Texto original
disponível para
download
(.RTF, ZIP, 22 Kb)
Avaliação da Segurança da Urna Eletrônica Brasileira
Artigo apresentado em 25 de Outubro de 2000
por Amílcar Brunazo Filho
no Simpósio de Segurança em Informática, SSI'2000
ITA, São José dos Campos, SP, Brasil
Artigos e Textos do
Voto Eletrônico

RESUMO
Uma polêmica estabeleceu-se sobre a impossibilidade de se conferir a apuração dos votos na urna eletrônica brasileira. Um impasse sobre este tema foi atingido tanto num debate técnico no SSI'99 quanto num debate político no Plenário do Senado Federal do Brasil.
Este trabalho faz uma análise deste problema, sugere uma solução e propõe que o voto eletrônico seja tratado como um "sistema de alto risco de fraude".

ABSTRACT

A controversy was settled about the Brazilian Electronic Voting Machine and it's impossibility to grant de poll. A dilemma was reached either in SSI'99 technical debate as in a political debate in Brazilian Federal Senate.
This article analyses this subject, offers a solution and proposes that e-vote be treated as "high fraud risk system".

1- INTRODUÇÃO

Neste ano de 2000 o Brasil torna-se o primeiro país do mundo a fazer uma eleição 100% informatizada em todos os seus níveis, desde o cadastramento dos eleitores até a publicação do resultado final. Mais de 107 milhões de eleitores votarão em 315 mil seções eleitorais para eleger cerca de 5.400 prefeitos e de 53 mil vereadores.
Neste processo a Justiça Eleitoral contará com aproximadamente 354.000 urnas eletrônicas e com uma Rede de Totalização Privativa de abrangência nacional, interligando 28 computadores de grande porte e milhares de terminais e pontos de acesso.
O orçamento previsto para a informatização total do voto no Brasil entre 1996 e 2000 foi de U$ 546,4 milhões (Camarão, 1997, pg. 203).
Com um processo informatizado destas dimensões e com esta responsabilidade, a questão da segurança e confiabilidade torna-se complexa e assume importância maior. Seu projeto não deveria ficar relegado a um pequeno grupo de técnicos e merece ser debatido no meio acadêmico, tanto no lado jurídico da questão quanto nos seus aspectos de informática, como já foi proposto no Simpósio de Segurança em Informática, SSI'99.
Dando continuidade à idéia de ampliar o debate técnico sobre este tema, apresenta-se a seguir uma análise sobre o processo de validação, certificação, teste e auditoria da apuração dos votos na urna eletrônica brasileira, com a finalidade de esclarecer argumentos em torno da polêmica que ficou evidente na 22ª Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, do dia 01 de Junho de 2000, cuja ata pode ser obtida em (http1), durante o debate que travaram o Ministro Nelson Jobim, do TSE, e o Senador Roberto Requião sobre adeqüabilidade do Projeto de Lei do Senado PLS 194/99 (Requião, 1999, http2), o qual impõe novas regras para a auditoria da apuração nas urnas eletrônicas.
Na seção 1.1, deste artigo, é apresentado um glossário dos principais termos e conceitos utilizados, para facilitar a escrita e a compreensão do artigo.
Na seção 2 é descrito o PLS 194/99 para destacar o ponto central desta polêmica, que é a impressão do voto como meio de possibilitar a auditoria da apuração eletrônica.
Na seção 3 é apresentada a legislação brasileira relacionada com a segurança, auditoria e fiscalização do voto informatizado, ressaltando-se seus pontos fortes e suas lacunas, e comenta-se alguns ângulos jurídicos da questão da impressão do voto. Esta análise do lado jurídico da questão não é aprofundada por escapar do escopo deste Simpósio.
Na seção 4 é descrito quais foram os procedimentos de validação, certificação e testes de auditoria das urnas eletrônicas, nas eleições de 1996 e de 1998, para se comparar, na seção 5, com o sugerido pela Norma Técnica Internacional ISO/IEC 15.408 de Dez/99 (http3), a qual estabelece Critérios de Avaliação da Segurança no âmbito da Tecnologia de Informação. Ao final são apresentas as conclusões.

