Việc triển khai và sử dụng có hiệu quả các PKI (đặc biệt trong lĩnh vực thương mại điện tử) phụ thuộc vào việc giải quyết tình trạng pháp lý không rõ ràng. Chẳng hạn, phụ thuộc vào việc giải quyết các vấn đề kỹ thuật. Nhiều luật sửa đổi bổ sung có thể giải quyết hiệu quả một số tình trạng pháp lý không rõ ràng. Thêm vào đó, các khởi xướng riêng có thể quy định cơ sở hạ tầng có tổ chức, dùng cho việc triển khai kỹ thuật khoá công khai.
Tuy nhiên, giải pháp phù hợp nhất cho việc giải quyết tình trạng pháp lý không rõ ràng và các yêu cầu của cơ sở hạ tầng là ban hành các luật thích hợp. Tối thiểu, luật chữ ký số phải quy định được: các truyền thông điện tử và các bản ghi được ký số là hợp pháp và có hiệu lực như các tài liệu được ký truyền thống. Luật chữ ký số không chỉ đưa ra tính hợp lệ và giá trị dựa trên bằng chứng của tài liệu được ký số, mà còn thiết lập các chế độ quản lý PKI hợp pháp toàn diện, có thể giải quyết các vấn đề như trách nhiệm pháp lý, các kho lưu giữ và chất lượng của CA.
Tại Mỹ, Utah là bang đầu tiên ban hành luật chữ ký số, tiếp theo là bang Canifornia. Sau đó, nhiều bang của Mỹ đã ban hành luật chữ ký số hoặc đưa ra một số các đề xuất về luật chữ ký số. Một số nước khác cũng đã ban hành luật chữ ký số, ví dụ như Đức, Đan mạch và ý.
2.7.1 Công nghệ
Một số luật và các đề xuất liên quan tới "chữ ký" chỉ quan tâm đến mục tiêu của mật mã khoá công khai hoặc PKI. Các đề xướng như vậy quy định công nhận pháp lý và sự tuân thủ đối với truyền thông có các kiểu chữ ký điện tử đi kèm, trong đó có các chữ ký số. Đôi khi, các hoạt động và các đề xuất như vậy được mô tả như là
technology-neutral.
Ngược lại, việc ban hành luật technology-specific (ví dụ như mật mã khoá công khai) cho phép liên kết chi tiết về mặt pháp lý, lập chính sách trong bối cảnh những khả năng đã biết, hoặc các điểm yếu của công nghệ cụ thể. Ví dụ, một hệ thống khoá công khai thực hiện chức năng đơn thuần, quy định một mức tin cậy cao đối
với việc xác thực của các thành viên tham gia truyền thông, tính toàn vẹn của thông báo và có thể cả tính tin cậy.
Ban hành luật (đưa ra các PKI một cách chính xác và đầy đủ) cũng có thể cung cấp các giả định có bằng chứng để liên kết một thông báo (được ký bằng khoá riêng) với một tổ chức và có thể tạo ra cơ sở hạ tầng pháp lý cần thiết nhằm hỗ trợ chống chối bỏ. Nói cách khác, ban hành luật technology-neutral cho phép những người điều chỉnh luật linh hoạt hơn, phù hợp với các giải pháp an toàn, bao gồm các công nghệ mới và các công nghệ này có thể được phát triển trong tương lai, thị trường sẽ chấp nhận các công nghệ thích hợp nhất.
2.7.2 Phạm vi và chi tiết
(a)Những người làm chính sách tán thành các cách tiếp cận khác nhau đối với phạm vi và chi tiết trong luật chữ ký số. Ví dụ, một số nhà làm luật và các học giả cho rằng luật chữ ký số không nên quá chi tiết làm nó trở nên nặng nề. Ngược lại, nó nên quy định một cách ngắn gọn (tiếp cận tối thiểu) sự hợp lệ của các tài liệu điện tử và có thể uỷ quyền làm luật cho một thực thể quản trị thích hợp. Thêm vào đó, một số nước lựa chọn để đưa ra các luật mà chỉ giới hạn trong các nội dung thuộc lĩnh vực công khai.
