http://www.pedro.jmrezende.com.br/sd.htm > urna eletrônica: avaliação

Artigos e textos
do voto eletrônico

Critérios para Avaliação da Segurança do Voto Eletrônico

Artigo apresentado em 06 de Março de 2001
por Amílcar Brunazo Filho
no Workshop em Segurança de Sistemas Computacionais, Wseg'2001
UFSC, Florianópolis, SC, Brasil

 
Resumo
Neste artigo se descreve os tipos de máquinas eleitorais, apresentando a nova geração que está sendo proposta no Brasil e nos EUA: as Máquinas de Apuração Conferível, nas quais os votos são apurados eletronicamente mas que oferecem uma forma de recontagem para efeito de auditoria. Também se faz uma análise da confiabilidade das urnas eletrônicas brasileiras segundo critério de avaliação de sistemas eleitorais sugerido por Peter Neumann. Ao final sugere-se que sistemas eleitorais automatizados sejam tratados como "Sistemas de Alto Risco de Fraudes".


Índice

  1. Introdução
  2. Sistemas Eleitorais Automatizados Critérios de Avaliação
  3. Sistemas Eleitorais Automatizados - Tipos
  4. Segurança por Obscurantismo
  5. Avaliação da Urna Eletrônica Brasileira
  6. Conclusões - Segurança por Transparência e Controles Redundantes
  7. Proposta - Conferência da Apuração
  8. Referências

  9.  

     
     
     
     
     

    Relatorio sobre a apresentação

1. Introdução

No ano de 2000 houve eleições no Brasil e nos Estados Unidos da América. Os problemas ocorridos na apuração das eleições americanas levaram muitos a alegarem a superioridade do sistema brasileiro.
Mas foi o nosso processo eleitoral informatizado avaliado sob critérios técnicos adequados?
Em diversas cidades do Brasil houve dúvidas sobre processo eletrônico eleitoral, tendo ocorrido passeatas (Rio de Janeiro, RJ), depredações e incêndios (Barcarena, PA, e Bayeux, PB), greve de fome (Diadema, SP) e até atentados à vida (Umuarama, PR). Ocorreram também casos inquestionáveis de erros, como em Araçoiaba da Serra, SP, onde sete candidatos não tiveram suas fotos incluídas nas urnas e onde, por ordem do juiz, se violou e induziu a votação conforme relatado pelo jornalista Marcelo Soares da Folha de São Paulo (referência http6).
Mas nenhum recurso pedindo recontagem dos votos, conferência da apuração ou anulação do pleito foi aprovado por nossa Justiça Eleitoral, a qual detém poder executivo, legislativo e judiciário a um só tempo (Brunazo, 1999, item 3.2). O Tribunal Superior Eleitoral, TSE, não ofereceu aos partidos e eleitores nenhuma forma de se conferir a apuração dos votos e não foi julgado procedente nenhum recurso contra atos operacionais dos próprios juizes eleitorais regionais. O julgamento do caso de Araçoiaba da Serra - acordão nº 138.441 do TRE/SP - bem ilustra o espírito de corpo da justiça eleitoral com suas conseqüências danosas à credibilidade do sistema e foi comentado pelo jornalista Oswaldo Maneschy (Maneschy, 2001).
Para se determinar o grau de confiabilidade do voto informatizado no Brasil, apresenta-se na seção 2 deste artigo alguns critérios para avaliação da segurança de sistemas eleitorais automatizados e na seção 3 é apresentado uma classificação dos tipos de sistemas existentes. A seguir, nas seções 4 e 5, demonstra-se que o sistema eleitoral informatizado desenvolvido pelo TSE é um processo baseado no princípio da "Segurança por Obscurantismo" e se faz uma breve avaliação deste sistema segundo os critérios sugeridos.
Na seção 6 é apresentada a conclusão de que se deve classificar sistemas eleitorais como sendo "Sistemas de Alto Risco de Fraude", merecendo destarte um tratamento que contemple o princípio de Segurança por Transparência e utilize canais de controle redundantes. Na seção 7, ao final, se propõe a impressão do voto como canal de controle alternativo para possibilitar a conferência da apuração em máquinas eletrônicas.