1.1 GLOSSÁRIO

Apresentamos a seguir, a definição de alguns termos que serão usados neste artigo:
Apuração dos Votos
É o processo de contagem dos votos de cada urna. No caso da urna eletrônica a apuração é feita na própria Seção Eleitoral onde se deu a votação. No caso de urnas tradicionais, a apuração se dá nas Zonas de Apuração.
Totalização dos Votos
É o processo de contagem dos votos de todas as urnas de todas as seções eleitorais. É feita por programas contidos na Rede de Totalização do TSE, a qual tem terminais de acesso em todos os TRE estaduais e nas sedes das Zonas Eleitorais municipais.
Boletim de Urna (BU)
É o documento que contém o resultado da apuração de cada urna eletrônica. Por lei, deve ser impresso, publicado na própria seção eleitoral e distribuído aos partidos políticos. Uma versão digitalizada do BU é gravada num disquete magnético para servir de transporte do BU para os terminais de entrada da Rede de Totalização.
Programa Básico
Trata-se do conjunto autônomo de programas da urna eletrônica posto para funcionar logo que este é ligado. O Programa Básico da urna eletrônica é composto por: Sistema Básico de Entrada e Saída (BIOS), Sistemas Operacional e Gerenciadores de Dispositivos (Device Drivers).
Programa Aplicativo
Trata-se de programa de computador, não autônomo (precisa que um Sistema Operacional esteja instalado e funcionando), que é o responsável pela recepção e ordenação dos dados originados ou destinados aos equipamentos periféricos.
Criptografia
São técnicas matemáticas de se embaralhar (cifrar) um conjunto de dados ou textos, com a finalidade de esconder ou tornar incompreensível as informações ali contidas, ou seja, a Criptografia é idealizada para defender a confidencialidade dos dados. As técnicas de criptografia normalmente utilizam dois elementos no seu processo: 1) a fórmula ou algoritmo de ciframento; 2) uma seqüência de números, chamados "chave". Para se reconstruir o texto ou dados originais necessita-se conhecer a chave inversa (ou de "deciframento") mais a fórmula ou algoritmo inverso (ou de "deciframento") ao utilizado no ciframento.
Assinatura Digital
São técnicas matemáticas utilizadas para que se possa saber quem ou que equipamento gerou certo documento e se tal documento não foi adulterado, ou seja, a Assinatura Digital é idealizada para se garantir a integridade dos dados. Estas técnicas normalmente utilizam algumas fórmulas peculiares de criptografia, chamadas de "assimétricas" ou de "Chaves Públicas", onde tanto a fórmula de ciframento, quanto a chave e a fórmula de deciframento são divulgadas para conhecimento público. Apenas a chave usada para ciframento é mantida secreta por aquele que vai fazer a assinatura digital. Assim, qualquer pessoa que conheça os dados públicos pode verificar que tal documento, assinado digitalmente, proveio de determinada pessoa ou equipamento.
Sistemas Fechados
Diz-se de um sistema criptográfico onde tanto as chaves quanto as fórmulas de criptografia e de deciframento são mantidas em segredo. Um ataque externo à um sistema fechado é dificultado pois não se conhece a fórmula de deciframento. Porém sistemas fechados tem pouca resistência ao ataque de elementos internos (que tiveram acesso à suas fórmulas). Outro problema é que sistemas fechados não podem ser provados como matematicamente seguros. Utilizar um Sistema Fechado de Criptografia implica diretamente em confiar cegamente no fornecedor.
Sistemas Abertos
Diz-se de um sistema criptográfico onde as fórmulas de criptografia e de deciframento são divulgadas publicamente e apenas as chaves são mantidas em segredo. A vantagem de Sistemas Abertos é que se pode calcular e provar qual o tempo médio que um atacante, que não conheça a chave secreta, terá que gastar para reconstruir o texto original por tentativa e erro. Se este tempo médio for maior (bem maior) que o tempo em que a informação deve permanecer protegida, considera-se o sistema seguro. Um sistema de Assinatura Digital é sempre um Sistema Aberto, por sua própria concepção.
Ataque