Tiếp cận tối thiểu có thể làm cho công nghệ trở nên mềm dẻo hơn và đáp ứng các luật mới. Tuy nhiên, tiếp cận tối thiểu có thể bỏ qua nhiều yêu cầu quan trọng. Ví dụ, hạn chế hiệu quả của việc ban hành luật chữ ký số trong các hoạt động thuộc lĩnh vực công khai, hoặc các tác động qua lại giữa các thành viên bí mật và công khai, rõ ràng là hạn chế lợi ích, có thể bỏ qua các rào cản quan trọng và các vấn đề không được giải quyết. Kỹ thuật chữ ký số còn mới và phức tạp, do vậy các luật hiện hành nên quy định một "khung hợp pháp thích hợp" nhằm thiết lập một PKI đáng tin cậy, việc thiết lập này cần được phối hợp và kiểm soát. Cần bổ sung thêm các vấn đề pháp lý thiết yếu (ví dụ như chia nhỏ trách nhiệm pháp lý), chứ không phải chỉ có tính hợp lệ của một chữ ký số.
Ngược lại với tiếp cận tối thiểu, tiếp cận toàn diện hình thành một luật, luật này bao trùm lên nhiều khía cạnh của vấn đề, chi tiết hơn và khả năng ứng dụng rộng hơn. Tiếp cận toàn diện được luật chữ ký số của Utah tóm tắt, phác thảo như sau:
Phần 1. Đề mục, giải thích và các định nghĩa Phần 2. Cấp phép và dự luật của các CA Phần 3. Trách nhiệm của CA và thuê bao Phần 4. Hiệu lực của một chữ ký số
2.7.3 Các văn bản và chữ ký
Yêu cầu tối thiểu đối với luật chữ ký số là công nhận tính hợp lệ và làm cho nó hiệu lực đối với (ít nhất) một kiểu thông báo điện tử nào đó. Các kiểu chữ ký điện tử và chữ ký số được sử dụng để phê chuẩn hợp pháp các bản ghi và các giao dịch. Mục 401, 403, 404 trong luật của Utah là các nguyên tắc điển hình:
Mục 401. Thoả mãn các yêu cầu chữ ký. (1) Với luật yêu cầu chữ ký, hoặc đưa ra hậu quả nào đó của việc thiếu chữ ký, chữ ký số có thể đáp ứng được yêu cầu này nếu:
(a)Chữ ký số được kiểm tra bằng cách sử dụng khoá công khai (có trong một chứng chỉ hợp lệ do một CA có đăng ký phát hành);
(b)Chữ ký số này được người ký tạo ra cho thông báo; (c)Người nhận không:
(i) làm thay đổi trách nhiệm của người tạo ra chữ ký số; (ii) có khoá riêng để thay đổi chữ ký số.
Mục 403. Tài liệu được ký số. (1) Một thông báo hợp lệ và có hiệu lực như khi nó được thảo thành văn bản (trên giấy) nếu nó:
(a)Chứa toàn bộ chữ ký;
(b)Chữ ký số này được kiểm tra bằng cách sử dụng khoá công khai trong chứng chỉ và chứng chỉ này:
(i) được một CA có đăng ký phát hành;
(ii) nó hợp lệ tại thời điểm chữ ký số được tạo ra.
Mục 404. Các thông báo ban đầu được ký số. Một bản sao của thông báo được ký có hiệu lực và hợp lệ như thông báo ban đầu.
2.7.4 Chất lượng và các chuẩn của CA
Việc triển khai công nghệ chữ ký số có thành công hay không, phụ thuộc phần lớn vào các hỗ trợ. Vì vậy, luật nên thiết lập một cơ sở hạ tầng pháp lý cho các CA, bao gồm các quy tắc và các chuẩn về chất lượng, kho lưu giữ và trách nhiệm pháp lý. Luật chữ ký số (ví dụ luật của Utah) cố gắng đưa ra chất lượng của CA bằng cách giới hạn việc cấp phép của các CA cho các thực thể thuộc chính phủ, những người được uỷ quyền đại diện trước toà, các cơ quan tài chính và những người được uỷ thác khác. Tuy nhiên, hầu hết các luật và các đề xuất thừa nhận rằng, các giới hạn như vậy loại trừ không thích hợp phần lớn công nghệ thông tin. Vì vậy, họ không giới hạn việc cấp phép cho các thành viên như trên. Thêm vào đó, các nhà làm luật quan tâm đến việc luật có nên yêu cầu cấp phép trong phạm vi quyền hạn, hoặc đơn
giản chỉ cung cấp đặc quyền giữa các nước cấp phép cho các CA. Như một sự lựa chọn, nhiều nước quan tâm đến lợi ích của việc công nhận các CA quốc gia nhằm đảm bảo một giải pháp cụ thể phù hợp, từ đó có thể xác định chất lượng và thẩm quyền của các CA.
