Vedi Webtrust per un'introduzione su ciò che viene solitamente fatto con CA.
Un punto fondamentale è che in molti paesi le banche devono conformarsi alle normative esistenti applicate da amministrazioni dedicate. Tali regolamenti e sistemi sono ancora nascenti nel caso delle autorità di certificazione e delle firme digitali; quindi la situazione non è ancora stata chiarita. Ci si può aspettare che a un certo punto emergano controlli comuni (tornare indietro in 40 anni circa ...).
Nel frattempo, ogni attore nel business delle firme avrà i propri requisiti e impegni contrattuali. Ad esempio, Microsoft, nel loro Programma di certificazione root , elenca una serie di requisiti, tra cui:
The CA must complete an audit and submit audit results to Microsoft every twelve (12) months. The Audit must cover the full PKI hierarchy that will be enabled by Microsoft through the assignment of Extended Key Usages (EKUs). All certificate usages that we enable must be audited periodically. The audit report must document the full scope of the PKI hierarchy including any sub-CA that issues a specific type of certificate covered by an audit. Eligible audits include:
In ogni caso, l'obiettivo ultimo per un sistema di firma digitale è ripristinare l'onere della prova : se c'è una controversia tra due parti A e B , A sostenendo che una determinata firma (presumibilmente da B ) lega B , mentre B finge che la firma è falsa (o potrebbe essere stata falsificata, quindi non può essere considerata vincolante), quindi il sistema di firma digitale è "strong" se il giudice stima che spetti a B dimostrare la potenziale somiglianza di la firma, mentre A può semplicemente sedersi e guardare. Tutti i controlli, i regolamenti, i controlli e le strutture InfoSec sono mezzi con cui questo obiettivo può essere raggiunto, all'interno di un quadro giuridico che:
- dipende dalla giurisdizione e
- non esiste ancora (o non completamente) in molte giurisdizioni.