2. Sistemas Eleitorais Automatizados Critérios de Avaliação

Muitos analistas especializados em votação eletrônica, brasileiros e americanos, como Edgardo Gerck, Peter G. Neumann, Lorrie Cranor e Rebecca Mercuri, têm sugerido critérios para avaliação da segurança (security) e confiabilidade de sistemas eleitorais automatizados. 
Ed Gerck iniciou um trabalho de coleta de recomendações de segurança que deveriam ser respeitadas por qualquer sistema eleitoral público, qualquer que seja a tecnologia utilizada. A última versão deste trabalho (Gerck, 2001), contém 16 requisitos considerados necessários, entre eles: inviolabilidade do voto garantida (até contra ordem judicial) por sistema totalmente livre de falhas; verificabilidade da integridade do sistema; auditoria e recontagem dos votos devem ser possíveis; e uso apenas de programas de código aberto, inclusive os dos sistemas de criptografia e assinatura digital (apenas as senhas privadas devem ser secretas).
Mercuri, em sua tese de doutorado (Mercuri, 2000), analisou os critérios de segurança ISO, basicamente a Norma Técnica ISO/IEC 15.408 de Dez/99 (http1), e concluiu que, ainda que muito rigorosas, estas normas são insuficientes para atender as necessidades de segurança e confiabilidade de uma eleição pública. Mercuri recomenda a adoção de critérios adicionais mais rigorosos para a avaliação de sistemas eletrônicos de votação.
Lorrie Cranor, em (Cranor, 1996), esboça um critério para de avaliação de sistemas eleitorais eletrônicos e propõe um elaborado sistema eleitoral criptográfico, chamado Sensus, que permite a conferência da apuração pelo próprio eleitor. Mas ela mesmo reconhece que seu sistema não atende de forma ideal o item "verificabilidade" do seu critério de avaliação. Conclui que existe um natural conflito entre segurança e a necessidade de manter a inviolabilidade do voto e também afirma que sistemas eleitorais eletrônicos exigem características adicionais de segurança além daquelas concernentes a um sistema computacional seguro comum.
Antes disso, Peter Neumann já havia concluído que, mesmo sob um critério de avaliação simples, proposto em (Neumann, 1993), é muito difícil se construir um sistema eleitoral eletrônico que atenda todos os itens de tal critério e que "alguns riscos (de segurança) são inevitáveis". O critério de avaliação da segurança de sistemas eleitorais eletrônicos proposto por Neumann é o seguinte:
  • Integridade do Sistema O sistema de computador deve ser à prova de modificação depois de validado e certificado por auditores externos.
  • Integridade e Confiabilidade dos dados Os votos devem se gravados corretamente e devem ser à prova de modificações.
  • Anonimato do Eleitor A associação entre o voto e a identidade do eleitor deve ser impossível.
  • Autenticação do Operador As pessoas autorizadas devem ter mecanismos de controle de acesso não triviais. Senhas fixas e "portas-do-fundo" para manutenção, por exemplo, não são recomendadas.
  • Auditabilidade do Sistema todas as operações internas do sistema devem ser monitoradas mas sem violar a confidencialidade dos votos. Toda alteração de programas e de dados de controle deve ser registrada. Deve ser impossível evitar este monitoramento ou modificar seus relatórios.
  • Transparência do Sistema Todos os programas, documentação, equipamentos, microcódigos e circuitos especiais devem ser abertos para inspeção a qualquer momento, a despeito de qualquer alegação de segredo dos fornecedores.
  • Disponibilidade do Sistema deve haver proteção contra ataques por saturação, também chamados de ataques DoS, e o sistema deve estar sempre disponível durante o periodo eleitoral.
  • Confiabilidade do Sistema o projeto deve minimizar os efeitos de erros e de códigos maliciosos.
  • Facilidade de Uso O uso do sistema deve ser ameno para eleitores e operadores. A interface com o usuário deve ser à prova de falhas e deve prever o mau uso acidental ou proposital.
  • Documentação e segurança Todo o projeto e implementação, inclusive a relativa a testes e segurança deve estar toda documentada consistentemente e sem ambigüidades.
  • Integridade do Pessoal O pessoal envolvido deve ser incorruptível e de integridade inquestionável, inclusive os envolvidos com a distribuição e guarda de dados e equipamentos.
Este critério proposto por Neumann é bastante rigoroso apesar de simples e sucinto e demonstra o seu entendimento de que o voto eletrônico pede extremo zelo no trato da segurança. Poder-se-ia, ainda, acrescentar os seguintes itens aos critérios de Neumann:
  • Precisão eleições que podem ser decididas por apenas um voto não podem tolerar nenhuma margem estatística de erro durante a operação. Até o erro involuntário de um eleitor, mal treinado para votar em dado equipamento, pode inverter ou modificar o resultado eleitoral.
  • Resistência a falhas é desejável a existência de métodos de detecção de falhas no equipamento. A troca de um bit num total de um candidato pode ser a diferença entre ganhar ou perder a eleição.
  • Resistência a fraudes a principal característica que diferencia um sistema eleitoral de outros sistemas de alto risco, é que ele é alvo freqüente de ataques mal intencionados. Medidas de defesa contra fraudes, inclusive as vindas do próprio corpo interno de projetistas, devem ser rigorosas e redundantes.
Observação: Michael Ian Shamos (Shamos, 1993) e Ed Gerck (Gerck, 2001), defensores do voto 100% eletrônico, comparam a confiabilidade de máquinas eleitorais com computadores de grandes aeronaves. Argumentam que mesmo não sendo possível se testar à exaustão um software de alto risco, ainda assim se confia e se voa num 747, o que justificaria se tolerar uma urna eletrônica mesmo que o sistema não tenha sido 100% testado. Esta comparação pode valer quando se trata de falhas não intencionais (safety) mas é inadequada quanto se trata de fraudes propositais (security). Pela experiência histórica, não se espera que o projetista de um sistema de controle de vôo o faça falhar propositadamente. Já com sistemas eleitorais informatizados, o projeto de segurança deve sempre prever que agentes internos possam atacar o sistema, como já ocorrido no Brasil no Caso Proconsult (Mineiro, 2000).


