Onder de kop 'Vereenvoudiging gebruik machtigingen en certificaten binnen SBR', kondigde SBR op 1 oktober aan dat PKIoverheid-certificaten verplicht worden gesteld bij het aanleveren van XBRL-berichten, waaronder aangiften en jaarrekeningen naar Digipoort. Het gebruik van OTP-certificaten wordt uitgefaseerd en het autorisatieregister wordt optioneel. Het verplichten van de zwaardere PKIoverheid-certificaten kan er toe leiden dat kleine intermediairs het gebruik van het PKIoverheid-certificaat overlaten aan de 'verstuurder' van de berichten naar Digipoort.
Logius, als beheerder van het SBR-programma en de infrastructuur Digipoort, voert voor de overgang naar PKIoverheid twee redenen aan dat 'toezicht op het uitgifteproces op de huidige certificaten onvoldoende toekomstvast wordt geacht'. Doelstelling van de vereenvoudiging is het stimuleren van het gebruik van Digipoort en XBRL. Daarbij lijkt een sterkere authenticatie als compensatie te worden beschouwd voor het afgeschafte autorisatieregister.
OTP-certificaten worden uitgegeven door twee partijen in Nederland. Deze partijen zijn beide ingeschreven bij de Opta en toegelaten tot PKIoverheid. Digipoort is de enige 'relying party' die zelf kan bepalen welke partij (root certificaat) zij vertrouwt. Beide uitgevers zijn als 'convenantpartijen' in dit SBR-project betrokken alsmede in het project eHerkenning van Economische Zaken. Daarbij definieert het CSP koppelvlak, dat door de Belastingdienst is opgesteld, heel duidelijk de policy (betrouwbaarheid) voor deze OTP-certificaten. Genoeg houvast voor 'toezicht op het uitgifteproces'; zeker voor de korte periode die nog rest voordat het SBR voor authenticatie gebruik gaat maken van het stelsel van eHerkenning.
Een PKIoverheid-certificaat is 'lastiger' dan het bestaande OPT- c.q. BAPI-certificaat. Dit komt door de face-to-face controle van de certificaatbeheerder en de verplichting om het cerificaat toe te passen op beveiligde hardware of in een sterk beveiligde omgeving.
Het beoogde PKIoverheid-certificaat identificeert de organisatie. Het gaat niet om de identiteit van de in het certificaat genoemde systeem, apparaat of functionaris, maar om de verbondenheid met de organisatie. Deze certificaten worden dan ook met name gebruikt in systeem-tot-systeem koppelingen overeenkomstig de bekende SSL-certificaten
Om een dergelijk certificaat te verkrijgen moet de intermediair een certificaatbeheerder benoemen. De certificaatbeheerder voert de feitelijke handelingen met het certificaat uit. Denk aan een certificaat aanvragen, installeren en gebruiken. De certificaatbeheerder dient door de CSP (uitgevende partij) te worden onderworpen aan een face-to-face controle.
Het sleutelmateriaal van het PKIoverheid-certificaat dient bij voorkeur te worden uitgegeven op een secure device. Dit is een smartcard, usb-stick of hardware security module (HSM) die voldoet aan specifieke beveiligingseisen. Dispensatie kan worden verleend indien er maatregelen zijn genomen die voorkomen dat de private sleutel ongemerkt wordt gestolen of gekopieerd. Een combinatie dus van logische en fysieke toegangsmaatregelen.
Waar leidt dit toe?
Het aanvragen van PKIoverheid-certificaten wordt moeilijker dan die van OTP-certificaten. Er worden strenge eisen aan het beheer en veiligheid van deze certificaten gesteld die door het overgrote gedeelte van de kleine intermediairs niet zelfstandig kunnen worden genomen. Daarbij zijn de certificaten significant duurder dan OTP-certificaten (ongeveer drie tot vier keer zo duur).
