1 - Introdução

Desde o advento dos modernos computadores, a nossa sociedade acompanha maravilhada cada novo avanço no campo da informática. Processadores cada vez mais velozes, redes de computadores integrando pessoas e dados, comércio realizado através da Internet, tudo isso acompanhado de uma publicidade agressiva e esperta que, percebendo a possibilidade de lucros, nos mostra que tentar resistir à essa revolução digital é aceitar viver em mundo lento, inseguro e ultrapassado. Entretanto, por debaixo de toda a propaganda feita, pouco se fala das reais características dessa revolução e dos perigos que ela introduz. Omite-se principalmente as questões relativas à segurança das pessoas e dos processos atingidos pela informatização maciça que ocorre atualmente. E cada vez mais essa informatização atinge níveis em que é inaceitável a visão crédula da informática como panacéia, a solução ideal para todo e qualquer problema do mundo moderno. Um dos temas que mais urgentemente clamam pela mudança dessa visão é relativo à informatização do processo eleitoral, cujo modelo de votação eletrônica já está sendo adotado em nosso país.

Este texto, elaborado como um trabalho da disciplina de Segurança de Dados e baseado principalmente em artigos disponibilizados pelo professor da disciplina, visa abordar a questão da segurança da urna eletrônica proposta pelo governo e que tem sofrido diversas críticas da comunidade especializada em segurança na informática. Primeiramente, tenta-se mostrar o que se espera de um sistema eletrônico de eleição, para em seguida mostrar como a urna eletrônica pretende atingir esses requisitos e então concluir se as críticas à urna realmente procedem.

2 Sistemas eletrônicos de eleição

O nosso sistema de eleição se baseia em três características fundamentais: votação, através da qual os membros da população reconhecidos como eleitores podem expressar, anonimamente, sua vontade; apuração, que permite a contabilização dos votos emitidos por esses membros da população; e fiscalização, que visa garantir a idoneidade do processo, de modo a assegurar que o resultado da apuração dos votos seja realmente a expressão da vontade da maioria da população.

Um sistema eletrônico de eleição deveria ser tal que assegurasse essas três características fundamentais, de preferência melhorando cada um de seus aspectos e sem nunca ser menos seguro e confiável do que um sistema não eletrônico. Para tanto, é preciso que se definam métricas que permitam realizar a avaliação do sistema como um todo, incluindo seus componentes físicos e lógicos, ou seja, tanto seu hardware quanto seu software e os protocolos envolvidos na comunicação entre as partes do sistema. Há que se ressaltar também que deve ser possível avaliar o sistema tanto sob a perspectiva de segurança contra acidentes não intencionais quanto contra acidentes intencionais (fraudes, por exemplo).

Vários critérios para a avaliação de sistemas eletrônicos já foram propostos. Como exemplo, em [1] são explicitados seis requisitos considerados mínimos para um protocolo de eleição:

1. Somente pessoas autorizadas a votar podem efetivamente votar;
2. Ninguém deve poder votar mais de uma vez;
3. Ninguém deve ser capaz de determinar em quem uma outra pessoa votou;
4. Ninguém deve poder duplicar votos;
5. Ninguém deve ser capaz de modificar um voto sem ser descoberto;
6. Todo eleitor deve poder ter certeza de que seu voto foi levado em consideração.

Esses requisitos são expandidos e especificados com um pouco mais de rigor em [2] (sendo também descritos em [3]), passando de seis para onze critérios de avaliação, a saber: integridade do sistema, integridade e confiabilidade dos dados, anonimato do eleitor, autenticação do operador, auditabilidade do sistema, transparência do sistema, disponibilidade do sistema, confiabilidade do sistema, facilidade de uso, documentação e segurança, integridade do pessoal.

Outros autores relatam outros critérios semelhantes (por exemplo, [4] e [5]), mas o fato importante a ser ressaltado é que em todos a ênfase está nos requisitos que visam garantir segurança e confiabilidade ao sistema. O uso de componentes com grande poder computacional pode trazer ganhos na velocidade e na eficiência do processo de eleição, mas a grande preocupação parece ser a tentativa de se garantir o anonimato do voto, a integridade da apuração e a existência e eficiência da fiscalização. É fundamental que o sistema seja confiável, robusto e seguro contra ataques (tanto externos quanto internos).

