Jornal do Voto-E

Recorte da     Folha de São Paulo
São Paulo, 20 de maio de 2002

Voto Eletrônico Amplia Chances de Fraude

Entrevista Completa à repórter Silvana de Freitas, da Folha de São Paulo
concedida pelo Prof. Pedro Antonio Dourado de Rezende
do Depto de Ciência da Computação da UNB

Silvana de Freitas

Trechos desta entrevista foram publicados da Folha de São Paulo de 20 de Maio de 2002.
[ver texto publicado]

1) Silvana de Freitas: O sistema da urna eletrônica foi criado para afastar o risco de fraude. Por que, seis anos após a sua estréia, o eleitor deve ficar alerta quanto à falta de segurança?

Pedro Rezende: Para acabar com algumas fraudes em papel, a tecnologia digital cobra um preço. Este preço é o risco de novas formas de fraude, antes impensáveis. Quem pensaria, por exemplo, em uma fraude onde escrutinadores tentam convencer juizes eleitorais e fiscais de partidos de que, naquela eleição, dois e dois para este candidato somam cinco, e para aquele somam três?
Ninguém seria tão ingênuo de tentá-la, pois o escrutínio em papel é público. Porém, com a urna eletrônica do TSE o escrutínio é privado. Os votos só saem da urna já somados, tabulados e codificados por programas de computador que só quem fez conhece de verdade. Na eleição de 2000, por exemplo, depois daquilo que o TSE chamou de auditoria dos partidos no software da urna pelos partidos, ocorrida em agosto, alguns deles foram alterados em setembro, conforme admitiram técnicos do próprio TSE. Estamos sendo convidados a acreditar na palavra de quem responde por estes softwares, de que a aritmética do processo eleitoral é a mesma que conhecemos. Nas palavras de Evandro Oliveira, especialista eleitoral cadastrado na ONU, convidados a acreditar em quem diz "la segurança soy yo"
Ed Gerk compara esta situação à do carneiro que vai beber água, e, ao se aproximar, vê um leão lá sentado. Quando vê o carneiro, o leão o convida para beber, dizendo "pode vir, eu não estou com fome". Pode ser. Mas esse tipo de convite é do mesmo tipo que o convite cívico para participarmos no equilíbrio de atenções, interesses e cultura elementar dos escrutinadores e fiscais, numa junta apuradora com voto em papel. A apuração manual é demorada porque a queremos confiável. Numa junta apuradora atual, os fiscais só vêem disquestes entrando em gretas e luzinhas piscando. A velocidade do computador tende a tornar o processo opaco, rompendo o equilíbrio visado pelo convite cívico no espírito da lei eleitoral. Por que o TSE não permite que os fiscais examininem os softwares nas urnas por amostragem, ao invés daquele pisca-pisca? As respostas até hoje dadas não fazem sentido para eleitores que se sentem como carneiros diante do bafo do leão, dono do software inauditável na urna.
Se este dono quiser abusar de sua posição privilegiada para trafegar influência por atacado, poderíamos desconfiar de uma eventual discrepância entre pesquisas e resultados eleitorais, mas nunca provar que houve fraude, a ponto e a tempo de impedir seu efeito. Isso é muito diferente dos erros intencionais de varejo na totalização em papel, impostos no grito em juntas apuradoras nos antigos currais eleitorais. O curral eleitoral agora é cercado pelo software.
Segurança é uma busca por equilíbrio, pois uma proteção contra um risco traz outros. É controle de riscos. Controle de proteção contra os inaceitáveis e de convivência com os toleráveis. Com a informatização do sistema eleitoral, precisamos redesenhar coletivamente a linha divisória da tolerância a riscos, para buscar um novo equilíbrio. O eleitor deve ficar alerta porque a dificuldade está em se avaliar esse equilíbrio, com riscos novos e tão pouco conhecidos.

2) SF: É possível elencar os principais pontos frágeis do nosso sistema do voto eletrônico?