Các quy tắc và các chuẩn đặc trưng hỗ trợ việc sử dụng các hệ thống tin cậy, công bố và đưa ra các tài liệu về chính sách và các hoạt động, sở hữu bản ghi, các biểu diễn và các đảm bảo mà một chứng chỉ có thể có, huỷ bỏ, treo và kết thúc các chứng chỉ.
2.7.5 Các chuẩn về thuê bao
Luật chữ ký số (thiết lập các cơ sở hạ tầng khoá công khai) có thể nêu các trách nhiệm và các quy tắc áp dụng cho các thuê bao, cũng như các CA. Ví dụ, trách nhiệm của các thuê bao khi sử dụng các hệ thống tin cậy là giữ bí mật các khoá riêng, treo hoặc huỷ bỏ nếu một trong các khoá riêng của họ bị lộ.
2.7.6 Chia nhỏ trách nhiệm và pháp lý
Có lẽ vấn đề quan trọng nhất và hay được tranh luận nhiều nhất trong luật chữ ký số là việc người nào phải chịu trách nhiệm pháp lý và phải chịu mức độ như thế nào đối với các thiệt hại do tin cậy các chứng chỉ sai sót. Người phải chịu trách nhiệm pháp lý chính là các CA, các thuê bao và các thành viên tin cậy vào các chứng chỉ sai sót. Khi CA phát hành một chứng chỉ, CA là mục tiêu đầu tiên đối với các khiếu kiện. Gánh nặng này có thể được chia sẻ cho các thành viên khác (ở mức độ nào đó). Hai câu hỏi quan trọng được đặt ra cho vấn đề này là trước tiên, có nên chia nhỏ trách nhiệm pháp lý cho tất cả các thành viên hay không, thứ hai, nếu chia nhỏ thì tiến hành như thế nào?
Thừa nhận rằng, PKI có đủ khả năng xúc tiến thông qua các luật chia nhỏ trách nhiệm pháp lý, sau đó vấn đề chỉ còn là lược đồ chia nhỏ hiệu quả nhất có khả năng hỗ trợ triển khai PKI và phân chia công bằng các rủi ro như thế nào. Luật của Utah đã đưa ra một mô hình ban đầu, trong đó một CA (được cấp phép) tuân theo tất cả các yêu cầu cần thiết của luật để tránh các thiệt hại và các trách nhiệm pháp lý khác nằm ngoài các giới hạn tin cậy đã được công bố trong chứng chỉ.
Một CA được cấp phép:
(a)Không phải chịu trách nhiệm đối với bất kỳ mất mát nào là hậu quả của việc tin cậy một chữ ký số bị lỗi hoặc bị làm giả một khi CA đã tuân theo tất cả các yêu cầu cần thiết của phần này;
trong chứng chỉ, chẳng hạn như:
(i) mất mát do tin cậy vào một biểu diễn sai trong chứng chỉ, chính vì vậy cần sử dụng CA để xác nhận; hoặc:
(ii) không tuân theo các nguyên tắc về phát hành chứng chỉ;
(c)Chỉ phải chịu trách nhiệm pháp lý đối với các thiệt hại trực tiếp, đền bù trong bất kỳ hoạt động nào nhằm khôi phục lại mất mát do tin cậy chứng chỉ, các thiệt hại không bao gồm:
(i) các thiệt hại nhằm trừng phạt hoặc cảnh cáo; hoặc:
(ii) các thiệt hại do mất lợi nhuận, tiền tiết kiệm hoặc cơ hội; hoặc: (iii) thiệt hại do nỗi đau tinh thần và thể xác.