Parece que claro que conceber um sistema eletrônico de eleição com um protocolo que atenda satisfatoriamente todos os requisitos de segurança é uma tarefa extremamente difícil e complicada [1, 3]. Portanto, é importante que um sistema eletrônico de eleição demonstre preocupações com aspectos ligados à segurança computacional desde sua concepção, obedecendo rigorosamente a um processo de implantação de segurança computacional (como o descrito em [6], por exemplo, onde há uma definição da política de segurança de dados, a implementação dos serviços de segurança computacional e o controle e a auditoria desses serviços). Conforme citado em [7], a segurança não pode ser tratada como orégano de pizza, simplesmente colocada por cima de algo já pronto; é uma filosofia de projeto.

Tendo visto o que se espera de um sistema eletrônico de eleição (os requisitos e critérios que deve atender), pode-se passar a questão de como a urna eletrônica proposta pelo governo brasileiro pretende fornecer o que dela se espera.

3 A Urna Brasileira

Pelo que se tem conhecimento, a urna eletrônica brasileira, possui sistema de software cujas camadas são [8]: as camadas de software básico (BIOS, sistema operacional e gerenciadores de dispositivos) e as camadas de aplicativos, incluindo o aplicativo de votação ( códigos-fonte, bibliotecas-padrão, bibliotecas especiais, bases de dados). Esses softwares ficariam armazenados em flashcards e, por meio destes, seriam introduzidos nas urnas uns poucos dias antes da eleição, alguns deles ficando armazenados em um flashcard fixo cujo acesso físico só seria possível com o desmonte da urna [7]. Os falshcards usados para inserir os aplicativos ficariam lacrados na urna.

Em [7], lista-se algumas das responsabilidades dos softwares usados, obtidas a partir do edital de concorrência para confecção das urnas eletrônicas: o sistema operacional deve, entre outras coisas, intermediar a comunicação entre o teclado e o aplicativo, e entre este e a tela da urna e os dispositivos de gravação e leitura; o aplicativo de votação deve coletar e tabular os votos vindo do teclado, apresentá-los na tela da urna e gerar um boletim de urna ao final do dia de votação, para impressão e gravação em disquetes; e a biblioteca criptográfica deve ser capaz de verificar a origem legítima do software a ser carregado na urna e encriptar os arquivos a serem gravados em disquete ao final da execução do software aplicativo.

Para garantir a confiabilidade e a segurança do software da urna, o TSE optou por adotar uma prática conhecida como Política de Desenvolvimento Estanque (PDE) [7, 8]. A principal premissa desta prática é a de que, fazendo com que cada parte do sistema tenha conhecimento apenas de seu próprio funcionamento e desconheça o funcionamento das outras partes, a segurança interna do sistema estaria garantia. Segundo essa política, uma vez que um determinado componente do sistema não possui detalhes do funcionamento de outros componentes, não haveria como este componente corromper o sistema como um todo e isso faria com que os riscos fossem controlados.

Outra prática adotada pelo TSE na tentativa de conferir à urna eletrônica a confiabilidade e a segurança necessárias é a adoção da prática da segurança por obscurantismo[7, 8, 9]. Sob a ótica desta prática, a segurança do sistema eletrônico de eleição seria inversamente proporcional à quantidade de pessoas que tivessem acesso à informações sobre o funcionamento do sistema, ou seja, para que o sistema seja seguro, deve-se torná-lo secreto para o maior número de pessoas possível.

Com base na PDE e no princípio da segurança por obscurantismo, o TSE determina que apenas o código fonte do aplicativo de votação fique disponível para auditoria, pois o conhecimento de informações sobre as outras camadas poderia comprometer a segurança da urna [8]. Além disso, a adoção da PDE inviabilizaria a ocorrência de fraudes nessas outras camadas. A não divulgação dos códigos fontes do sistema também se justificaria, na visão do TSE, pelo fato de que sistema operacional e bibliotecas de criptografia estariam protegidos por leis de direito autoral, uma vez que não são de propriedade intelectual do Tribunal [3].