PR: Nas várias formas de se conceber e implantar sistemas de votação eletrônica, os pontos frágeis serão sempre os riscos decorrentes de desequilíbrios entre transparências e opacidades, julgados necessários por distintos pontos de vista. Para o eleitor, não interessa discutir se o dono do software eleitoral é ou não é honesto. Interessa saber de que forma ele, eleitor, pode se certificar da resposta. Os principais pontos frágeis estarão onde esta certificação é obscurecida, negada ou inviabilizada.
O nosso sistema é propenso ao desequilíbrio porque, em seu desenho, prevalece sempre a opinião do dono da urna. Um dono que, infelizmente, tem agido de forma que nos deixa a impressão de estar considerando a segurança da sua imagem mais importante do que a verdade eleitoral. Para ele, criticam o sistema porque não o conhecem. Trata-se de julgamento precipitado. Criticam porque não lhes é dado conhecer.
Não lhes é dado conhecer o porquê dos votos totalizados não serem tabulados por seção eleitoral, mas apenas por região. Se a tecnologia é usada para facilitar a votação e acelerar a apuração, por que não perimitir o mesmo para a fiscalização, onde nasce a segurança da verdade eleitoral? Como por exemplo, permitir o cruzamento da versão impressa do boletim de urna com a versão que é transportada em disquete para a junta de apuração, através do parcelamento dos mapas de apuração por seção eleitoral, ao invés de depender totalmente de um software de criptografia que ninguém pode inspecionar? Como saber se a intenção nesta escolha é a dificultar a fiscalização? Aceitar requisitos de transparência, exigidos na lei eleitoral de 1997, não é sucumbir à devassidão ou ao jogo político, nem é admitir tentações ou intenções íntimas escusas. É aceitar a necessidade do equilíbrio entre riscos e responsabilidades na missão da justiça eleitoral, equilíbrio que constitui a segurança da verdade eleitoral.
Porém, mais grave que as fragilidades técnicas parece ser a posição do poder legislativo. Por algum acidente histórico, as leis eleitorais em vigor resultam fantasiosas em sua severidade e contexto, prejudicando sua eficácia. Candidatos fingem obedece-las, sabendo que podem se ver alvos do seu rigor, caso fujam do comportamento esperado. É como se os legisladores se sentissem reféns ou dependentes dela, hora impotentes para mudá-la, hora atraídos para tirar proveito disso.
Se alguém propusesse ao congresso uma urna eleitoral feita de uma novo tipo de tecido, uma urna que impedisse as fraudes no papel mas que, uma vez derramadas as cédulas sobre a mesa de apuração, não fosse permitido a ninguém examinar o fundo da urna, esta proposta seria aceita? Por que então é aceita ingenua e docilmente, quando o tecido é feito de bits? Não é preciso ser jurista para saber que um sistema de escrutínio inescrutável é um contra-senso. Ocorre aqui uma hábil exploração do fascínio contemporâneo com a tecnologia, vista como panacéia para os males humanos. Como dizia meu avô em sua sabedoria mineira, "quem morre por gosto, o diabo faz o enterro".

3) SF: Quais são, no aspecto operacional, as fraudes possíveis?