3. Sistemas Eleitorais Automatizados - Tipos

Os sistemas tradicionais de votar podem ser classificados em sistemas de apuração direta, como as votações abertas ou por aclamação, e sistemas de apuração posterior, idealizados para assegurarem a inviolabilidade dos votos, nos quais o voto é materializado através de uma cédula eleitoral secreta.
Com sistemas automatizados de voto pode-se criar uma classificação semelhante:
Sistemas (máquinas) de Apuração Direta MAD ou DRE 
São máquinas que possuem um contador ou acumulador de votos para cada candidato. O eleitor deve escolher seu candidato dentre aqueles apresentados pela máquina e registrar o seu voto, que será automaticamente adicionado ao acumulador do respectivo candidato. Estas máquinas podem ser mecânicas, com contadores de engrenagens e alavancas para votar, ou eletrônicas, com teclados e monitores. Máquinas mecânicas deste tipo garantiam o sigilo do voto mas já caíram em desuso. Recentemente surgiram as MAD eletrônicas que são chamadas de "Direct Recording Electronic Voting System" (DRE). O sigilo do voto numa MAD eletrônica só estará garantido se for possível demonstrar que nela não se grava os votos abertos e ordenados em separado, para posterior consulta. Além disso, uma MAD sempre será passível de fraudes por adulteração do seu programa. Assim, a validação e certificação do seu software deve ser muito rigorosa.
Sistemas (máquinas) de Apuração Posterior MAP 
São sistemas que separam a votação da etapa de apuração dos votos. Para isto utilizam duas máquinas distintas, uma para o eleitor votar e outra para contar os votos. O eleitor vota numa máquina que materializa o voto numa cédula, por perfuração (punchcard) ou por impressão padronizada (mark sense). As cédulas são depositadas em urnas lacradas e depois são apuradas por máquinas contadoras. O sigilo do voto é garantido pelo uso de cédulas sem identificação do eleitor e de urna larga o suficiente para embaralhar os votos. As vantagens de uma MAP são a facilidade do eleitor comum entender como se garante a inviolabilidade e a possibilidade de recontagem dos votos a qualquer momento. Suas desvantagens são a fragilidade contra troca de cédulas e os erros de leitura.
Sistemas (máquinas) de Apuração Conferível MAC 
são sistemas mistos, MAP e MAD, nos quais a apuração eletrônica é feita simultaneamente com a votação, mas é possível se conferir posteriormente a apuração por meio de uma recontagem dos votos. Para tanto, uma MAC deve prover uma forma de se guardar os votos de cada eleitor em separado mas, ainda assim, garantir a inviolabilidade do voto. Para isso pode-se recorrer à materialização do voto (voto em papel) ou a recursos matemáticos de proteção do voto virtual, como a Assinatura Digital Cega (Fujioka, 1993) ou a Criptografia Homomórfica (Neff, 2000). 
Sistemas MAC com voto materializado têm a vantagem de aumentar as dificuldades para o fraudador, que teria que fraudar dois sistemas diferentes (o eletrônico e o impresso) para obter êxito num ataque dirigido, e assim diminui-se as exigências de qualificação de seu software. O tipo MAC pode ser entendido como uma nova geração de sistemas eleitorais automatizados, conforme sugerido por Mercuri em recente entrevista (http8) ao comentar sobre "os novos padrões que estão chegando". 
Um exemplo de MAC são os sistemas de eleição pela Internet propostos pela SafeVote (http2) e VoteHere (http3). Mas, embora a idéia de voto pela Internet seja sedutora, existem críticos, (Philipps,1999) e (Hoffman, 2000), que a consideram prematura. De uma forma geral, ainda persistem problemas, como ataques por saturação, páginas falsas para roubo de senhas e, principalmente, a possibilidade de indução do voto, que no Brasil é chamado de voto-de-cabresto, se for permitido o voto em ambientes sem garantia de uma cabina indevassável ou se for permitido a posterior conferência do voto pelo próprio eleitor pela Internet.


4. Segurança por Obscurantismo

A urna eletrônica (UE) brasileira é uma MAD e sua confiabilidade depende de uma rigorosa validação e certificação do seus programas, já que nela não é possível se recontar os votos. Uma MAD pede absoluta transparência e auditabilidade em todos equipamentos e programas, como se vê em (Neumann, 1993), (Kitcat, 2000), (Schneier, 2000), (Gerck, 2001) e especialmente no relatório feito por Roy G. Saltman (Saltman, 1996), consultor do National Institute of Standards and Technology, NIST, contratado pelo TSE em out/96, onde diz:
"Para assegurar confiança pública nos resultados, é importante que os partidos políticos e outros grupos de interesse sejam parte do processo que garanta integridade do sistema. Isto requer que o código-fonte da UE seja disponibilizado para revisão de técnicos representantes dos partidos e outros interesses, e que esta revisão seja feita com generoso apoio e assistência do governo. No processo de revisão precisa ser mostrado que o código-objeto realmente usado nas UE correspondem exatamente, num sentido lógico, ao código-fonte que foi examinado... Para contribuir para este processo ajudaria muito se a propriedade intelectual associada com o sistema pertencesse ao governo nacional...". - tradução do autor deste artigo
Mas o TSE adotou o princípio de Segurança por Obscurantismo contrariando as recomendações para máquinas MAD. Evidencia-se esta política adotada pelo TSE nos seguintes documentos oficiais:
Art. 13 da Resolução 19.877/97 do TSE 
Deixa explícito que "O projeto da Urna Eletrônica assenta-se no sigilo de seu funcionamento".
Art. 2, Parag. único da Portaria 142/00 da Diretoria Geral do TSE 
declara que o sistema operacional da UE e sua biblioteca de segurança (criptografia) não serão disponibilizados para análise do código pelos técnicos dos partidos políticos. Esta portaria contraria o Art. 66 da Lei 9.504.
Resolução 20.714/00 do TSE 
nesta longa resolução, em resposta a uma impugnação dos programas das UE, o TSE afirma que os códigos-fonte do sistema operacional e da biblioteca de criptografia não podem ser apresentados para análise por motivos de segurança e de direitos autorais, já que não é sua a propriedade intelectual. O TSE também afirma que não pode permitir aos fiscais dos partidos conferirem se o código-objeto carregado nas UE corresponde ao mostrado aos fiscais, alegando motivo de segurança.
Decisão do Pedido de Liminar do Mandado de Segurança nº 2.914 DF do TSE 
Um Pedido de Liminar contra a Portaria 142 e a Resolução 20.714, acima citadas, foi indeferido pelo TSE sob um argumento que é a própria explicitação do princípio do obscurantismo: " a restrição de acesso à segurança do sistema não denota falta de confiança nos integrantes das agremiações políticas, antes demonstra uma preocupação com a própria segurança, pois é fato que menos pessoas tiverem acesso a tais informações, menor a possibilidade de vulneração e risco à segurança das eleições". 
Observação: O julgamento do mérito deste Mandado de Segurança contra a falta de transparência do TSE, que foi solicitado antes do primeiro turno das eleições de 2000, seria de fundamental importância para dar credibilidade ao processo eleitoral informatizado. Mas, pela peculiaridade do nosso sistema eleitoral, cabe ao próprio TSE julgar este recurso em que também é o réu. Numa atitude absolutamente obscurantista, até o momento em que já deu posse aos eleitos, o TSE protelou e não julgou o mérito da questão.