Ação de algum agente, interno ou externo à corporação, com o objetivo de deturpar o funcionamento esperado de um equipamento, programa ou sistema.
Ataque Destrutivo
Um ataque cujo objetivo é paralisar ou atrasar o funcionamento regular do sistema-alvo, visando reduzir sua disponibilidade para uso (availability) sem, no entanto, construir algum resultado falso.
Ataque Dirigido ou Construtivo
Um ataque que visa construir, de forma escamoteada, um resultado falso durante o funcionamento do sistema atacado, tentando fazer o resultado falso ser aceito como verdadeiro.
Ataque de Força Bruta
É o ataque a um sistema de criptografia ou de bloqueio lógico de acesso no qual que tenta descobrir a senha ou a chave por tentativa e erro de todas as combinações possíveis. Quando se fala que existe "prova matemática" que um dado sistema de segurança resiste a um ataque por tanto tempo, normalmente está se referindo a Ataque de Força Bruta. Assim, esta "prova matemática" não garante a inviolabilidade do sistema pois outras formas de ataque, que se valham de características particulares dos sistemas ou do vazamento de informações podem, eventualmente, obter sucesso em tempo menor.
Vício em programa
refere-se a modificações espúrias introduzidas em programas de computador com a finalidade de provocar um funcionamento diferente do objetivo do projeto.
Segurança (security e safety)
As palavras "security" e "safety" são regularmente traduzidas para o português por "segurança" mas referem-se a conceitos diferentes. Security é o nome dado ao estudo de sistemas informatizados onde se pretende garantir a confidencialidade, a integridade e a disponibilidade dos dados, como é o caso do voto eletrônico. Já Safety é o estudo de sistemas para garantir seu funcionamento correto mesmo com a ocorrência de falhas (de equipamentos ou programas) durante sua operação.
Potencial de dano
Numa análise da segurança de um sistema deve-se atribuir um valor ao "potencial de dano" de cada falha ou fraude que existir. No caso de "security", este valor deve refletir a grandeza e a importância dos danos provocados se tal fraude ocorrer. Por ex., uma fraude que possa eleger um governador, como ocorrido no Rio de Janeiro em 1982, que ficou conhecida como Caso Proconsult (Mineiro, 2000, http4), deve ter um valor de "Potencial de Dano" bem maior que uma fraude que só possa eleger um vereador, como a compra de votos de alguns eleitores.
Valor do Risco
O Valor do Risco de uma fraude é calculado como o produto do seu Potencial de Dano versus sua Probabilidade de Ocorrência. É um valor que os auditores de segurança devem procurar obter para que seja possível comparar sistemas e riscos diferentes entre si.
Sistemas de Alto Risco
Diz-se de sistemas informatizados cujo Potencial de Dano é muito elevado e a Probabilidade de Ocorrência não é desprezível. Na área de "safety", sistemas que envolvam risco de vida ou de grandes danos ambientais, como um sistema de controle de aeronaves ou usinas nucleares, são classificados como de alto risco. Na área de "security", o Processo Eleitoral Informatizado tem as características de Sistema de Alto Risco pois a Probabilidade de Ocorrência de Fraudes é alta devido aos grandes interesses envolvidos e o Potencial de Dano, que é entregar o poder político a um eleito ilegítimo, também é alto.
Validação
refere-se ao processo de análise de um projeto de equipamento ou de um programa de computador, com a finalidade de se determinar se atende ao objetivo desejado. A validação se dá antes da produção final do equipamento ou programa e deve ser feita por auditores que deverão seguir normas técnicas pré-determinadas na elaboração de seus relatórios. A norma ISO/IEC 15.408 é recomendada para processos informatizados na área de "security".
Certificação
refere-se ao processo de acompanhamento da produção de um equipamento ou da carga de um programa em computador de forma a se verificar se o produto final corresponde ao projeto ou programa que foi validado anteriormente. A certificação se dá ao final do processo de implantação ou fabricação do sistema e antes da sua operação.
2. A POLÊMICA SOBRE O PLS 194/99