PR: Algumas fraudes antigas não foram eliminadas pela desmaterialização dos votos. Como a dos eleitores fantasmas, na qual o mesário libera o voto de vários títulos eleitorais numa mesma visita de seu comparsa à cabine. Ironicamente a tecnologia mais primitiva, o carimbo com tinta indelével na mão limpa que recebe a cédula de papel, ainda é a salvaguarda mais eficaz contra este tipo de fraude. Dentre as novas fraudes, as principais são as várias formas de embuste através do software instalado na urna, ou do uso indevido de urnas. Nesta última, o boletim enviado ao tribunal em disquete pode ser, por exemplo, gerado numa urna clonada, uma urna reserva que funcionou escondida na mão do mesário, como um videogame, no lugar do boletim gerado na seção eleitoral. Para uma eleição presidencial, por exemplo, que partido conseguiria conferir manualmente, em quarenta e oito horas, quatrocentos mil boletins de urna impressos nas seções, para conferir o resultado com os mapas de totalização dos tribunais? Muitas vezes uma cópia impressa do boletim de urna nem mesmo é entregue aos fiscais de partido, bastando que uns poucos não sejam entregues no prazo para inviabilizar a possibilidade de verificação da totalização independente do TSE. E mesmo que todos os boletins de urna sejam entregues e tal conferência manual consiga ser feita no prazo, que juiz eleitoral acataria o argumento de que o erro está no software de totalização, e não na apressada conferência manual, quando os juízes têm invariavelmente denegado pedidos de impugnação com o argumento de que a urna não erra?
Entretanto, as fraudes mais perigosas são as que podem ser montadas dentro da urna, pela insersão de lógica embusteira em qualquer um dos seus sofwares. Se o embuste for inserido no software antes de ser entregue pelo TSE aos tribunais regionais, o alcance da fraude pode ser nacional. Se for inserido num tribunal regional, antes da replicação nos dispositivos de armazenamento inseridos na urna na semana anterior à votação, os chamados flashcards, a fraude será regional. Este tipo de embuste pode ser feito, por exemplo, inserindo-se uma clásula condicional no trecho do programa que registra a contagem dos votos. Numa eleição majoritária em segundo turno, por exemplo, este condicional somaria um voto ao total de um candidato sempre que este total atinja um determinado múltiplo, subtraindo-o do outro candidato. Um voto desviado a cada quarenta, por exemplo, distorceria o resultado em cinco por cento, como se o voto de um candidato fosse contado como 1,2 votos, e para o outro candidato como 0,8. Uma tal inserção ocuparia apenas cerca de tres linhas do programa.
Este exato exemplo foi inserido no software da Proconsult, usado na totalização da eleição de governador no Rio de Janeiro, em 1982. A fraude da Proconsult, apelidada então de "diferencial delta", só foi descoberta porque um jornalista resolver fazer apuração paralela, a partir dos boletins de urna divulgados nas sessões, ainda manualmente preenchidos. Só que, agora, a urna não permite recontagem e o boletim com os totais da urna pode ser emitido, quer na forma eletrônica, quer nas formas eletrônica e impressa, já com fraude. Fraude que não estaria evidente na totalização, pois os totais de uma urna nas versões eletrônicas dos boletim não são tabulados nas juntas de apuração, mas apenas somados. Perguntado sobre a possibilidade deste tipo de fraude, um técnico do TSE disse em uma palestra que ela não seria possível, pois quem faz o software da urna não saberia de antemão os números dos candidatos. Acontece que esses números sempre começam com o número do partido, que nunca mudou desde o início da informatização das eleições, e os candidatos em eleições majoritárias tem recebido sempre este mesmo número. Alguém adivinha qual será o número do Lula na próxima eleição? La segurança soy yo!

4) SF: Que medidas seriam necessárias nestas eleições para minimizar ou sepultar os riscos de fraude?

PR: Por ser um processo que visa equilibriar riscos, a segurança só pode ser 100% para quem já está morto. O que se pode fazer para minimizar os riscos de fraude com a urna eletrônica é buscar garantias relativas de transparência e integridade dos softwares, que dificultem o risco de fraudes de origem interna e externa de forma equilibrada. Este equilíbrio é atingido quando o potencial fraudador de um lado é o fiscal ideal do outro lado. Porém, só as fraudes de origem externa parecem ocupar a tela do radar do TSE, apesar do acesso aos botões de uma urna não dar acesso para alteração no seu software. A urna não é programável pelo teclado. Só quem pode alterar software é quem tem acesso a eles através de flashcards ou disquetes, acesso esse controlado pelos tribunais eleitorais. Assim, como é que um hacker na internet vai invadir e contaminar a urna, se a urna nunca é conectada à internet? Não sabemos. Mas, por um despacho de Ministro do TSE, sabemos que os fiscais não podem ver o código fonte de certos programas da urna pela razão de que "quanto menos pessoas conhecerem o software, menor o risco de vulneração do sistema". Ao dizer isso, o ministro infere que só os riscos externos são relevantes, uma falácia muito perigosa.
Para obter garantias da verdade eleitoral o eleitor precisaria saber que os programas que entram na urna ou totalizam votos são idênticos aos que foram examinados pelos seus representantes. Pela lei esses seriam os fiscais de partido, incumbidos de verificar se a lógica desses programas pode ou não subverter a aritmética que conhecemos. Para isso, os fiscais precisam das duas coisas que constituem uma auditoria decente de software. Precisam examinar esses programas na forma em que são escritos pelos programadores, isto é, em código fonte, antes que sejam compilados para a linguagem em que irão executar, a linguagem da máquina. E precisam proceder ao cálculo de um autenticador de cada programa, uma espécie de impressão digital da versão compilada em sua presença, para poderem comparar com o resultado do mesmo cálculo efetuado com cópias do mesmo, amostradas quando em operação, para validar sua integridade.
No caso da urna, a amostragem ideal para validação seria quando o conteúdo do flashcard é carregado em memória, no início da votação. Este cálculo poderia ser efetuado por um dispositivo de hardware no computador da urna chamado BIOS, mas este recurso não consta de especificação desta BIOS. Em nenhuma de suas versões, ao que me consta. A solução paliativa seria amostrar os programas para validação quando estiverem sendo gravados nos flashcards, nas máquinas replicadoras dos tribunais regionais, na semana que antecede as eleições. Mas os juízes eleitorais nunca permitiram a nenhum fiscal sequer por a mão num desses flashcards, muito menos instalá-los em suas próprias máquinas para cálculo de autenticadores de validação.
O que o TSE chama de auditoria aos programas da urna, é apenas um simulacro. Os fiscais só podem ver o código fonte de um dos tres programas que vão na urna, o aplicativo que contabiliza votos. Mas mesmo que este programa esteja limpo, tanto quando é inspecionado e quando é instalado na urna, os outros programas também podem promover embustes sobre o boletim de urna, por intermediar a sua gravação. Na eleição anterior, as condições e normas para participação dos fiscais nessa "auditoria" só foram divulgadas na véspera da data marcada para sua ocorrência, dois meses antes da eleição e mais de um mês antes da carga dos programas nas urnas. Não foi feito nem o acompanhamento da compilação dos programas, nem o cálculo de nenhum autenticador, nem foi permitido o acesso ao código fonte da biblioteca criptográfica nem do sistema operacional. Para a próxima eleição, mesmo que este simulacro contemple, como se cogita, uma cerimônia pública na qual o aplicativo de escrutínio será compilado, o cálculo de autenticadores durante esta cerimônia, e quem sabe até durante a inseminação dos programas na urna, a lei eleitoral aprovada no congresso em Janeiro deste ano contém linguagem específica, introduzida por solicitação do ministro Jobim, que permite ao TSE manter inauditáveis o sistema operacional e a biblioteca criptográfica da urna.

