Eine steigende Zahl von Behörden aber auch Unternehmen und sogar die Piratenpartei bieten oder verlangen mittlerweile die Authentifizierung mittels Bürgerkarte oder Handy-Signatur.
Entgegen §2 (3) c Signaturgesetz bestehen bei diesen Systemen jedoch schwerwiegende und grundlegende Sicherheitsmängel.
So wird das ECDSA-Schlüsselpaar auf der Bürgerkarte nicht erst beim Anwender generiert sondern bereits auf der Karte ausgeliefert und bei der Aktivierung nur noch durch ein Zertifikat ergänzt. Es gibt ausser der Zusicherung des Herstellers keinen technischen Schutz und keine Möglichkeit zu überprüfen, dass diese nicht vor der Auslieferung kopiert wurden.
Noch schlimmer ist die Situation bei der Handy-Signatur. Hier werden die private Keys auf einem "sicheren" Server der A-Trust vermutlich ohne Verschlüsselung gespeichert und nach der Eingabe eines per SMS zugesendeten PIN-Code freigegeben. Wird dieser Server kompromittiert, können die Angreifer damit beliebig rechtsgültige Signaturen erstellen bzw. Online-Formulare nutzen.
Die Piratenpartei möge sich daher dafür einsetzen, dass für elektronische Amtswege und rechtsverbindliche elektronische Signaturen auch sichere Systeme wie PGP und SSL-Zertifikate genutzt werden können. Bei beiden Systemen wird der Private Key auf dem System des Anwenders generiert und anschliessend mit einem nur dem Nutzer bekannten Passwort verschlüsselt gespeichert. Auch die verwendete Software ist bei diesem Systemen als Open Source verfügbar und damit im Gegensatz zu den Systemen der A-Trust für ein Security Audit zugänglich.