5. Avaliação da Urna Eletrônica Brasileira

Submetendo a UE aos critérios de avaliação da segurança propostos pelos diversos autores verifica-se que ela não se sai bem. Dos 16 requisitos em (Gerck, 2001), 3 não se aplicam à UE e ela é reprovada em 8 dos 13 restantes. Quanto aos critérios em (Neumann, 1993), vários itens são contrariados e nos demais a análise é inconclusiva, como se demonstra a seguir:
Integridade do Sistema - REPROVADO 
Conforme entrevistas concedidas ao Jornal do Brasil em 30/08/2000 e à Folha de São Paulo em 15/10/2000 (http7), pelo Eng. Oswaldo Catsumi Inamura, da Aeronáutica e do TSE, os programas das UE foram modificados depois de terem sidos apresentados aos auditores externos e não foram reapresentados para análise depois disso.
Integridade e Confiabilidade dos dados - INCONCLUSIVO 
são permitidos testes apenas em máquinas previamente preparadas para o teste e não em máquinas prontas para votar.
Anonimato do Eleitor - SEM GARANTIAS 
A associação entre o voto e a identidade do eleitor é uma hipótese não afastada, visto que o número do eleitor é fornecido à UE no mesmo momento em que ele digita seu voto e não se permite análise completa dos programas.
Autenticação do Operador REPROVADO 
Em todos os terminais da rede do TSE, inclusive os que contem os códigos-fonte dos aplicativos e das bibliotecas padrão dos compiladores, está instalado um programa de manutenção remota, o PCAnyWhere, que possui "portas-do-fundo" para acesso remoto. O Sistema SiS, de controle de acesso, também possui portas para manutenção de emergência. 
Auditabilidade do Sistema INCONCLUSIVO 
Fiscais de partidos de Boa Vista, RO, relataram testes de dupla carga dos programas nas UE da 1ª Zona Eleitoral. Os arquivos de log destas urnas não revelam o fato, levando a crer que a carga dos programas na UE apaga o log existente anteriormente, perdendo registros úteis para auditoria que poderiam revelar uma fraude. Considera-se este tópico inconclusivo, pois não se obteve uma confirmação formal do teste feito na presença do juiz e do promotor público. 
Transparência do Sistema REPROVADO 
como demonstrado no item 4.
Disponibilidade do Sistema NÃO ANALISADO 
o TSE, no entanto, afirma ter criado defesas contra ataques DoS na sua rede durante o período da totalização dos resultados.
Confiabilidade do Sistema APRESENTA FRAGILIDADES 
nas UE os votos de cada candidato é constantemente mantido em memória temporária, RAM, sem dígito de verificação. A cada voto novo, o acumulado é regravado em memória permanente, Flash Card, sem verificação de integridade (novo valor = valor anterior + 1). Assim, uma eventual troca indevida em um bit na RAM, se propaga.
Facilidade de Uso APROVADO COM RESTRIÇÕES 
para um eleitor acostumado a teclados e computadores a UE é fácil de usar, para outros nem tanto. Muitas reclamações de "foto de candidato errado", que surgiram em quase todos os municípios, foram devidas a dificuldades de uso da UE. O TSE não divulgou nenhuma estatística sobre a freqüência deste problema, que não foi pequena.
Documentação e segurança INCONCLUSIVO 
os fiscais dos partidos não tiveram acesso à toda documentação, inclusive não foram apresentadas as alterações no código-fonte nem as justificativas destas alterações intempestivas feitas depois destes códigos terem sido apresentados aos fiscais.
Integridade do Pessoal NÃO AVALIADO 
é difícil avaliar a "incorruptibilidade" de pessoas. Relate-se que houve muitas denúncias de falhas da segurança na guarda física das UE, com desvios e roubos. 


6. Conclusões - Segurança por Transparência e Controles Redundantes

A reprovação da UE segundo os critérios de avaliação da segurança clama por correções no seu projeto e no seu processo de desenvolvimento e implantação. É evidente a necessidade de se adotar a política da Segurança por Transparência, como aparece nas obras citadas de Jason Kitcat, Roy G. Saltman, Peter G. Neumann e Rebecca Mercuri e como também é aceito por defensores do voto 100% eletrônico, como David Jefferson e Michael Shamos (http4) e Edgardo Gerck (Gerck, 2001).
Shamos até lançou um desafio público dizendo que poderia descobrir qualquer tentativa de fraude numa MAD/DRE, desde que lhe seja dado acesso ao código da máquina imediatamente antes e depois da votação/apuração. Destaque-se que o desafio de Shamos, lançado para provar a eficiência das técnicas de validação e certificação dos programas de uma MAD, é um teste que não se aplica ao voto pela Internet e se refere apenas a uma única MAD cujo programa de seu total conhecimento, não valendo para 320.000 MAD simultaneamente, como é o caso das eleições brasileiras.
Por outro lado, Ken Thompson, um dos idealizadores do sistema UNIX, deixa claro que não é suficiente se analisar e conhecer apenas os códigos-fonte do aplicativo principal e do sistema operacional de uma MAD. Num artigo (Thompson, 1984), citado freqüentemente em trabalhos que discorram sobre confiabilidade de sistemas, fica claro que um compilador maliciosamente modificado pode corromper códigos-fonte honestos. 
O Eng. Márcio Teixeira, especializado em software básico e microprogramação, e este autor escreveram um artigo (Teixeira, 2001) onde se mostra que é possível introduzir vícios que fraudem a apuração com a UE e que passem despercebidos pela fiscalização permitida aos partidos políticos, por exemplo, adulterando-se o sistema operacional ou as bibliotecas padrão dos compiladores.
Todas estas possibilidades levaram à proposta (Brunazo, 2000, item 5) de que sistemas informatizados de votação sejam classificados como Sistemas de Alto Risco de Fraude, pois pode-se identificar aqui os conceitos de Potencial de Dano elevado e Probabilidade de Fraude não desprezível. Esta proposta está em consonância com as de Peter G. Neumann, Lorrie Cranor e Rebecca Mercuri (op.cit) sobre a necessidade de critérios de avaliação especiais e mais rigorosos para sistemas informatizados de votação. 
Conclui-se que todas estas possibilidades de ataques por adulteração do código tornam extremamente complexa a tarefa de qualificação das mais de 320 mil urnas que são carregadas em mais de 5600 cidades simultaneamente e nem a total transparência dos programas pode conferir plena confiabilidade ao sistema, o que sugere que outros canais redundantes e independentes de controle e auditoria sejam adotados.