5) SF: Podemos imaginar a possibilidade de fraudes sofisticadas?

PR: O sistema de votação eletrônica do TSE deposita um enorme poder sobre simples operações de soma e tabulação implementadas em software. Certamente haverão grandes benefícios inconfessáveis para quem se ponha a explorar, para fins escusos, qualquer opacidade na execução dessas instruções. O crime organizado certamente não está alheio a estas possibilidades, e irá encontrar os pontos mais frágeis do sistema para nele tentar se infiltrar. Quase sempre os pontos mais frágeis de um sistema informatizado tão sensível como este, são seus elos humanos. A possiblidade dessas explorações será inversamente proporcional à probabilidade de sua descoberta. O eleitor só pode contribuir para diminuir esta possibidade exigindo transparência e participando ativamente na fiscalização do processo. Porém, os que estão atentos vem encontrando dificuldades para identificar aliados entre os que gravitam na órbita do poder, controlando a marcha deste processo.
As fraudes mais sofisiticadas são as que distribuem com mais capilaridade os benefícios dessa opacidade. Seriam aquelas onde instruções mais complexas para manipulação a varejo são introduzidas nos programas nos tribunais regionais, tanto na urna quanto nos programas de totalização, através das quais desvios de voto em eleições proporcionais podem garantir fatias pré-negociadas de bancadas municipais ou estaduais, dentre candidatos corrompidos ou corruptos. Estes programas podem até ser projetados para apagarem, após a eleição, suas instruções de desvios de votos. Entretanto, rastros de fraudes sofisticadas podem ainda assim ser medidos por discrepâncias nas distribuições estatísticas de densidade eleitoral, em distritos geográficos ou em sessões. Alguns sinais discrepantes tem ocorrido. Como por exemplo, variação estreita de diferenças (entre 100 e 110 votos em todas as sessões) entre dois candidatos da última eleição para prefeito em Camaçari, e variações pequenas entre as votações de alguns deputados federais governistas dentre os municípios paulistas. A visibilidade de tais rastros seria uma boa razão para se evitar a tabulação por seção nos mapas de totalização dos tribunais, caso haja propensão para fraude interna.
Assim, mesmo acuado pela opacidade do sistema, é importante para o eleitor ficar atento ao bafo do leão. Quem leva o negócio da fraude a sério estará tentando se posicionar sempre um passo à frente dos mecanismos de proteção, na medida em que estes vão sendo aprimorados, impostos ou negociados por pressão da opinião pública. Mesmo que o TSE aceite implementar uma verificação eficaz de integridade do software da urna, se a totalização não tabular os resultados apurados por seção a detecção de fraude continua sendo praticamente impossível, devido à opacidade da totalização. E se a auditoria eficaz vier a ser permitida tanto na urna quanto nos softwares de totalização, a questão sobre o qual a inteligência da fraude irá se debruçar passa a ser de quem serão os programas permitidos a compilar e calcular os autenticadores dos programas do sistema eleitoral? Como podemos ver, em termos de sofisticação o crime organizado já ganhou a oportunidade de livrar uma boa vantagem nessa corrida.