Outras medidas anunciadas pelo TSE na tentativa de garantir segurança à urna são: apresentação do sistema para auditoria 60 dias antes da eleição (apenas o código fonte do aplicativo de votação), um sorteio de urnas a sofrerem auditoria (3% das urnas, com o resultado do sorteio divulgado na véspera das eleições)[11] e a votação paralela, o que permitiria a recontagem dos votos.

4 Críticas à urna eletrônica

Uma vez listadas as medidas que o TSE diz tomar para garantir a segurança e confiabilidade da urna, deve-se verificar se as críticas que têm sido feitas são realmente válidas ou não.

Em primeiro lugar poderíamos nos indagar sobre a necessidade do rigor que tem sido cobrado da fiscalização do processo eleitoral. Essa questão é simples de se responder pois, em se tratando de um exercício da cidadania, é óbvio que a fiscalização que garanta a lisura do processo deve ser feita com o máximo de rigor possível. O processo de eleição é fundamental para garantir a democracia em nosso país e aceitar um modelo relaxado de fiscalização seria aceitar se submeter ao risco de vivermos em uma democracia de fachada. Uma vez que a eleição é um tripé formado por votação, apuração e fiscalização, cortar uma dessas pernas faria com que todo o tripé desabasse [12].

Pode-se agora, concentrar-se em um aspecto chave da urna eletrônica: a política adotada em seu desenvolvimento, a PDE. Como exposto antes, essa política assume que, se os componentes de um sistema não conhecerem o funcionamento uns dos outros, então não será possível a ocorrência de fraudes originárias no sistema. Assim, caso seja possível a violação do sistema possuindo-se apenas conhecimento e acesso parcial, então a PDE não pode servir como garantia de confiabilidade e segurança do sistema. De fato, a presunção de que a PDE por si só serve de garantia de segurança é uma falácia. Em [8] são enumeradas diversas possibilidades de implantação de códigos espúrios ao sistema e de esses códigos permitirem a realização de fraudes, mesmo adotando-se a PDE. Dentre os exemplos listados, podemos citar:

• Implantação de código espúrio via código fonte não auditado (como é o caso do sistema operacional e da biblioteca de criptografia da urna) ou após auditoria ineficiente;
• Implantação de código espúrio via bibliotecas padrão do compilador, bastando usar uma biblioteca original para gera uma outra com o código novo embutindo o antigo.

Uma vez implantados os códigos espúrios, é fácil admitir a possibilidade de fraude do sistema. Se não houver como se certificar que o software inserido na urna é o mesmo que passou por uma auditoria prévia, então bastaria que houvesse um algoritmo que no aplicativo de votação ou na biblioteca de criptografia que invertesse um em cada trinta e três votos para mudar o resultado de uma eleição [7]. Ou então, bastaria um dos programas interceptar o voto digitado no teclado, apresentar a tela correta para enganar o eleitor mas computar um voto diferente do que foi feito [7, 8]. Enfim, a adoção da PDE poderia servir para reduzir os riscos de fraude, uma vez que cada parte do sistema só sabe realizar a sua própria função mas, por si só (sem uma auditoria muito eficiente), ela não pode servir como garantia de segurança. Além disso, existem críticas até mesmo à adequação social da PDE, uma vez que ela poderia servir para defender interesses monopolistas de grandes corporações cujo único compromisso é com o lucro [7].

