Glossary M~Z

Malware 惡意軟體

對所有惡意軟體的統稱用語，其包含了病毒、間諜軟體、木馬程式以及其它威脅。

Man-in-the-middle attack (MITM) 中間人攻擊(MITM)

假設你認為自己正在和朋友 Bahram 透過加密的即時通訊在聊天。要確認是否真的是那位Bahram，你也許可以問他你們初次認識見面在哪個城市。他的答案是”Istanbul”，這是正確的答案。不幸的是，你和 Bahram 都無法知道，線上某些人可以攔截你們之間的通訊。當你初步和Bahram建立通訊時，你卻實際是與第三人連線，而對方再與Bahram連接。 篇所以當你以為自己是在向Bahram提出一個確認身份的問題，第三者收到了你的問題訊息，並轉之將該問題傳給 Bahram，等接收到答案後，第三人再把答案回傳給你。即便你以為和 Bahram之間的通訊是加密安全的，事實上你只是和這名中間人間諜之間進行了安全的通訊，且對方也正與Bahram進行安全訊訊！這就是所謂的中間人攻擊，中間人可以監視通訊甚至傳送虛假的誤導訊息到你的通訊裏。重視安全的互聯網通訊軟體必須要防衛這種中間人攻擊，以避免有人要來利用控制互聯網的通訊。

Master password 主要密碼

用來解鎖儲存其它密碼儲存或其它解開程式、訊息的密碼，最好盡量讓主密碼的強度高一點。

Metadata 詮釋資料

詮釋資料 (或稱 “有關資料的資料”) 是一小塊包含許多材料的資訊，但又與資訊本身分離。 換言之，訊息內容並不是詮釋資料，但由誰傳送、何時、何地、接收者是誰等則是詮釋資料。法律系統往往只保護內容而少顧及詮釋資料，例如在美國執法者需要法院搜索票才能監聽電話，但要取得通聯記錄則容易得多。然而詮釋資料往往可以揭示許多重要資訊，因此如同其所描述的資訊也該受到保護。

Mnemonic device 記憶方式

簡單小技巧以協助記住複雜的密碼。

NoScript

Firefox 瀏覽器上的外掛用來保護遠離從陌生網頁上出現的惡意程式。

Obscuracam

Android 手機上的自由軟體應用，可以模糊照片中的人臉以保護人們的身份。

Off-the-Record 不留記錄 (OTR)

即時通訊往往未經加密， OTR 則是對它們的一種加密方式，讓用戶可以繼續使用熟悉的網路如Facebook chat、 Google Chat 、 Hangouts、 Microsoft Messenger 但讓這些即時訊息通訊更能抵抗監控。

One-time password 一次用密碼

密碼通常是半永久的：一旦建立後，可以繼續使用直到手動來變更或重設密碼。一次用密碼則僅能使用一次。某些一次密碼系統透過工具或程式來建立多組的一次用蜜碼，好讓用戶輪流使用。 如果在輸入密碼時擔心系統中有鍵盤側錄監控，這倒是不錯的方法。

Operating system 作業系統

在電腦上執行所有程式的程式，如 Windows, Android and Apple’s OS X 與 iOS 都是作業系統的例子。

Orbot

安卓手機上的一款應用程式，它如同Orweb， Gibberbot能夠連結到Tor網路。

Orweb

為 Android 手機上開源自由的網頁瀏覽器，其搭配 Orbot 可透過Tor 網路來瀏網。

Out-of-band verification 带外驗證　

「带外」表示在目前方法以外的任何通訊方式。透由不安全的通訊系统來查驗正在談話對像的身份，通常需要利用其它不易受到同種攻擊的方式進行。例如，在使用加密電子郵件之前，可以透過親自與對方直接交談來檢查是否使用其正確的公鑰。