6) SF: A análise da Unicamp será suficiente para afastar as suspeitas contra o risco de manipulação maldosa de programas?

PR: Supondo que esta análise venha a público sem censura, e que seu conteúdo conclua nesta direção, sim. Porém, pela seriedade e competência já demostrados pela equipe no caso do painel do senado, meu palpite é de que sua conclusão não irá apontar nesta direção, por um motivo muito simples. Se quem tem direito de examinar pelo menos um dos programas da urna são os mesmos que o confeccionam e instalam, como é o caso, um possível conluio entre esses para a manipulação maldosa significaria impunidade. A impunidade pode até estar presente sem conluio, bastando que o controle do mecanismo que controla alterações nesse programa esteja nas mãos de apenas uma pessoa. Não creio que a equipe da Unicamp desconsideraria estas possibilidades, ou consideraria tolerável o risco de fraudes inimputáveis.

7) SF: O general Alberto Cardoso compara o Cepesc ao fabricante de um cofre que perde o controle sobre o produto depois que o cliente cria o segredo para abri-lo. Tecnicamente, como a participação indireta da Abin pode ser uma ameaça de manipulação dos programas pelo Palácio do Planalto?

PR: Nenhum criítico sério do nosso sistema eleitoral condena a participação da Abin simplesmente por se tratar da Abin. Como diz um ditado americano, o diabo mora nos detalhes. Neste caso, em dois detalhes. O primeiro detalhe é que o uso do tipo de criptografia que o TSE teria encomendado ao Cepesc ainda não foi satisfatoriamente justificado na urna. O segundo detalhe é que há um jogo estranho sobre quem responde pela necessidade deste programa não ser auditável na urna. Em relação ao porquê do programa do Cepesc não ser auditável na urna, hora o TSE faz referência a exigências da Abin em seus despachos, enquanto o Gereral Alberto Cardoso da Abin hora argumenta que o conhecimento público enfraqueceria a eficácia do programa, e hora faz referência à segurança nacional. Só não ouvimos o próprio autor do programa, que certamente não é o General Cardoso, dizer isso.
A comparação do general está correta, mas não para o contexto onde ela é sucitada. A questão que merece atenção não é com quem estará o controle do cofre quando em uso. Mas a de que a ninguém, alem dos envolvidos no negócio, é permitido saber como foi construído este cofre, ou que tipo de coisa se instala na urna como se fora esse cofre. E se este cofre for na verdade uma caixa de mágico que imita um cofre? Como saber? Quem está de fora sabe apenas que algo ali não pode ser examinado, algo que quem está de dentro diz ser um cofre.
Não fossem por esses detalhes, que ofuscam a relação entre a segurança nacional a que se refere o General e a segurança da verdade eleitoral a que aspira o eleitor, não se daria importância aos riscos na participação indireta da Abin. Num mundo onde informação e programas se alastram pela internet, apenas as chaves -- e não as fechaduras digitais -- precisam ser mantidas em sigilo. A fechadura provará sua robustez pela capacidade de se expor publicamente, sem permitir acesso ao que ela protege na ausência da chave, gerada e guardada por quem precisa desta proteção. Como o autor do programa do Cepesc é certamente um criptógrafo competente, cuja competência espera-se não ter estacionado no cenário teconológico da segunda guerra mundial, dele nunca ouviremos tais argumentos se sua agenda não for oculta.
Mas suponha, por um momento, que tudo aquilo que os críticos desejam em relação à auditoria dos programas seja finalmente concedido pelo TSE, exceto a auditoria do programa criptográfico do Cepesc. Os cenários de riscos daí decorrentes seriam ainda graves e variados. Num desses cenários, o programa entregue pelo Cepesc ao TSE, além das funções criptográficas que usam as chaves geradas pelo próprio TSE, pode conter também instruções sorrateiras para operar fraude sobre o boletim de urna. Para isso, o programador precisa apenas de algumas informações sobre o formato do boletim, tais como os números dos candidatos e a posição dos totais de votos, e um pequeno empurrão do ambiente onde irá operar, se a fraude se destina a ambas versões, impressa e eletrônica. Este empurrão pode ser uma chamada à memória pelo aplicativo de escrutínio antes da impressão do boletim. Ou então uma vulnerabilidade do sistema operacional que pode ser explorada para, através de um módulo de instalação, infiltrar nele o embuste, à moda de um vírus, para ficar vigiando chamadas ao processo de impressão, quando então seria dado o bote do embuste no boletim. O sistema operacional poderia também carregar embustes tendo como alvo os processos de coleta de dados do teclado e visualização na tela da máquina.
Por falar nisso, não está claro por que o TSE escolheu o Windows CE como sistema operacional, e BIOS gravável por software, para suas novas urnas. Um dos possíveis efeitos motivadores da escolha poderia ser o de oferecer ao TSE uma álibi para manter opacidades da urna. Noutro cenário mais ameno, mesmo que todos os programas opacos sejam encomendados e entregues honestos e robustos, esta opacidade dá ao TSE a liberdade de instalar na urna, em seu lugar, uma versão embusteira de qualquer desses programas. A argumento da necessidade de se manter na urna um só programa inauditável que seja, como o do Cepesc, pode servir como álibi para a ocultação de embustes por trás de toda a transparência no resto. Assim como um mágico que mostra todas as faces de sua caixinha de supresas, exceto uma. "La segurança soy yo".