Vanwege deze eisen zullen kleine intermediairs zelf geen PKIoverheid-certificaat installeren op hun 'pc' waarop hun fiscale, financiële, loon- of rapportagesoftware draait. Zij zullen dit dan wel moeten overlaten aan hun hosting partners of servicebureaus die specifieke XBRL-diensten verlenen aan intermediairs. Deze zullen moeten worden gemachtigd om de certificaten te beheren.
Het PKIoverheid-certificaat wordt slechts ter identificatie en authenticatie gebruikt. Er zal geen elektronische handtekening in de zin van de wet mee worden gezet. Digipoort mag dan de verstuurder met PKIoverheid-certificaat hebben geïdentificeerd, het geeft slechts indirect zekerheid over de identiteit van de intermediair en weinig zekerheid over de identiteit van de onderneming wiens cijfers het betreft. Vanwege deze praktijk kan niet gesteld worden dat een zwaarder certificaat compenseert voor het niet meer registreren van de autorisatie. Reeds eerder is gepleit voor een goede registratie of toelating door Digipoort van de intermediairs. Bijvoorbeeld vergelijkbaar aan de procedure waarmee de Belastingdienst de intermediairs en hun certificaat registreren in de Bapipoort. Immers, ieder bedrijf die zich met een PKIoverheid-certificaat kan identificeren als 'bedrijf' zou 'voor zichzelf' berichten moeten kunnen insturen naar Digipoort. Indien men optreedt als intermediair en berichten voor andere KvK-nummers instuurt, kan men veronderstellen dat Digipoort daar extra eisen aan stelt. De Belastingdienst registreert de Becon-nummers; dit nummer, of eventueel een indicatie dat een intermediair geregistreerd is bij een van de grote beroepsorganisaties, zou een toelating door Digipoort kunnen versnellen.
Wellicht dat even wachten tot het moment dat eHerkenning medio 2011 een infrastructuur zal bieden voor authenticatie en machtigin efficiënter is dan dit besluit voor wijziging van de certificaten. Betwijfeld kan worden of het verplichten van PKioverheid certificaten een stimulerende factor voor de aanleveringen is.
OTP-/BAPI-certificaten
In 1999 start de Belastingdienst het BAPI-traject voor elektronisch aanleveren van aangiften door intermediairs. De Belastingdienst definieert hiervoor een certificaat layout, een uitgifteproces en derhalve een betrouwbaarheidsniveau. Dit wordt vastgelegd in een openbare CSP-specificatie. Het certificaat, BAPI-certificaat genoemd, identificeert een intermediair die na controle van KvK-inschrijving, -bevoegdheid en een -handtekening een certificaat op zijn KvK-adres kan ontvangen.
Met deze certificaten zijn vanaf 2001, en na de verplichtstelling in 2004, miljoenen aangiften getekend door intermediairs zonder bekende security-incidenten. Na de ingebruikneming van NTP/OTP en later Digipoort (medio 2007) is voor aanlevering naar Digipoort met alle betrokken partijen (overheid, projectgroep en marktpartijen) overeengekomen dat het betrouwbaarheidsniveau van dit certificaat voldoet. Het BAPI-certificaat is OTP gaan heten. Het betrouwbaarheidsniveau bleef identiek.
PKIoverheid-certificaten
In 1999 start de Taskforce PKIoverheid die in 2004 het stelsel PKIoverheid lanceert. Kort gezegd is dit een betrouwbaarheidshiërarchie voor certificaatleveranciers. Dit in aanvulling op de via de wet elektronische handtekening ingestelde toezicht van de Opta op uitgevers van gekwalificeerde certificaten. Onderdeel van PKIoverheid is het voorzien in meerdere typen certificaten maar met één gelijkwaardig hoog betrouwbaarheidsniveau. Certificaten worden onderscheiden naar gebruik: authenticatie, handtekening, vertrouwelijkheid, en naar uitgegeven instantie: persoonlijk of organisatiegebonden. De persoonlijke certificaten voor handtekening zijn 'gekwalificeerd'.