Passive adversary 被動敵對者

被動敵對者指指的是某人可以監聽通訊但不能直接地竄改通訊內容。

Passphrase 密語

密語可視為密碼的一種，而使用「密語」一辭來表示通常密碼會太過短無法保護而密語則會多於58個字元，其效果更佳。

Password manager　密碼管理工具

加密和儲存密碼的工具，它使用主密碼來操作管理不同網站與各式服務的不同的密碼，讓用戶不必記住每一個密碼。　

Peacefire

免費電子報，訂戶可收到最新規避網路審查封鎖的代理清單的相關訊息

PGP

PGP 或全名 Pretty Good Privacy 是初次運作公鑰密碼的産物之一。它的作者，Phil Zimmermann, 於 1991 發表這套程式來協助其它社會運動人士等人來保護自己的通訊安全。當這套程式傳佈到國外後，美國政府曾正式地調查 Phil Zimmermann。當年，出口公鑰加密技術是違反了美國法令。PGP 繼續以商用軟體産品存在，而利用 PGP 基本標準來執行的自由l軟體版本則是 GnuPG (or GPG) 。因為這二個用法常常互用互換，人們即便使用的是GnuPG，仍習慣用 “PGP 金鑰 “ 或 “PGP 訊息”等說法。

Physical threat　物理威脅

在這種情況下，對敏感資訊的任何威脅可能來自於其它人可以接近直接使用你的電腦硬體，或是其它物質上的風險，如遇到破壞、意外或是天災。

Pidgin

自由開源的即時通訊工具，可支援加密外掛 Off the Record (OTR)

Proprietary software　封閉軟體

與自由開源軟體(FOSS)相反，這類程式軟體通常是商用，但也有些是免費但有限制使用許可要求。

Protocol　協議

通訊協議是電腦或程式之間傳送資料的一種方式。軟體程式如使用相同的協議就可以互相通話：因此網頁瀏覽器與網頁伺服器採的同一種協議，稱之為 “http”。有些協議會使用加密來保護其內容。安全版本的 http 協議稱之為 “https “。另一個利用加密協議的例子是許多程式所採用 OTR (Off-the-Record), 它是用於安全的即時通訊。

Proxy　代理

一個中介服務透過它用戶可以引導互聯網的部份或全部通訊透過它，以用來規避網路審查。. 代理器可能是公開或是須透過帳號密碼來登入使用。只有某些代理是安全的，它們會使用加密來保護用戶隱私，用戶電腦與互聯網服務之間的資訊如通過代理則會受到保護。

Public key encryption　公鑰加密

傳統的加密系統使用同一支密鑰來進行訊息的加密和解密。因此如果使用密碼”bluetonicmonster”來加密某個檔案，則需要同時持有該檔案與知道”bluetonicmonster”密碼來進行解密。而公鑰加密則有二支密鑰：一個是用來加密，另一個則用在解密。這會産生很有用的結果，它表示用戶可以交出用來加密的金鑰，而只要自己好好地保持私鑰，則可以安全地和別人進行通訊聯絡。 可以公開交出的密鑰被稱之為 “公鑰”：其技術如同其名。公鑰加密用於透過Pretty Good Privacy (PGP) 加密電子郵件或檔案，而 OTR 則用於即時通訊，SSL/TLS 用於網頁瀏覽。

Revocation certificate　撤銷證書

若遺失私鑰或是他人取得私鑰，那該怎麼辦呢？撤銷證書是一個檔案用來對外公告原私鑰所有者已不再信任使用此金鑰了。當仍有私鑰時可以製作一個撤鎖證書檔案，並好好保存以防未來之不測。

RiseUp

一個由社運人士所經營的電郵服務，其提供安全的讀取環境，用戶可透過網頁或郵件軟體如 Mozilla Thunderbird來使用。

Risk analysis　風險分析

在電腦安全上，風險分析是計算威脅可能會成功的機率，好讓用戶知道值得花多少心力來防禦。有許多方式會讓人無法控制或不能讀取自己的資料，但其中也有程度的不同。風險分析評估意指決定哪些威脅決定要認真應對，而哪些較無害(或是太難以攻克)而不必太過擔憂。

Risk analysis　風險分析

在電腦安全上，風險分析是計算威脅可能會成功的機率，好讓用戶知道值得花多少心力來防禦。有許多方式會讓人無法控制或不能讀取自己的資料，但其中也有程度的不同。風險分析評估意指決定哪些威脅決定要認真應對，而哪些較無害(或是太難以攻克)而不必太過擔憂。

Rooting

Android 手機上功能解鎖的過程，其一般製造商或行動電信業者會封鎖一些功能，透過 Rooting 可以取得近用作業系統的超級管理員權限。

Router　路由器

一種網路設備透過它電腦可以連上本地網路或是不同的本地網路可以接取互聯網。交換器、閘口和集線器執行類似功能，一如無線接取入點都是用於電腦網路的設備。

Secure password database　安全密碼資料庫

可加密與儲存密碼，並利用主密碼進行管理的資料庫工具

Secure Sockets Layer　(SSL)　安全封包層協定

這個技術可以維持個人電腦與某些網站、互聯網服務之間安全、加密的連線。當透過 SSL 連上某個網站時，其網址的開頭為 HTTPS 而不是 HTTP.