7. Proposta - Conferência da Apuração

Em recente mensagem colocada na lista de debate E-lection (http5), Peter Neumann diz que:
"Se votos serão gravados e contados eletronicamente, algum meio de auditoria indescartável, inalterável e inevitável deve existir para tornar adulterações eletrônicas e acidentes impraticáveis"
É dentro desta linha de pensamento que em (Requião, 1999), (Brunazo, 1999) e (Teixeira, 2000) recomenda-se evoluir as UE brasileiras de MAD para a nova geração MAC, ou seja, dar às UE a capacidade de recontagem dos votos e conferência da apuração por meio da impressão do voto, o qual seria mostrado ao eleitor antes de ser depositado em uma urna lacrada para posterior conferência quando e se requerido. Em (Teixeira, 2000) e (Brunazo, 2000) são contestados os argumentos apresentados contra a impressão do voto.
Esta idéia de transformar MAD em MAC por meio do voto impresso tem surgido, também, nos EUA como proposto por Bruce Schneier, inventor dos métodos Blowfish e TwoFish de criptografia, em (Schneier, 2000) e por Peter Neumann e Rebecca Mercuri numa recente reportagem (http8) sobre a modernização das máquinas do Estado da Filadélfia em que consideram as atuais MAD ultrapassadas e inseguras. Mercuri afirma:
"Um sistema (eleitoral) melhor deveria casar tecnologia de computadores com o papel, sugerindo uma MAD/DRE que grave eletronicamente a escolha do eleitor e também crie uma cédula impressa mecanicamente legível. O eleitor poderia ver a cédula através de uma janela na impressora e aprová-la antes de ser depositada numa urna lacrada." - tradução do autor deste artigo
Um protótipo que atende exatamente as propostas destes autores brasileiros e americanos já foi construído pela empresa brasileira Bematech e foi apresentado no simpósio SSI'2000, no ITA. É uma impressora especial conectada à porta paralela da UE, que imprime o voto e o mostra ao eleitor através de um visor de vidro. O eleitor pode, então, confirmar ou cancelar o voto. O voto impresso é depois depositado automaticamente numa urna lacrada, sem contado manual do eleitor.
Em (Gerck, 2001) se considera que, no caso de diferença entre a apuração eletrônica e a do voto impresso, seria erro considerar este mais seguro a priori, mas a proposta (Requião, 1999) impõe que esta decisão seja tomada a posteriori, uma vez que o voto impresso e o virtual exigem técnicas de fraude que deixam rastros diferentes, os quais poderiam ser detectados por uma sindicância, não gerando, assim, uma situação de impasse.
Propomos, então, que o voto impresso seja usado como uma via alternativa utilizada para controle redundante sobre a apuração eletrônica.