8) SF: Que alternativas técnicas o TSE teria para excluir o Cepesc?

PR: A alternativa mais simples seria programar a apuração de forma a tabular e publicar eletronicamente todos os boletins de urna recebidos. Qualquer fiscal de seção no Brasil se tornaria também um fiscal de apuração, com uma cópia do boletim de urna e do acesso à inrternet. Uma proteção redundante à transparência de fiscalização seria o uso de criptografia para assinatura digital dos boletins de urna. Ela serviria para detectar trocas de disquete durante o transporte de boletins emitidos por urnas idôneas. Para entendermos porque esta solução seria simples e eficaz, precisamos primeiro entender o problema que trouxe o Cepesc à urna.
Os boletins de urna eletrônicos precisam ser protegidos durante o transporte, isto é, da urna urna onde é gerado até a junta de apuração a que se destina. Mas protegidos contra o que? Esta pergunta é o início do problema, pois os possíveis modos de uso da criptografia protegem eficazmente o dado contra apenas um tipo de ataque. Ou contra acesso indevido, ou contra adulteração do conteúdo. No primeiro modo, a criptografia irá procurar embaralhar, da melhor forma possível, a sequência de bits a ser protegida, de sorte que só o emissor e o receptor poderão desfazer esta codificação, mediante a posse e o uso da chave criptográfica. Tal chave é o que o General Cardoso compara com o segredo de um cofre. Neste modo de uso a criptografia implementa o que se chama cifra de sigilo. Cifras de sigilo, entretanto, não são boas protetoras contra adulteração, devido a um detalhe quem precisa acessar o dado no destino poderá também alterar esse dado e sustentar, perante terceiros sob demanda judicial, que a versão alterada foi a recebida.
Já no segundo modo, a criptografia procura fixar, da melhor forma possível, a sequência de bits a ser protegida, de sorte que qualquer adulteração nessa sequência durante o transporte possa ser detectada no destino. Neste modo de uso a criptografia implementa o que se chama de autenticador ou assinatura digital. E novamente, autenticadores não são bons protetores contra acesso indevido já que os bits protegidos, por estarem fixos em suas posições, nada ocultam enquanto estiverem fixos. É claro que estas limitações não impedem o uso combinado dos dois modos de criptografia, mas possibilitam que a criptografia se torne inócua por erro de avaliação, quando o projeto do sistema demandar um modo de proteção e sua especificação escolher outro.
E quanto ao nosso sistema eleitoral? Como o boletim de urna se destina a ser impresso e tornado público na seção eleitoral antes de ser gravado e transportado em disquete, em cujo destino será tabulado em mapas de totalização também públicos, seu conteúdo deveria ser público tanto na origem como no destino. Portanto, neste caso, não há razão direta para a demanda de proteção contra acesso ao conteúdo, enquanto há razões de sobra para a demanda de proteção contra adulteração. Acontece que a versão eletrônica do boletim de urna, por motivos ainda inexplicados, não é divulgada pelo tribunal. Não é desse sigilo de voto de que fala a Constituição Federal. Apenas sua versão impressa é transportada junto com o disquete, para ser lá divulgado como se as duas versões fossem sempre idênticas. Assim, não há como os fiscais coferirem nada sobre a versão eletrônica dos boletins de urna. Nem se esta versão do boletim que chega no tribunal é a mesma que saiu da urna da seção em disquete, nem se as versões eletrônica e impressa do mesmo boletim coincidem, nem se as versões eletrônicas dos diversos boletins de uma região foram corretamente somados na totalização, este última pelos motivos práticos já abordados.
