Das Gesetz aus dem Jahr 2003 ist aktuell einer Totalrevision unterworfen, da es für die bisherige qualifizierte elektronische Signatur nur wenige Anwendungsmöglichkeiten gegeben hat – und man dort wo man sie gerne verwendet hätte, nicht durfte.
Auch wenn bis anhin schon kaum jemand die im Gesetz benannten verschiedenen Signaturen auseinanderhalten kann, soll nun zur elektronischen Signatur, der fortgeschrittenen elektronischen Signatur und der qualifizierten elektronischen Signatur noch die geregelte elektronische Signatur hinzukommen.
Doch zuerst zur qualifizierten elektronischen Signatur: Sie ist der handschriftlichen Unterschrift gleichgestellt und kann eine gesetzlich vorgeschriebene Schriftform ersetzen. Die Produkte, mit welchen solche hergestellt werden können, sind unter dem Begriff SuisseID seit einigen Jahren erhältlich.
Da diese sehr strengen Regeln unterworfen sind, wurden sie kaum verwendet: Die Signaturen können z.B. nur von natürlichen Personen und nicht automatisiert angebracht werden. Die SuisseID ist ausschliesslich für elektronische Signaturen zugelassen. Und sie kann nicht von Behörden verwendet werden.
Mit der weniger strengen geregelten elektronischen Signatur soll diesen Kritikpunkten Rechnung getragen werden.
Die zusätzlichen Forderungen der Digitalen Gesellschaft an die geregelte (und qualifizierte) elektronische Signatur sind:
- Die Schlüsselerzeugung muss dezentral geschehen. D.h. man muss ein eigenes Schlüsselpaar erzeugen und dann den öffentlichen Schlüssel von der Zertifizierungsstelle signieren lassen können. Nur so ist gesichert, dass der geheime Schlüssel wirklich geheim ist. Das vorgeschlagene Bundesgesetz lässt das zu. Die Zertifizierungsstellen hingegen, bestehen aktuell darauf, dass sie Schlüsselpaar, Chipkarte etc. selber herstellen.
- Die Produkte müssen sich an übliche Standards halten und mit freier Software zu betreiben sein.
- Die Zertifikate müssen auch für die Verschlüsselung verwendet werden können.
Die Vernehmlassungsfrist läuft noch bis Ende Juni.