Referências

  • BRUNAZO Filho, Amílcar, A Segurança do Voto na Urna Eletrônica Brasileira. In: Simpósio de Segurança em Informática, 1999, São José dos Campos. Anais... São José dos Campos, Brasil: Instituto Tecnológico da Aeronáutica, 1999. P.19-28. - http://www.comp.ita.cta.br/ssi99/ssi99int.zip
  • BRUNAZO Filho, Amílcar, Avaliação da Segurança da Urna Eletrônica Brasileira. In: Simpósio de Segurança em Informática, 2000, São José dos Campos. Anais... São José dos Campos, Brasil: Instituto Tecnológico da Aeronáutica, 2000. http://www.votoseguro.org/textos/SSI2000.htm
  • CAMARÃO, Paulo César Bhering. O Voto Informatizado: Legitimidade Democrática. São Paulo, Brasil: Empresa das Artes, 1997.
  • CRANOR, Lorrie Faith. Electronic Voting. ACM Crossroads Student Magazine, Association for Computing Machinery, New York, NY, USA: April, 1996. - http://www.acm.org/crossroads/xrds2-4/voting.html
  • GERCK, Edgardo. Voting System Requirements. The Bell Newsletter, San Raphael, CA, USA: January, 2001, Vol. 2, nº 1. - http://www.thebell.net/papers/vote-req.pdf
  • FUJIOKA, A., OKAMOTO, T., e OHTA, K. A practical secret voting scheme for large scale elections. In: Advances in Cryptology - AUSCRYPT '92, Springer-Verlag, Berlin: 1993, pp. 244-251.
  • HOFFMAN, Lance J.. Internet Voting: Will it Spur or Corrupt Democracy?. In: Proceedings of the tenth conference on Computers, freedom and privacy: challenging the assumptions, April 4 - 7, 2000, Toronto, ON Canada: P.219-223. - https://www.acm.org/pubs/articles/proceedings/cas/332186/p219-hoffman/p219-hoffman.pdf
  • KITCAT, Jason. Why Electronic Voting Software Should Be Free Software. The Bell Newsletter, San Raphael, CA, USA: september 2000. - http://thecouch.org/free/docs/wfs.html
  • MANESCHY, Oswaldo. Palm Beach Versus Araçoiaba da Serra. Jus Navegandi, Teresina, PI, Brasil: janeiro de 2001. - http://www.jus.com.br/doutrina/urnael19.html
  • MERCURI, Rebecca. Electronic Vote Tabulation Checks & Balances, Ph.D. Dissertation, Philadelphia, PA, USA: School of Engineering and Applied Science, University of Pennsylvania, 2000. - http://www.notablesoftware.com/Papers/thesdef.html
  • MINEIRO, Procópio. Proconsult Um Caso Exemplar. Cadernos do Terceiro Mundo, Rio de Janeiro: Editora Terceiro Milênio, n. 219, p. 17, Abril/Maio 2000. - http://www.votoseguro.org/noticias/cad3mundo1.htm
  • NEFF, C. Andrew. Conducting a Universally Verifiable Electronic Election Using Homomorphic Encryption: VoteHere Inc, November 2000. - http://votehere.net/vh-content-v2.0/homomorphicsystemdescription.pdf
  • NEUMANN, Peter G.. Security Criteria for Electronic Voting, In: 16th National Computer Security Conference Baltimore, Maryland, USA: September 20-23, 1993. - http://www.csl.sri.com/neumann/ncs93.html
  • PHILLIPS, Deborah M.. Are We Ready for Internet Voting?. Arlington, VA, USA: The Voting Integrity Project, 1999. - http://www.voting-integrity.org/projects/votingtechnology/internetvoting/ivp_title.shtml
  • REQUIÃO, Roberto. PLS 194/99 Projeto de Lei do Senado. Brasília: Senado do Brasil, 1999. - http://www.senado.gov.br/web/senador/requiao/pls99.htm
  • SALTMAN, Roy G.. Assessment of Computerized Voting in Brazil with Recommendations for Nations of the Region. Brasília, Brasil: Tribunal Superior Eleitoral, outubro 1996.
  • SHAMOS, Michael Ian. Electronic Voting Evaluating the Threat. In: Third Conference on Computers, Freedom and Privacy, March 93, Anais Burlingame, CA, USA: Computer Professionals for Social Responsibility, 1993, P. 3.18 3.25. - http://www.cpsr.org/conferences/cfp93/shamos.html
  • SCHNEIER, Bruce. Voting and Tecnology. Crypto-Gram Newsletter, San Jose, California, USA: Counterpane Internet Security, Inc., December 2000. - http://www.counterpane.com/crypto-gram-0012.html
  • TEIXEIRA, Márcio C.. Avaliação da Necessidade de Modificações na Urna Eletrônica Brasileira. Brasília, Brasil: Comissão de Constituição, Justiça e Cidadania do Senado Federal, setembro 2000. - http://www.votoseguro.org/textos/marcio2.htm
  • TEIXEIRA, Márcio C., BRUNAZO F., A Reflexões sobre Confiabilidade de Sistemas Eleitorais. Belo Horizonte, Brasil: Fórum do Voto Eletrônico, janeiro 2001. - http://www.votoseguro.org/textos/reflexoes.htm
  • THOMPSON, Ken. Reflections on Trusting Trust. Communication of the ACM, Association for Computing Machinery, Inc., Vol. 27, nº 8, august 1984. P. 761-763. - http://www.acm.org/classics/sep95/
  • (http1) International Standard ISO/IEC 15.408: http://csrc.nist.gov/cc/ccv20/ccv2list.htm
  • (http2) SafeVote Inc.: http://www.safevote.com/
  • (http3) VoteHere.net: http://votehere.net/VH-Content-v2.0/default.htm
  • (http4) Message in E-lection News Group: http://www.egroups.com/message/e-lection/246
  • (http5) Message in E-lection News Group: http://www.egroups.com/message/e-lection/245
  • (http6) Reportagem na Folha de São Paulo, 15/10/2000: http://www.votoseguro.org/noticias/folha2.htm
  • (http7) Reportagem na Folha de São Paulo, 15/10/2000: http://www.votoseguro.org/noticias/folha4.htm
  • (http8) Reportagem no The Philadelphia Inquirer, 15/01/2001: http://inq.philly.com/content/inquirer/2001/01/15/front_page/MACHINE15.htm 



 

Relatorio de Sta. Catarina

Date: Mon, 12 Mar 2001 10:02:10 -0300
From: Amilcar Brunazo Filho <amilcar@brunazo.eng.br>
To:  forum do voto-eletronico
 
Olá,

No dia 06 de março de 2001 a questão da falta de segurança do voto eletrônico no Brasil foi abordado durante o IX Simpósio Brasileiro de Computação Tolerante a Falhas, SCTF 2001, promovido pela Sociedade Brasileira de Computação (SBC) e organizado pelo Departamento de Automação e Sistemas (DAS) do Centro Tecnológico (CTC) da Universidade Federal de Santa Catarina (UFSC).

Pela manhã, dentro do Workshop em Segurança de Sistemas Computacionais -
WSeg'2001, evento paralelo ao SCTF - houve apresentação das palestras:

  • - Critérios para Avaliação da Segurança do Voto Eletrônico de Amílcar Brunazo Filho http://www.votoseguro.org/textos/Wseg2001.htm
  • - Auditoria de Sistemas Eleitorais: o Caso São Domingos de Evandro Luiz de Oliveira e Claudio Andrade Rego http://www.votoseguro.org/textos/evandro1.htm

  • À tarde houve o debate sobre Segurança do Voto Eletrônico, com a participação de:
  • -Michael Stanton (IC/UFF) - moderador
  • -Newton Franklin Almeida (TSE),
  • -Osvaldo Catsumi Imamura (IEA/TSE),
  • -Amilcar Brunazo Filho (TD Tecnologia Digital),
  • -Joanilson Ferreira (Staff Consultores)

  • Considero positivo a participação dos membros do Fórum do Voto-e que lá compareceram.
    Tanto as palestras como o debate despertaram bastante interesse. O auditório ficou sempre cheio (umas 100 a 150 pessoas) e muitos reporteres dos jornais locais e até nacionais compareceram e fizeram muitas perguntas.