2.1 A Proposta do PLS 194/99

Projeto de Lei do Senado PLS 194/99 (Requião, 1999, http2), que visa ampliar a segurança e a fiscalização do voto eletrônico, foi apresentado pelo Senador Roberto Requião no dia 31 de Março de 1999, propondo modificar a Lei n.º 9.504, de 30 de setembro de 1997, a qual estabelece normas para as eleições.
As alterações na Urna Eletrônica propostas pelo PLS 194/99, que também são apresentadas por Brunazo (1999), são essencialmente duas:
  1. que se desvincule a identificação do eleitor da máquina de votação, para impossibilitar a identificação do voto;
  2. que se proceda a conferência da apuração eletrônica em 3% das urnas eletrônicas, escolhidas a posteriori, por meio da recontagem dos votos impressos, os quais deverão ser conferidos pelo eleitor antes de serem depositados numa urna convencional. No caso de divergência entre a contagem eletrônica e a recontagem dos votos impressos, outras urnas seriam conferidas dentro de um processo judicial aberto para determinar a origem da diferença.
Este Projeto de Lei foi aprovado pela Comissão de Constituição, Justiça e Cidadania, CCJ, do Senado Federal em 15 de setembro de 1999, e foi colocado na pauta de votação do Plenário do Senado do dia 03 de Maio de 2000. Desde então a votação do PLS 194/99 foi adiada e remarcada três vezes atendendo a pedidos partidos do Presidente do Tribunal Superior Eleitoral, TSE, Ministro José Néri da Silveira, dirigidos ao Sen. Roberto Requião e encaminhados ao Presidente do Senado, Sen. Antônio Carlos Magalhães.

