choice  that
  252. you're completely free to make.
  253.  
  254. ------------------------------------------------------
  255.  
  256. Who takes the risk in First Virtual transactions?
  257.  
  258. Ordinarily, the seller takes all risks associated with a First  Virtual
  259. transaction,  including  risks associated with non-payment and currency
  260. fluctuations. The seller is also responsible, as  in  any  transaction,
  261. for complying with any laws associated with the sale, such as tax laws,
  262. obscenity laws, and export restrictions.
  263.  
  264. The risks to the seller are actually very few, with very little  impact
  265. on  business,  revenues,  or  profitability.  Here are the main ones we
  266. foresee:
  267.  
  268.  * Someone might use a First Virtual account identifier  to  try
  269.    to  buy  information  from  you  without  the accountholder's
  270.    consent.
  271.  
  272.  Ordinarily, this will be caught as soon as the  buyer  receives
  273.    our  email  message  asking to confirm the transaction; he or
  274.    she  will  inform  us  that  the  account  was  used  without
  275.    authorization, and the account will be suspended.
  276.  
  277.  * A very small percentage of people  who  download  information
  278.    from  you, review it, and then decline to pay for it may keep
  279.    and use the information anyway.
  280.  
  281.  This will occasionally  happen,  but  as  explained  in  detail
  282.    above,  any  accountholders  who  abuse  your goodwill or our
  283.    system will have their  First  Virtual  accounts  immediately
  284.    suspended.  Fortunately,  the impact on you is virtually nil,
  285.    since it costs you nothing to "manufacture"  a  new  copy  of
  286.    your product.
  287.  
  288.  * Someone may buy and pay for a legitimate copy of one of  your
  289.    information  products, then make copies for all their friends
  290.    without paying you.
  291.  
  292.  This is true, but it's  also  true,  to  a  greater  or  lesser
  293.    extent,  of  information  sold  in  virtually any other form.
  294.    Printed  matter,  recordings,   drawings   and   photographs,
  295.    computer  software -- all of these can be duplicated for very
  296.    low cost even  if  purchased  through  traditional  channels.
  297.    First  Virtual  is  as  subject to these dangers as any other
  298.    method of distribution.
  299.  
  300.  * Some people who agree to buy information from you may  refuse
  301.    to pay their credit card bills, or may dispute the charges.
  302.  
  303.  Anyone who does this will immediately have  his  or  her  First
  304.    Virtual  account  suspended. First Virtual accountholders are
  305.    informed very clearly, and agree, that replying  "YES"  to  a
  306.    message  from  First Virtual asking whether they agree to pay
  307.    constitutes the equivalent of a signed contract to pay, which
  308.    the  buyer's  credit card company can be expected to enforce.
  309.    Eventually, if the buyer continues  to  refuse  payment,  his
  310.    credit card will probably be cancelled.
  311.  
  312. The risks are described in more detail  in  the  SELLING  FAQ  and  the
  313. THEORY FAQ.
  314.  
  315. ------------------------------------------------------
  316.  
  317. What prevents buyers from getting information without paying for it?
  318.  
  319. The short answer is: nothing. In  fact,  if  you're  a  seller,  you're
  320. virtually  guaranteed  that  some  people  will  in  fact download your
  321. information without having any intention of paying for it.
  322.  
  323. However, both First Virtual  and  our  sellers  will  be  keeping  very
  324. careful  track  of  how  frequently  each  accountholder  requests that
  325. information be sent to him in email (or downloads it)  for  examination
  326. and then declines to pay for it.
  327.  
  328. First Virtual will suspend the account of any accountholder who appears
  329. to  be  taking  advantage of our sellers or our system, and sellers may
  330. refuse to do business with any accountholder who they believe is taking
  331. advantage of their goodwill.
  332.  
  333. In particular, First Virtual will cancel  the  account  of  anyone  who
  334. declines to pay more often than we deem acceptable. We have no interest
  335. in harrassing people who are legitimately  using  our  system  for  the
  336. purpose  for  which  it  was  designed  in the first place -- to permit
  337. people to evaluate information, in good faith, before deciding  whether
  338. to  buy  it.  People  in that category are the reason First Virtual was
  339. created. However, there are reasonable  limits,  and  we  will  enforce
  340. them.  (We won't disclose in advance what our limits are, but we'll let
  341. you know if you're getting close.) If  you're  honest,  and  using  the
  342. system for the purpose for which it was intended, we don't think you'll
  343. ever have any problem.
  344.  
  345. If an account is cancelled for reasons such as these, it is  impossible
  346. to create a new First Virtual account using the same credit card as the
  347. underlying  payment  mechanism.  Thus,  a   dishonest   First   Virtual
  348. accountholder  can abuse the system a few times for each credit card he
  349. has, and that's it. (Anyone who can  generate  an  unending  string  of
  350. valid  credit  cards probably has more lucrative prospects for thievery
  351. than information theft on the Internet anyway.)
  352.  