Security cable　安全鏈條

一種可鎖的鏈條用於安全地保護電腦或其它硬體，如外接硬碟、桌上型電腦等可以綁在牆或桌子上，以防止遭到任意移動。　

Security certificate　安全憑證

安全的網站或其它互聯網服務以加密方式來證明他們的確為所宣稱主張的身份。為了讓瀏覽器可以接受安全憑證為有效，該網站服務必須從可信任的組織付費購買一個數位簽名。因為要花錢，有些網站營運者不願或不能花這筆錢，所以訪客訪問某些服務時會遇上安全憑證出錯的情況。

Security policy　安全政策

白紙黑字的文件，講述了組織如何能保護自己遠離各式威脅。它通常包含了一份步驟清單來處置一些安全相關事件的情況。

Security question　安全問題

為補強密碼，有些系統會使用「安全問題」，這類問題通常假設只有當事者知道答案。安全問題的麻煩是它們可能為潛在容易猜出的答案，因此建議最好把它視為另一個密碼：建立一個長、隨機的片語作答案，並將之好好保存。當下回銀行詢問你母親的娘家姓，你會巧妙地回答 “Correct Battery Horse Staple” 等類似的答案。

Server　伺服器

連到互聯網的電腦設備，其可以提供某些服務例如架設網頁主機或是傳送接收電子郵件給其它的電腦。

SIM card　SIM 卡

抽取式的小卡片，可以插入手機以提供特定電信公司的服務。SIM 卡也可以儲存電話號碼跟文字簡訊。

Skype

免費的網路電話 (VoIP) 工具可用與其它 Skype 用戶免費通話或是撥打付費電話。營運 Skype 的公司宣稱 Skype 用戶間的通話有經過加密。但因為它封閉碼源，外人也無法證實這種說法。許多人則相信其稱為實。 Skype 也支援即時通訊。

SMTP settings　SMTP 設定

SMTP 為電腦之間傳送郵件的方式。大多數的郵件軟體可以為郵件傳送軟體與郵件伺服器之間設定訊息加密，即透過 變更郵件軟體的’ SMTP 設定 (只要使用的郵件服務有支援 SMTP )

Solid State Drive (SSD)　固態硬碟

過去電腦把資料存在旋轉磁性的碟片上。行動設備與越來越多的個人電腦現在則改把東西儲存在永久的非移動式驅動上。這些固態硬碟儲存目前更昂貴，但其效率比磁性硬碟要快。不幸的是，要從固態硬碟上永久的移除資料也更為困難。　

Source code　源代碼

由電腦程式寫成的底層碼，可讓軟體來被建立。某個工具的源代碼會揭示它的工作情況以及其是否安全或含有惡意程式。

Spybot

免費的反惡意軟體，可用來協助掃描與移除電腦上的間諜軟體。

• Steganography: 任何用來偽裝成敏感資訊的方式，讓原資訊變成看似其它東西，來避免引起它人不必要的關注。　

SSH

SSH (安全 SHell) 是透過文字指令介面來安全地控制連線到遠端電腦。 SSH 協定的特色之是送出指令，也可以利用它來安全地中繼兩台電腦之間的互聯網流量。要設定 ssh 連結，遠端系統需要操作成為lssh 伺服器，而你的本地端機器則須有 ssh 客戶端軟體。　

Swap file

一支電腦上的檔案，其資訊當中有些可能是敏感的東西，通常存起來以改善電腦執行效能。

Terminal 終端機

在古早的電腦史上，終端機是一套鍵盤與螢幕專門系統可讓使用者連上一個伺服器。近來，它指稱的更多是一個透過文字指令行與本地或遠端電腦通話的應用程式。　

Textsecure

開源自由免費的安卓手機應用程式，可以執行文字訊息的加密和儲存。

• Thunderbird: 開源自由免費的電郵軟體，其有多項安全特色，包括支援Enigmail 加密的附加功能。

Threat model 威脅模型

如何整理欲保護資料的精細思考方式，因為不可能對每一種技巧或攻擊者都能採取全面嚴格的保護，所以應該聚焦在某些潛在的對像，理解他們想要取得什麼以及如何取得的方法，然後發展出一組可以防護潛在攻擊的方式，即稱之為威脅模型。一旦建立出一套威脅模型，接下來可利用來進行風險分析。