2.2 A Polêmica sobre a Impressão do Voto

No dia 01 de Junho de 2000, data da última votação adiada, o Ministro do TSE, Sr. Nelson Jobim, apresentou as críticas oficiais do TSE sobre o PLS 194/99, durante uma Reunião Pública Extraordinária (http1) da CCJ do Senado, especialmente convocada para este fim.
O Ministro Jobim concentrou suas críticas ao item 2 acima, ou seja, à impressão do voto como meio de se proceder a auditoria da apuração. Seus argumentos foram respondidos pelo Senador Requião e, ao final do debate, ficou decidido que técnicos assessores do Senado e do TSE se reuniriam para procurar uma solução técnica consensual, ficando a votação do PLS 194/99 em suspenso.
Idêntico impasse, sobre a adeqüabilidade da impressão do voto como meio de conferência da apuração eletrônica, já havia surgido durante o debate na Mesa Redonda ocorrida no Simpósio de Segurança em Informática de 1999, cujo tema foi: "Aspectos Técnicos de Segurança Relacionados com o Voto Eletrônico".
Os argumentos daqueles que se opõe à utilização da impressão do voto como meio de permitir a conferência da apuração eletrônica e os contra-argumentos dos que defendem o uso do voto impresso, são apresentados a seguir:
Argumento 1
A impressão do voto introduz um risco de fraude adicional à urna eletrônica atual, por troca dos votos impressos. É um retorno às fraudes do passado, permitindo um ataque dirigido que acarretaria a anulação de toda a urna, construindo um resultado falso e distorcendo a verdade eleitoral.
Contra-argumento
A simples troca dos votos impressos, não permite a construção de um resultado falso, pois tal ataque só seria eficaz se houvesse fraude idêntica no processo eletrônico de apuração, o que é dificultado por serem técnicas totalmente dispares de ataque. Neste caso, a impressão do voto cria dificuldades adicionais ao atacante, que teria que fraudar dois sistemas bem diferentes entre si, para obter sucesso. No caso da troca apenas dos votos impressos, sem equivalente troca dos votos apurados eletronicamente, as diferenças apareceriam apenas se a urna fosse escolhida para recontagem e, neste caso, seria aberto um processo judicial para determinar se o desvio de votos ocorreu na urna eletrônica ou com votos impressos. Outras urnas seriam abertas para auxiliar a tomada de decisão do juiz que poderia validar o resultado mais confiável, sem anular os votos de toda seção.
     Assim, o Potencial de Dano deste alegado ataque deve ser estimado na sua devida proporção, pois a situação agora é diferente do caso do sistema tradicional de voto onde se o atacante obtivesse sucesso em trocar os votos de uma urna teria conseguido um ataque dirigido completo, pois teria desviado com sucesso os votos de aproximadamente 500 eleitores.
     No caso da urna eletrônica com o voto impresso, se o atacante tiver sucesso em trocar os votos em papel de uma urna vinculada a uma urna eletrônica, teria conseguido apenas um ataque destrutivo detectável, que daria trabalho aos auditores, mas cujo efeito de alterar a Verdade Eleitoral seria anulado.
     Desta forma, o Potencial de Danos da troca de votos impressos na urna eletrônica é muito menor e a fraude associada é ineficaz. Ainda que seja correto afirmar que a impressão do voto abre oportunidade de um ataque, este ataque é destrutivo e é incorreto dizer este tipo de ataque nos leva de volta a mesma situação do passado, quando os ataques eram construtivos e dirigidos.

Argumento 2
A impressão do voto encarece a urna;
Contra-argumento
O aumento de custo da urna é compensado pela maior segurança e transparência dada ao sistema. A confiabilidade do processo democrático justifica o maior custo. Um estudo sobre quais seriam tais custos nunca foi apresentado pelo TSE ou pelos que alegam tais custos seriam impeditivos para que se faça a conferência da apuração;

Argumento 3
A impressão do voto provoca aumento no número de casos de urnas com mau funcionamento;
Contra-argumento
O aumento de casos de mau funcionamento deve ser resolvido pela melhoria das especificações técnicas e acertos nos planos de contingências que permita a substituição da unidade de impressão defeituosa. Afinal a urna eletrônica deve funcionar apenas 8 horas a cada dois anos. Não é argumento que justifique o impedimento de se conferir a apuração;

Argumento 4
A impressão do voto é um retrocesso tecnológico;
Contra-argumento
O uso de documento impresso como forma de permitir a conferência e auditoria é largamente adotado em inúmeros processos informatizados modernos, como a impressão obrigatória de notas fiscais em caixas comerciais eletrônicos, recibos de transações bancárias e com cartão de crédito e, até mesmo no próprio sistema de voto informatizado brasileiro, com o uso dos Boletins de Urna impressos, os quais viabilizam a conferência da Totalização do Votos pelos Partidos Políticos.
     O Boletim de Urna impresso, exigido por Lei, é a principal defesa do eleitor contra fraudes informatizadas na Totalização dos Votos, como ficou inequivocamente demonstrado no Caso Proconsult em 1982, relatado em artigo pelo jornalista Procópio Mineiro (Mineiro, 2000, http4), que foi o responsável direto pela descoberta daquela fraude. Apenas e tão somente por que existiam os Boletins de Urna impressos, que viabilizavam a conferência externa, foi possível se detectar a fraude que estava em andamento dentro do processo eletrônico.
     É uma clara incoerência utilizar o papel impresso na BU, para permitir a fiscalização da Totalização, e negar o uso de papel impresso no voto para permitir a fiscalização da Apuração;

Argumento 5
A impressão do voto permite a volta de outras fraudes antigas como o "voto-de-cabresto";
Contra-argumento
Tais fraudes antigas com o voto de papel só são possíveis se o voto impresso for entregue nas mãos do eleitor. Se a urna mostrar o voto impresso ao eleitor através de um visor de forma que o eleitor possa conferir mas não manusear o voto, tais fraudes não serão possíveis.