Assim, qualquer garantia oferecida pelo sistema acerca da integridade da versão eletrônica dos boletins de urna repousa única e exclusivamente no uso da criptografia. Repousa, entretanto, sobre o modo errado, já que este uso se dá através de programa encomendado ao Cepesc para proteger o boletim de urna contra acesso indevido ao conteúdo. Até onde nos é dado saber, o Cepesc entregou o que lhe foi encomendado, isto é, um programa que implementa o que chamamos de cifra para sigilo. Decorre daí que tal uso protege a versão eletrônica dos boletins, a que realmente conta para a eleição no nosso sistema, contra duas coisas ao mesmo tempo. Contra fraudes praticáveis por quem não tem acesso à devida chave, e contra acesso ao conteúdo de fraudes praticáveis por quem tenha tal chave. Se é para se buscar apenas a primeira proteção, não basta usar criptografia nessas condições, por melhor que seja sua qualidade. Carece também que se neutralizar seu segundo efeito, que podemos chamar de colateral caso não seja intencional. Três medidas são possíveis para neutralizar este efeito. A especificação do modo de uso da criptografia adequada à situação, ou seja, a assinatura digital, a auditoria decente em todos os programas, especicialmente nos programas de criptografia e de totalização, e a publicação das versões eletrônicas dos boletins de urna nos mapas de totalização das juntas de apuração e nos tribunais.
Em outras palavras, se o TSE quiser proteger a verdade eleitoral, sem no processo destruí-la com mecanismos de proteção a possíveis fraudadores agindo nos programas de totalização e/ou de votação, deveria encomendar o modo criptográfico adequado, que é a assinatura digital, associado à publicação da versão eletrônica dos boletins no processo de totalização e à auditabilidade dos softwares, não só pelos partidos como também pelo próprio TSE. Não importa se a biblioteca criptográfica para assinatura digital seja encomendada ao Cepesc ou a outra instituição ou empresa. O detalhe de quem faz o software passa a ser irrelevante quando o software é transparente, isto é, auditável, pois a intenção e a compentência do programador se fazem assim mensuráveis. Doutra parte, como as poucas fórmulas conhecidas para se implementar mecanismos de assinatura digital são de domínio público e relativamente simples, até mesmo os programadores do TSE poderiam implementá-la. Alguns de meus ex-alunos, a quem ensinei como fazê-lo e lá trabalham, me desapontariam se corressem desta responsabilidade.
Porém, nos seis anos de existência do sistema, o que vemos em relação a estas medidas é uma tenaz resistência do TSE em acatá-las ou mesmo considerá-las. Esta postura só é admissível sob a premissa de que o risco de fraude de origem interna é desprezível, irrelevante ou tolerável. Podemos ver esta avaliação explicitada em despachos de juízes eleitorais contra pedidos de impugnação "Indeferido, pois a urna eletrônica não erra". Cada um que julgue por si, e morra por gosto ou de desgosto, paranóico ou delirante sobre conspirações ou conspiradores.

9) SF: Como cidadão e eleitor, o sr. acredita que a disputa acirrada entre os principais candidatos e o risco de derrota do candidato governista aumentam a possibilidade de fraudes?

PR: Com relação à disputa acirrada, se me permite, prefiro responder como analista de segurança computacional. O risco de fraude certamente aumenta com o acirramento, pois um percentual de desvio próximo à margem de erro das pesquisas, implantado sob medida poucos dias antes da eleição, pode se camuflar como flutuação estatística normal, encorajando potenciais fraudadores. Doutra feita, um desvio exagerado para alcançar a inversão do resultado eleitoral forçaria os institutos de pesquisa a uma de duas alternativas desconfortáveis. Ou a percepção pública de sua improbidade, ou os riscos de um conluio com a fraude. Com relação ao risco de derrota governista, há uma conjugação de fatores que contribuem pelo menos para uma primeira impressão nesse sentido. O do atual presidente do TSE ser considerado defensor dos interesses governistas na mais alta corte de justiça, sua atuação política no congresso em relação às leis eleitorais, aliados à atual opacidade do processo e à sua disposição em mantê-lo assim. Assim, o que o ministro vem chamando na imprensa de "síndrome da conspiração" não pode ser creditado apenas à paranóia de palpiteiros, já que ele mesmo vem contribuindo para agravá-la com sua postura. 10) SF: O presidente do TSE, ministro Nelson Jobim, criou algum obstáculo para o controle do sistema eletrônico de votação? É possível dar um exemplo?

