http://www.pedro.jmrezende.com.br/sd.htm > Urna-e: Modelo segurança

Reforma Eleitoral e Informatização do Voto

Palestra proferida em Seminário Internacional
Implementación del voto electrónico en perspectiva comparada
  Lima, Peru, 18 de maio de 2012
Pedro Antônio Dourado de Rezende *

Proposta: Classificação dos Sistemas de Votação Eletrônica em Gerações1

1- Apresentado originalmente pelo autor em julho de 2010 em audiência pública no TSE

Fundamentação:

A evolução do voto informatizado passa pelo modelo de urna DRE, caracterizada funcionalmente por não permitir recontagem dos votos coletados, com a verificabilidade do resultado totalmente dependente da correção e integridade do software; pelo modelo VVPT, com verificabilidade por registro material do voto (escaneável ou impresso), recontável em trilha independente do software; e pelo modelo E2E, com verificabilidade por trilhas interdependentes, de ponta a ponta na cadeia de custódia dos registros (material e eletrônico) do voto.

A evolução dos sistemas de votação eletrônica segue então a de suas respectivas tecnologias:
  •         1ª geração, com urnas DRE;
  •         2ª geração, com urnas VVPT;
  •         3ª geração, com urnas E2E.
Esta classificação se refere, em termos leigos, à classificação funcional dos respectivos modelos tecnológicos de urnas eletrônicas, que surgiram:
  •         a) na literatura científica, nessa ordem cronológica;
  •         b) na prática, para resolverem problemas tidos como cruciais e inerentes ao modelo anterior. (no caso da 1ª geração, o modelo anterior é o da urna-receptáculo que apenas recebe cédulas de papel)
        

Critérios de classificação:

Descritos por problemas tidos como cruciais e antes mal resolvidos, a serem vencidos por cada modelo:



Nos sistemas de 1ª geração, os problemas cruciais decorrem da total dependência no software para verificação dos resultados. Como resolvê-los?
  1. Mantendo-se os meios de prova disponíveis sempre aquém dos critérios admissíveis para ”possível influência” indevida no resultado?
  2. Decretando-se a incorruptibilidade de programadores e operadores, e atribuindo ao acaso eventuais indícios estatísticos de desvios?
  3. Com mais blindagem contra ”ameças externas”, incluindo tratamento do sistema com uma estratégia de marketing (como no Brasil)?




Nos sistemas de 2ª geração, os problemas cruciais decorrem de os votos seguirem trilhas independentes para contagem. Como resolvê-los?
  1. Como saber se a coleta na votação é a mesma da apuração, na contagem eletrônica e na recontagem manual?
    (os problemas de verificabilidade da apuração são dobrados)
  2. Caso haja discrepância entre o resultado eletrônico e o manual, como rastrear o erro ou o desvio?
  3. Se discreparem, pode-se atrasar a recontagem manual de todo o registro material até esvaziar a eficácia da verificação independente?
    (a revalidação é limitada pelos prazos do mandato eleitoral)




Nos sistemas de 3ª geração, se houver diferença entre o resultado eletrônico e a validação pelo registro material, o processo integrado permite rastrear, em tempo real, o erro ou desvio ocorrido numa ou noutra trilha. O eleitor terá como saber que seu voto foi contado conforme marcado, ou não, mas sem poder provar a terceiros em quem votou. Em 2012 eram conhecidos dois modelos para sistemas aderentes a tais critérios: 1) O que usa redes criptográficas do tipo mix & mesh, implementado, por exemplo, pelo sistema Scantegrity, usado nos EUA; e 2) O que usa registro integrado tipo RFID-em-cédula, implementado pelo sistema Vot-Ar, usado na Argentina. O maior desafio teórico nos sistemas desta geração é o de proteger o sigilo do voto. Em redes mix & mesh, é crucial a correta escolha, implementação e operação dos algoritmos e protocolos criptográficos. 

Proposta de Referencial Hermenêutico

Para Classificar Reais Objetivos na Informatização de Processos Eleitorais. 

Hipóteses: No que concerne a seus reais objetivos, a informatização de um processo eleitoral seguirá uma de três possíveis direções:
  • Tecnologia eleitoral como fim em si mesmo (Tecnologia-fim):
    • Administrador do processo eleitoral dirige reforma normativa cujos efeitos lhe concentram mais poderes.
  • Tecnologia eleitoral como meio para um fim (Tecnologia-meio):
    • Legislador exerce autonomia para reforma normativa cujos efeitos afetam poderes no regime democrático.
  • Tecnologia eleitoral como cavalo-de-batalha (Tecnologia-eixo):
    • Poderes em regime tripartite disputam hegemonia para dirigir reforma normativa do processo eleitoral

acta quando?


Autor

* Pedro Antônio Dourado de Rezende é matemático, professor de Ciência da Computação na Universidade de Brasília (UnB), Coordenador do Programa de Extensão em Criptografia e Segurança Computacional da UnB, conselheiro do Instituto Brasileiro de Política e Direito de Informática, ex-representante da sociedade civil no Comitê Gestor da Infra-estrutura de Chaves Públicas brasileira (ICP-BR). www.pedro.jmrezende.com.br/sd.php

Direitos autorais:

O autor publica esta obra sob licença Creative Commons (CC NC-ND-2.0): Livre para republicações com Atribuição, uso Não Comercial e Não Derivável. (outras republicações requerem autorização expressa) Texto da licença em: http://creativecommons.org/licenses/by-nc-nd/2.0/deed.pt