廿四、
那麼，為什麼這個叫做「信任運算」？我看不出何以我該信任它的理由？

答：
這幾乎是個只有圈內人才聽得懂的行話。在美國國防部，一個被信任的系統或元件，是被定義為：可以危及安全政策的。乍看之下，好像跟我們的直覺想法反其道而行。但我們先別這樣認定。試想，一個負責控管資訊流的防火牆或郵件督檢器，只放行從普通安全等級的一邊往高機密等級的方向流動，一旦控管器失敗，可能導致資訊流不依我們要求的安全政策運作。於是我們將可以具體實現執行資訊安全政策的設備稱之為受信任的。

用生活化的例子來講好了，假設你相信你的醫生保存你的就診記錄。這表示他有權力可以開啟看到你的個人記錄，於是這醫生身上就有著將這些記錄外流的風險。你不需要信任我Anderson來保護你的就診記錄，因為我手上根本沒有這些文件。不管我喜歡你或我討厭你，我對你所要求的安全政策，一點都無法做出危害。而你的醫生可以。

這表示，你所信任的，能對你做出傷害。無論惡意或不小心。即便全世界只有這一個醫生，即便你覺得他為人正直…

美國國防部的定義，完全揚棄了這些模糊的情感性、主觀性的信任層面，純就實質效果來討論。

記得在1990年代，人們還在吵著政府對密碼學的管制時。Al Gore 這個人倡議一個「受信任的第三者組織」，它可以提供保管個人金鑰的安全服務。萬一你（或國安局）想要你自己的金鑰時，找它拿就對了。這名詞可以算是從東德在蘇聯掌控下，國家卻被命名為「民主共和…」一樣地有市場行銷的小聰明。但它真正的本質，即是美國國防部所定義的：你所信任的第三者意即是一個可以傷害你安全的第三者。