Der Bundesrat hat heute die Botschaft zur Totalrevision des Bundesgesetzes über die elektronische Signatur (ZertES) veröffentlicht.
Auch wenn bis anhin schon kaum jemand die im Gesetz benannten verschiedenen Signaturen auseinanderhalten kann, soll nun zur elektronischen Signatur, der fortgeschrittenen elektronischen Signatur und der qualifizierten elektronischen Signatur noch die geregelte elektronische Signatur hinzukommen.
Die Forderungen der Digitalen Gesellschaft an die geregelte (und qualifizierte) elektronische Signatur haben wir bereits früher zusammengefasst:
- Die Schlüsselerzeugung muss dezentral geschehen. D.h. man muss ein eigenes Schlüsselpaar erzeugen und dann den öffentlichen Schlüssel von der Zertifizierungsstelle signieren lassen können.
- Die Produkte müssen sich an übliche Standards halten und mit freier Software zu betreiben sein.
- Die Zertifikate müssen auch für die Verschlüsselung verwendet werden können.
Das Verbot von letzterem wird es nun wohl ins Gesetz (Art. 8 Abs. 2 E-ZertES) schaffen.
In Absatz 2 wird neu zusätzlich explizit bestimmt, dass ein qualifiziertes Zertifikat nur für die elektronische Signatur bestimmt ist. Hier handelt es sich wieder um eine Ausnahme vom Grundsatz dieser Revision, dass nur Änderungen vorgenommen werden sollen, die für die genannten Ziele unabdingbar sind. Zurzeit ist diese Vorschrift nur auf der Ebene der technischen und administrativen Vorschriften (TAV, SR 943 .032.1 / Anhang) umgesetzt, indem für das Feld «key usage» ein bestimmter Wert, eben der für die Signatur von Dokumenten, vorgeschrieben wird. Nichttechnische Kreise haben sich immer daran gestört, dass eine so wichtige Einschränkung, die sich offenbar aus technischen Gründen aufdrängt und daher vorerst nur einmal Technikern plausibel erscheint, nicht explizit im Gesetz aufgeführt ist.
Etwas böse ausgedrückt: Man versteht es nicht so ganz. Dafür wird es dann wenigstens direkt ins Gesetz geschrieben.
Doch wirklich um das Vertrauensmodell nach X.509 zu kämpfen, lohnt sich kaum: Hier liegt – auch ohne der NSA – zu viel im Argen.