Outro ponto importante a ser criticado é a prática do obscurantismo por parte dos donos da urna. Apesar de fazer sentido para boa parte dos que não possuem conhecimento sobre segurança computacional (se ninguém conhece como funciona, ninguém pode violar), aplicar essa idéia à urna é absurdo para qualquer um que tenha um mínimo de conhecimento sobre segurança computacional. Em uma situação onde só existam dois agentes e ambos confiem um no outro, pode-se até argumentar a favor de um certo obscurantismo, mas esse não é o caso de uma eleição. Há vários agentes participando ativamente do processo: o TSE, os eleitores, os fabricantes do software da urna, além de cada um dos partidos envolvidos. Cada um desses participantes olha o sistema sob o seu ponto de vista, além de que não existe a confiança presumida entre os participantes, fazendo com que uma proteção contra um determinado risco para um dos participantes possa ser um risco para outro, afinal de contas, risco é um conceito subjetivo que depende muito do referencial adotado [7]. No caso, privilegia-se o referencial do dono da urna em detrimento do seu usuário, que passa a ser considerado como uma espécie de inimigo. Assim, torna-se necessário uma prática que vise balancear os diversos riscos existentes, permitindo-se que cada uma das partes possa ter certeza de que se uma outra parte trapacear, ela não poderá fazê-lo sem ser detectada. Ou seja, deveria ser adotado o modelo de transparência, ao invés do modelo de obscurantismo [3, 7]. A urna eletrônica deveria ser guiada pelos mesmos motivos que guiaram a busca por algoritmos criptográficos assimétricos e protocolos de assinatura e certificação digital [1].

Em relação às outras medidas propostas pelo TSE, elas são inócuas diante do contexto atual [3, 7, 8, 9 10, 11, 12, 13]. Propor a auditoria do sistema 60 dias antes da eleição não valerá de nada se não for possível se certificar que a versão inserida na urna é de fato a mesma que passou pela a auditoria. Pior ainda se essa auditoria tiver sido apenas parcial, como é atualmente. Realizar um sorteio, na véspera das eleições, de 3% das urnas para serem auditadas após o processo de votação também não passa de uma ilusão de segurança pois, uma vez que o sorteio seria feito na véspera das eleições, haveria tempo de se fazer com que esses 3% de urnas se comportassem da maneira correta enquanto que os outros 97% de urnas poderiam realizar fraudes livremente durante todo o processo eleitoral. E, quanto a votação paralela, uma vez que o software é inauditável, alguém que deseja-se detectar uma fraude interna deveria, dentro de 72 horas, recolher uma cópia de todos os boletins de urna, somá-los e convencer a todos de que o erro está em uma máquina considerada infalível e não em uma contagem manual apressada [13].

Outro ponto a se ressaltar é que em [3] foi feita uma avaliação da urna usando-se vários dos critérios listados na parte 2 deste texto e, na imensa maioria desses critérios, o resultado foi negativo ou então inconclusivo (na verdade, em apenas um dos crtérios a urna foi aprovada, e mesmo assim com restrições).

Por fim, há que se prestar atenção aos diversos relatos de ações por parte do TSE que parecem visar dificultar a aprovação de leis que garantam maior confiabilidade à urna eletrônica [3, 7, 8, 9, 10, 11, 12, 13] e ao histórico de fraudes e corrupção existente no meio político. Presumir que os envolvidos em processo onde se disputa o poder de se administrar um país agirão de forma honesta é, no mínimo, ingenuidade.
 

5 Conclusão
 

Pelo exposto nesse texto e nas referências consultadas, a conclusão a que se pode chegar é que a urna eletrônica proposta pelo governo está muito longe de ser considerada confiável e segura, como quer fazer parecer o TSE. Sendo assim, as críticas feitas à urna são válidas e constituem-se em um exercício da cidadania por parte daqueles que detêm o conhecimento sobre a segurança computacional e que compreendem o perigo que a imagem da informática como solução perfeita pode trazer à sociedade. A preocupação com a automação do processo eleitoral está longe de ser uma teoria da conspiração ou uma idéia de uma cabeça antiga [13, 9]. È preciso que toda a sociedade seja alertada dos perigos que rondam a democracia brasileira e que todos colaborem para fazer com o que o projeto da urna eletrônica seja repensado, levando em conta não os argumentos de autoridade que têm sido usados até então, mas sim a opinião séria de especialistas na área de segurança computacional.