Throwaway address

一種只用一次臨時性電郵地址，用於註冊某些網路服務而不必揭示連結自己真實的身份。

Tor

它是一套匿名的網路工具可讓用戶躲避網路審查與隱藏用戶訪問了哪些網站和相關服務的監控反制，它也可以用來隱匿自身真正的位置地址。

Traffic-blocking browser extension 流量封鎖延伸套件

訪問你某個網站時，瀏覽器會送出一些資料給網站的營運者 – 你的 IP 地址、有關電腦的一些資料以及之前瀏使用相關瀏覽器來訪的 cookies 等等。如果網站含有來自其它網頁伺服器的圖片與內容，這些同樣的資料也會被送到其它網站以便下載或檢視其內容。廣告內容、流量分析或其它數據收集者會利用這個方法來收集你的資料。用戶可以安裝其它的軟體在瀏覽器上以限制這些資料流出給第三方。 最常見為人所知的例子是廣告封鎖。EFF 提供了 Privacy Badger 則是另一款流量封鎖延伸套件。

Transport encryption

可加密流上網路的資料，這樣其它監控網路狀況者就無法讀取。

TrueCrypt

一套開源自由的檔案加密工具可讓人安全地儲存敏感資訊。

Two-factor authentication 二因素驗證

“知道某事，持有某物”登入系統僅要求帳號和密碼，其風險為他人取得（或猜到）這些資訊就可以加以破壞。有些服務提供二因素驗證，要求需有另外的確認帳號的方式。二因素驗證 可能是一次用的密碼，由手機上應用軟體産生的一組數字，或是攜帶的設備用來確認你的身份。銀行或是主要的互聯網服務商如 Google, PayPal and Twitter 現在都有提供二因素驗證。

Undelete Plus

可協助重建某些意外遭到刪除資訊的免費工具。

Uninterruptable Power Supply (UPS) 不斷電系統

在失去電力供應時，可讓重要的電腦硬體繼續運作或是平順地關機的設備。

VautletSuite 2 Go

免費的電郵加密程式。

Virtual Private Network 虛擬私人網路 VPN

虛擬私人網路用來安全連結個人電腦到一個組織的內部網路中。 使用虛擬私人網路時，電腦所有的互聯網通訊會被打包在一起，經過加密之後中繼到其它組織再行解密、折解地送到目的地。對於該組織的網路或任何互聯網路的某台電腦而言，它就像使用者電腦的請求是來自於該組織內部，而不是原電腦的位置。虛擬私人網路在商業上用於提供安全的互聯網接取資源 (如檔案伺服器或印表機)。而個人也利用虛擬私人網路來繞過本地的審查或對抗本地的監控。 　

Voice over IP (VoIP) 網路電話

這個技術能讓使用者利用網路與其它使用者來進行語音通訊和通話

Web-based proxy 網頁代理

可讓用戶連上其它被屏蔽或封鎖網站的網頁服務。一般而言，網頁代理會請用戶打入一個網址(URL) ，然後再重新在代理頁上指向這個網頁地址。這通常比其它規避審查的服務更為容易使用。

Web browser 網頁瀏覽器

用來觀看網站的應用程式，如Firefox, Safari, Internet Explorer ,Chrome A都是網頁瀏覽器，而智慧手機內鍵的網頁瀏覽器也是為了相同的目的。

Whitelist

可以連上使用的網站或網路服務清單，而其它網站則可能會被自動屏蔽。

Windows Phone

由微軟開發的智能手機系統

Wiping 清除

安全而永久地清除資訊的過程

XMPP

網路即時通訊的開放標準 - Google 使用 XMPP 作為其聊天軟體Google Chat; Facebook 一度曾提供此套通訊標準後來停止了。非企業公司的獨立即時通訊服務通常會採用XMPP。而像WhatsApp 這類的服務則有他們自己封閉商業祕密的協議。

Your-Freedom

免費的工具利用連上私有代理來躲開過濾審查。如果Your-Freedom設定適當，這些代理連線受到加密以保證通訊的私密安全。

Zero day 零日

存在於軟體或硬體上，原製造開發者尚未知道的缺陷，在製造開發者知道此問題並修復前，攻擊者可以利用此弱點來達成其目的。