    O ponto negativo do debate foi a atitude dos representantes da justiça eleitoral que lá compareceram com a clara intenção de impedir que o debate se desenvolvesse com liberdade, conforme explico adiante.

    O tema das palestras foram:

    - do Amilcar: propôs a adoção de critérios para avaliação da segurança e confiabilidade de sistemas eleitorais automatizados. Mostrou que a nossa urna eletrônica é reprovada mesmo quando avaliada sob critérios simples.

    - do Evandro: mostrou com exemplo prático, que as condições impostas pelo TSE aos auditores tornam impossível qualquer auditoria do sistema eleitoral, após as eleições. O Evandro se saiu muito bem na sua palestra, tendo conseguido tornar muito interessante e construtiva sua participação.

    O debate correu bem no início quando os debatedores apresentaram suas posições:

    - Newton Almeida: defendeu que a urna eletrônica resolveu bem as fraudes que ocorriam com o sistema eleitoral tradicional e que, após sua adoção, o histórico de fraudes apuradas é nulo.

    Ele se perdeu um pouco quando tentou argumentar que "assinatura digital tem que ser secreta para ser segura" e que durante uma eleição de apuração rápida "as bolsas de valores não caem e assim os custos da urna eletrônica se pagam rapidamente". (obs.: a fraqueza dos argumentos do Sr. Newton, reside no uso tendencioso e obscuro que ele faz de dados estatisticos sem cuidados técnicos necessários para espurgar o efeito de influências cruzadas. Sugiro ao Sr. Newton ler o relatório do MIT/Caltech,  http://www.nist.gov/itl/lab/specpubs/500-158.htm, para ver os cuidados que se deve tomar para dar credibilidade a uma análise estátistica)

    - Oswaldo Catsumi: citou algumas das caracteristicas de segurança da urna (criptografia, assinatura dos arquivos, log, normas), sem se aprofundar, ficando no aguardo de perguntas da platéia. Ao tentar explicar a falta de transparência do TSE diante das recomendações das normas técnicas, o Sr. Catsumi falou em "padrões proprietários", o que é um contradição implícita. Padrões (estabelecidos em de normas técnicas) são necessariamente  públicos, se for secreto (proprietário) não é padrão!

    - Amilcar Brunazo - defendeu a tese que o "TSE falhou em demonstrar a confiabilidade do sistema eleitoral devido a falta de transparência e impecilhos à auditoria". Citou alguns exemplos da falta de transparência do TSE.

    - Joanilson Ferreira: argumentou que a grande preocupação que envolve o debate sobre automação eleitoral se refere à LEGITIMIDADE do resultado. Isto é, não pode pairar dúvidas sobre o resultado final publicado. Também defendeu a necessidade de maior transparência e liberdade de auditoria do processo eleitoral automatizado.

    Após a apresentação dos debatedores deveria começar a participação do público. Foi então que se revelou a tática dos representantes da justiça eleitoral de Sta. Catarina de impedir o aprofundamento do debate sobre segurança do sistema eleitoral.

    Três pessoas ligadas ao TRE-SC e à Fundação CERTI (associada da Procomp) tomaram a palavra, por quase 20 minutos cada, nada falavam sobre técnicas de segurança propriamente dito, e esgotaram todo o tempo para perguntas dos estudantes universitários presentes.

    O primeiro a tomar a palavra foi um advogado do TRE-SC, Sr. Gonçalo, que falou por mais de 10 minutos sobre o voto dos cegos, da queda dos votos nulos e brancos após a adoção da UE (em mais um uso manipulado e incorreto de dados estatísticos), e que mesários fraudavam as eleições tradicionais. O mais perto que o Sr. Gonçalo chegou da questão de segurança e confiabilidade do sistema eleitoral automatizado, foi quando argumentou que os técnicos (programadores) do TSE têm "fé pública" querendo assim justificar que não é necessário auditar seus trabalhos. É aquele velho argumento de que "na justiça eleitoral os pessoas são geneticamente modificadas e incorruptíveis".

    Depois desta participação que em nada contribuiu na questão de segurança (security) do sistema eleitoral, uma mestranda, Luciana de Souza, pediu esclarecimentos sobre a tal  "assinatura digital secreta" , pois segundo o seu (correto) entender a assinatura digital tem que ser aberta (o código e a chave pública) para poder conferir segurança ao sistema.

    O Sr. Catsumi respondeu de forma totalmente obscura. Falou que o conceito de "coisas pública" deveria ser melhor definido em lei pois, segundo ele, "existem coisas públicas que são públicas para todos e coisas públicas que não são tão públicas assim e devem ter acesso controlado". O Sr. Catsumi simplesmente faltou com a verdade ao afirmar que qualquer pessoa que fizesse uma petição formal ao TSE poderia obter cópia tanto das chaves da assinatura digital quanto dos próprios progamas das urnas lacrados pelos fiscais dos partidos.

    Estas afirmações do Sr. Catsumi, dadas em público, SÃO FALSAS pois  o PDT entrou com pedido formal dos dados para poder conferir as assinaturas digitais (e por consequência a integridade) dos programas das urnas e na resolução 20.714/00 do TSE é claramente negado este direito aos fiscais. Além do que, o próprio Sr. Catsumi já havia dito à imprensa que os programs das urnas FORAM MODIFICADOS depois de lacrados pelos fiscais dos partidos.

    A resposta do Sr. Catsumi à jovem estudante foi totalmente insatisfatória e esta manifestou que não havia entendido por que o TSE alegava ter que manter a assinatura digital secreta. O Sr. Catsumi estava encurralado. Não tinha argumentos técnicos para defender sua posição, foi então que a "tropa de choque" da justiça eleitoral entrou em ação.

    O Sr. Carlos Camargo, Diretor de Informática do TRE-SC, tomou o microfone e começou a falar: "Vou esclarecer as dúvidas que ainda tenham ficado sobre a explicações do Sr. Catsumi...".

