Có lẽ vấn đề quan trọng nhất và hay đƣợc tranh luận nhiều nhất trong luật chữ ký số là việc ngƣời nào phải chịu trách nhiệm pháp lý và phải chịu mức độ nhƣ thế nào đối với các thiệt hại do tin cậy các chứng chỉ sai sót. Ngƣời phải chịu trách nhiệm pháp lý chính là các CA, các thuê bao và các thành viên tin cậy vào các
78
chứng chỉ sai sót. Khi CA phát hành một chứng chỉ, CA là mục tiêu đầu tiên đối với các khiếu kiện. Gánh nặng này có thể đƣợc chia sẻ cho các thành viên khác (ở mức độ nào đó). Hai câu hỏi quan trọng đƣợc đặt ra cho vấn đề này là trƣớc tiên, có nên chia nhỏ trách nhiệm pháp lý cho tất cả các thành viên hay không, thứ hai, nếu chia nhỏ thì tiến hành nhƣ thế nào?
Thừa nhận rằng, PKI có đủ khả năng xúc tiến thông qua các luật chia nhỏ trách nhiệm pháp lý, sau đó vấn đề chỉ còn là lƣợc đồ chia nhỏ hiệu quả nhất có khả năng hỗ trợ triển khai PKI và phân chia công bằng các rủi ro nhƣ thế nào. Luật của Utah đã đƣa ra một mô hình ban đầu, trong đó một CA (đƣợc cấp phép) tuân theo tất cả các yêu cầu cần thiết của luật để tránh các thiệt hại và các trách nhiệm pháp lý khác nằm ngoài các giới hạn tin cậy đã đƣợc công bố trong chứng chỉ.
Một CA được cấp phép:
(a)Không phải chịu trách nhiệm đối với bất kỳ mất mát nào là hậu quả của việc tin cậy một chữ ký số bị lỗi hoặc bị làm giả một khi CA đã tuân theo tất cả các yêu cầu cần thiết của phần này;
(b)Không phải chịu trách các nhiệm pháp lý ngoài các trách nhiệm đƣợc xác định trong chứng chỉ, chẳng hạn nhƣ:
(i) mất mát do tin cậy vào một biểu diễn sai trong chứng chỉ, chính vì vậy cần sử dụng CA để xác nhận; hoặc:
(ii) không tuân theo các nguyên tắc về phát hành chứng chỉ;
(c)Chỉ phải chịu trách nhiệm pháp lý đối với các thiệt hại trực tiếp, đền bù trong bất kỳ hoạt động nào nhằm khôi phục lại mất mát do tin cậy chứng chỉ, các thiệt hại không bao gồm:
(i) các thiệt hại nhằm trừng phạt hoặc cảnh cáo; hoặc:
(ii) các thiệt hại do mất lợi nhuận, tiền tiết kiệm hoặc cơ hội; hoặc: (iii) thiệt hại do nỗi đau tinh thần và thể xác.
79