PR: Ele dá a impressão de desejar o aprimoramento do sistema. Mas sempre que acolhe sugestões, seja ele ou seus antecessores na presidência do TSE durante a vigência do voto eletrônico, seja ao negociar uma nova lei eleitoral ou ao regulamentar leis em vigor, o TSE termina por implementá-las pelas metades, o que acaba por reforçar a ingenuidade popular sobre a linha divisória de tolerância aos novos riscos eleitorais, em detrimento da segurança da verdade eleitoral.
Um exemplo foi a manobra política do ministro para a aprovação de emendas à nova lei eleitoral, que tramitava no Senado por iniciativa dos senadores Requião e Tuma. Esta lei previa auditoria completa nos softwares do sistema. Haveria também conferência do boletim de urna através da apuração dos votos impressos em uma amostragem de 3% das urnas, a serem sorteadas no dia da eleição. Poucos dias antes da votação da matéria, o ministro Jobim enviou aos senadores da base governista pedido para que apresentassem 15 emendas ao projeto, e que foram apresentadas no dia da votação. Uma delas, apresentada pelo senador Bello Parga, antecipa para a véspera da eleição o sorteio das urnas que terão conferência dos votos através da apuração dos votos impressos. Outra, apresentada pelo senador Francelino Pereira, restringe o direito dos partidos auditarem alguns dos programas do sistema eleitoral e suprime condições obrigatórias para a eficácia da auditoria restante.
O então líder do governo, senador Hugo Napoleão, diante da recusa do relator em acatar estas emendas, pediu votação em separado para as mesmas e instruiu seus liderados a votarem a favor. Além disso, instruiu-os contra a emenda que retirava o último artigo do projeto de lei, estabelecendo prazo de um ano para sua entrada em vigor, sob o argumento de que já havia acordo na Câmara para aprová-la a tempo para sua vigência na eleição de 2002. Hugo Napoleão conseguiu o que queria, a aprovação do projeto com essas emendas no plenário do Senado em 2 de Outubro de 2001.
Na Câmara, onde o projeto votado no senado chegou no dia seguinte com pedido de urgência, um acordo de lideranças retirou neste mesmo dia esta urgência, sob o argumento de que a matéria precisava ser melhor estudada. Na Comissão de Constituição e Justiça da Câmara, onde tramitou em 15 dias, essas emendas foram retiradas. Porém, no dia em que foi a votação no Plenário, o ministro Jobim pediu e conseguiu um outro acordo de lideranças, desta vez para que o projeto fosse revertido à versão aprovada no Senado, sob o argumento de que, se aprovada na Câmara com as modificações propostas pela CCJ, o projeto teria que voltar para o Senado, perdendo assim o prazo de vigência para eleição de 2002. Ocorre que este prazo já havia se esgotado no dia seguinte à sua chegada na Câmara.
Com o sorteio de véspera das urnas a serem conferidas, seria impossível impedir a troca sorrateira de flashcards sujos por limpos durante a madrugada, já que os lacres assinados pelos fiscais são estocados sem controle de contagem, durante os procedimentos de carga das urnas. E mesmo que todas as urnas estejam limpas e nenhum truque seja necessário para que a confirmação por apuração nos votos impressos saia incólume, não há garantias de que as versões eletrônicas dos boletins de urna coincidem com as versões impressas, pois a totalização nos tribunais não tabula os votos por sessão, mas apenas por região geográfica. No plenário da Câmara, o projeto de lei foi aprovado como veio do senado. Quize dias depois, o TSE declara o senador Hugo Napoleão governador do seu estado, cassado o governador eleito. Com essa norma eleitoral, legada do serviço legislativo prestado à nação pelo nobre senador-governador do Piauí, a opacidade dos softwares no nosso sistema eleitoral se mantém, enquanto a "garantia" oferecida pela cofirmação de votos impressos se torna mais um espelho numa caixinha de mágico.
Certamente a síndrome da conspiração de que fala o ministro Jobim não é causada apenas pela paranóia de palpiteiros.


Voltar ao início do texto
Voltar ao Jornal do Voto Eletrônico