  353. The important point is that if you're going to  sell  information  over
  354. the  Internet,  it  is impossible to protect it from a truly determined
  355. thief, just as a good professional burglar can break  into  nearly  any
  356. home.  Even  with  the strongest encryption, a thief can order one copy
  357. legally and then resell it to his heart's content.  The  First  Virtual
  358. Internet  Payment  System,  like  most  real-world engines of commerce,
  359. acknowledges that there will be a small amount of theft and  takes  all
  360. realistic  measures  to  limit it without making the system excessively
  361. painful for honest people to use. There would be less credit card fraud
  362. if  you  had  to  have a retina scan every time you used your card, but
  363. that doesn't mean this would make credit cards a better  mechanism  for
  364. commerce.
  365.  
  366. We anticipate that some sellers may find  the  level  of  risk  in  our
  367. system  unacceptable.  They are, of course, under no obligation to sell
  368. their information using First Virtual. However, we believe  they  being
  369. unrealistic  if  they  think  that  any  other  mechanism  for Internet
  370. information sales will be fundamentally more secure.
  371.  
  372. ------------------------------------------------------
  373.  
  374. How secure are First Virtual's servers?
  375.  
  376. It is our  intention  to  operate  the  most  secure  machines  on  the
  377. Internet.  To  this  end, we will retain first-rate security expertise,
  378. and stay current or ahead of the state of the art.
  379.  
  380. Beyond this, the "line" between our Internet machines and the financial
  381. networks  (see  the  CASHFLOW FAQ) constitutes the most extreme form of
  382. firewall.
  383.  
  384. For obvious reasons, we are not inclined to detail all of our  security
  385. precautions  here,  but  you can be assured that we have given security
  386. the highest priority in the design and implementation of our system.
  387.  
  388. ------------------------------------------------------
  389.  
  390. How hard is it to impersonate  an  accountholder  and  buy  information
  391. fraudulently using First Virtual?
  392.  
  393. The key authentication mechanism in the First Virtual protocol  is  the
  394. buyer's email-based confirmation of each purchase.
  395.  
  396. To defeat this mechanism requires someone  to  steal  a  First  Virtual
  397. account  identifier; to identify the corresponding email address (which
  398. is  not  public  knowledge,  cannot  be  determined  from  the  account
  399. identifier,  and  will  not  be  released by First Virtual); to know or
  400. guess the account password; to intercept all incoming messages to  that
  401. email  address;  and,  of  course,  to  know  what First Virtual is and
  402. understand what our messages are about and how to respond to them.
  403.  
  404. While this chain of events is conceivable, it  is  in  practice  highly
  405. unlikely,  and  we  are  taking  substantial  precautions  against  the
  406. mechanisms that we have thought of for accomplishing these goals.
  407.  
  408. We think that defeating our system will be several orders of  magnitude
  409. harder  than,  for example, stealing the carbons from credit cards, and
  410. we also think that we will be able to  quickly  detect  any  successful
  411. efforts to compromise our system.
  412.  
  413. ------------------------------------------------------
  414.  
  415. Where can I find out more about First Virtual?
  416.  
  417. The First Virtual GENERAL INFORMATION FAQ is the best place to start if
  418. you  are  looking  for  information  about  First  Virtual. It provides
  419. details about all the FAQ documents  available  via  email,  and  about
  420. additional  information  available  from  our  anonymous FTP and Gopher
  421. servers and our World Wide Web database.
  422.  
  423. To receive a copy of the GENERAL INFORMATION FAQ, send an email message
  424. to  "help@fv.com";  the  GENERAL INFORMATION FAQ will be sent to you by
  425. email automatically. You can also find a copy in other places:
  426.  
  427.  * Connect to ftp.fv.com, our anonymous FTP server, and look  in
  428.    the   directory   /pub/docs   for   the   file  called  "FAQ-
  429.    general.txt".
  430.  * Using Mosaic,  Lynx,  or  another  World  Wide  Web  browser,
  431.    connect  to  our Web page using the URL http://www.fv.com and
  432.    Look for the link to the "Frequently Asked Questions" page.
  433. Here's a summary of other First Virtual FAQ  documents;  to  receive  a
  434. copy by email, send a message to the specified address:
  435.  
  436.  * 1-2-3 FAQ -- Steps for getting started -- 123@fv.com
  437.  * SIGNUP FAQ -- Signing up for an account -- signup@fv.com
  438.  * BACKGROUND  FAQ  --   Our   company   and   our   vision   --
  439.    background@fv.com
  440.  * BUYING FAQ -- Buying information -- buying@fv.com
  441.  * SELLING FAQ -- Selling information -- selling@fv.com
  442.  * INFOHAUS FAQ -- Using the Infohaus -- infohaus@fv.com
  443.  * SECURITY FAQ -- Security issues -- security@fv.com
  444.  * CASHFLOW  FAQ  --  Flow   of   money   in   our   system   --
  445.    cashflow@fv.com
  446.  * PROBLEMS FAQ -- Dealing with problems -- problems@fv.com
  447.  
  448. For  information  in  languages  other  than  English,  send  email  to
  449. "international@fv.com".
  450.  
  451. To help us provide our services to the public at  the  lowest  possible
  452. cost,  please  search  the  FAQs  before  sending  email  to  our human
  453. operators. Thanks for understanding. And welcome to First Virtual!
  454.  
  455.  
  456.  
  457.  
  458.  
  459.  
  460.  
  461.