    A partir daí, o Sr. Camargo, em total desrespeito à platéia, discursou por 20 minutos e NÃO TOCOU NO ASSUNTO de assinatura digital ou segurança do sistema. Falou do "princípio da preclusão", criticou o projeto do Requião e apresentou o argumento absurdo de que os auditores externos podem não ser confiáveis sugerindo que por isso não se deva auditar o processo eleitoral ! (este é um dos argumentos clássicos que demonstram a arrogância e auto-suficiência dos integrantes da justiça eleitoral). A intervenção do Sr. Camargo foi feita com o único intúito de aliviar a "sinuca de bico" que tinha caido o Sr. Catsumi, com a pergunta da Srta.Luciana. Durante os 20 minutos de tergiversação do Sr. Camargo, a estudante ficou lá, inutilmente em pé, esperando a prometida resposta que nunca veio.

    E a tática de obstrução do debate continuou com a intervenção do Sr. Marcelo Ferreira Guimarães, diretor da Fundação CERTI , associada da empresa Procomp que participou das três concorrências para fornecimento das urnas ao TSE e que ganhou as duas últimas.

    O Sr. Marcelo segurou a palavra por mais uns 20 minutos, falou de tudo, menos sobre técnicas de segurança do sistema, que era o tema do debate. Clamou pelo reconhecimento do trabalho pioneiro da engenharia nacional citando um recorte do jornal USA Today (o mais desacreditado dos grandes jornais americanos). Contou a história da participação do CERTI no processo de desenvolvimento da urna. E tentou explicar aquela mentirosa reportagem no Jornal Nacional, sobre o MIT ter enviado um técnico para a fundação CERTI para aprender como se faz uma urna eletrônica. Segundo o Sr. Marcelo, um representante do MIT (Sr. Tony Knoop, antropólogo) veio a UFSC para tratar de um convênio entre as universidades quando, DE REPENTE, apareceu um reporter da Globo, que ele não sabe de onde saiu, bem no momento que o Sr. Knoop foi levado até as instalações do CERTI (dentro da UFSC), e matéria foi parar no Jornal Nacional! Acredite quem quiser.

    Após este longa e improdutiva (no sentido de se debater segurança dos sistemas eleitorais) do Sr. Marcelo, mais um estudante, o Sr. Eduardo Machado, conseguiu fazer uma pergunta sobre o uso de sistema operacional aberto pela urna. A resposta do Sr. Catsumi foi, mais uma vez, evasiva, dizendo que a lei de concorrências não permite que o TSE especifique o uso de um sistema aberto (o que é uma grande inverdade, pois a necessidade de apresentar o código dos programas aos fiscais dos partidos impõe o uso de software livre com código aberto).

    Após o debate, muitos se manisfestaram decepcionados com o seu andamento, inclusive o Prof. Joni da Silva Braga, organizador do SCTF e principal responsável por criar este debate, que declarou que muitas perguntas técnicas de seus alunos e orientados não chegaram nem a serem feitas, quanto mais esclarecidas.

    Os alunos com os quais conversei ao final do debate haviam percebido que a técnica do TSE é o obscurantismo e tergiversação. Talvez este tenha sido o único resultado positivo do debate no SCTF: Todos perceberam que os técnicos do TSE não têm argumentos técnicos para sustentarem suas posições contra qualquer auditoria efetiva na apuração.

    ------------
    Meus comentários finais ao debate:
    O Sr. Marcelo Guimarães, do CERTI, pediu reconhecimento ao trabalho da engenharia brasileira na construção da UE e disse que o brasileiro deveria ter mais confiança na capacidade de nossos técnicos. Mas eu gostaria de colocar ao Sr. Marcelo, que colocando a Fundação CERTI num papel pulsilânime de servir de anteparo de proteção dos técnicos do TSE contra o debate acadêmico não vai nunca ganhar credibilidade.

    Os argumentos absurdos, mal fundamentados, quando não mentirosos, apresentados pelos representantes da justiça eleitoral e da CERTI, como:

  • - assinatura digital tem que ser secreta;
  • - o TSE segue "padõres proprietários";
  • - os dados e programas estão disponíveis para quem quiser analisar;
  • - tem dados públicos que não são tão públicos assim
  • - não precisa de auditoria pois os técnicos do TSE tem 'fé publica';
  • - não se pode permitir a auditoria externa pois os auditores podem não serconfiáveis;
  • - a umidade do ar no interior do Amazonas impede que se permita a conferência da apuração no resto do país;
  • - O fato da bolsa de valores não cair paga o custo da urna eletrônica,

  • só contribuem para desacreditar qualquer corpo técnico de onde tenha partido tais afirmações.


    O que poderia dar alguma credibilidade aos técnicos ligados a justiça eleitoral seria apresentar suas teses sobre segurança do sistema eleitoral em congressos acadêmicos. Que escrevessem monografias e as submetessem à avaliação técnica de técnicos especializados independentes. Haverá um novo SSI no ITA em breve, como o Wseg, lá é um excelente fórum para apresentar tais trabalhos.

    Por enquanto, o Fórum do Voto-e já colocou 4 "papers" sobre segurança de sistemas eleitorais em simpósios de primeira linha, mas o máximo que os técnicos ligados a justiça eleitoral fizeram foi brandir no ar um recorte do USA Today para justificarem suas posições.

    É muito pouco para quem alega estar na frente no dominio da tecnologia eleitoral. Lhes falta a credibilidade que só trabalhos publicados e bem aceitos pode conferir.

    Eu ofereço, também, o Fórum do Voto-e para publicar eventuais artigos que eles venham a produzir, contribuindo para um debate técnico e democrático sobre a VERDADEIRA LEGITIMIDADE do processo eleitoral.

    Eng. Amilcar Brunazo Filho
     

    -------------------------------------