Argumento 6
A impressão do voto permite a ataque destrutivo por quem queira bloquear a votação, bastando o eleitor repetidas vezes alegar que o voto impresso não corresponde ao votado;
Contra-argumento
Este tipo de ataque não é vulnerabilidade exclusiva da urna eletrônica que imprime o voto. Ele pode ocorrer também com a urna eletrônica atual (sem impressão do voto) e até com o sistema tradicional de voto. É um ataque raro e pouco eficaz que sempre foi resolvido pelos mesários durante a votação. Não há motivo para acreditar que será diferente.

Argumento 7
A impressão do voto não é necessária, tanto que não houve recursos para recontagem do voto em 96 quando o voto era impresso;
Contra-argumento
Como se pode ver em Camarão (1997, pg. 81, item 4), em 1996 o voto do eleitor na urna eletrônica era impresso com a finalidade de impedir a perda dos votos no caso de pane na urna. Este voto impresso não era mostrado para a conferência do eleitor, de forma que não tinha nenhum valor como documento para auditoria ou recontagem. Além disso, a legislação da época não previa nenhum caso no qual se poderia pedir a recontagem da apuração eletrônica. Não havendo condições legais e não havendo documentos técnicos adequados para auditoria é de se esperar que não houvessem recursos neste sentido. A proposta do PLS 194/99 cria o voto impresso como um documento confiável e válido para a auditoria e estabelece as condições legais em que as urnas poderão e serão recontadas.

Argumento 8
A conferência da apuração pelo voto impresso não é necessária pois quem faz os programas não tem conhecimento dos números dos candidatos no momento da programação e, assim, não poderiam programar o desvio de votos;
Contra-argumento
Os programas das urnas são apresentados aos partidos políticos 60 dias antes do dia de votação e são carregados nas urnas em torno de uma semana antes da votação. Os números dos candidatos são definidos 90 dias antes da votação e mesmo antes disso são conhecidos pelo público os números dos partidos políticos e dos principais candidatos majoritários. Conforme relatado pelo Jornal do Brasil de 30 de Agosto de 2000, pg. 4, técnicos do TSE declararam que os programas ainda estavam sendo modificados e que a última versão só ficaria pronta dia 05 de setembro, de forma que há tempo disponível para que um fraudador dos programas possa prepará-los para desviar votos de forma dirigida.

Argumento 9
A conferência da apuração pelo voto impresso não é necessária pois os Partidos Políticos terão conhecimento de todos os programas da urna para avaliá-los e validá-los;
Contra-argumento
Em 96, 98 e 2000 o Firmware (BIOS), o Sistema Operacional (VirtuOS) e a Biblioteca de Criptografia, não foram apresentados para a análise dos fiscais dos partidos. Além disso, como já foi dito, os programas da urna foram modificados e só ficaram prontos um mês após a "apresentação" para os fiscais. Também nunca se permitiu que algum fiscal de partido certificasse se os "flash de carga" das urnas continham o mesmo programa que foi analisado. Desta forma, a conferência da apuração eletrônica se torna necessária uma vez que não houve validação e certificação integral e correta.

Argumento 10
A conferência da apuração pelo voto impresso não é necessária pois os Partidos Políticos poderão testar as urnas no dia da lacração.
Contra-argumento
Em 96 e em 98 a urna escolhida para ser testada era recarregada, antes do teste, com um programa especial para o teste. Depois do teste, o programa de votação era, então, recolocado na urna. Desta forma, em nenhum momento o programa de votação não modificado foi testado efetivamente. A mesma situação está prevista ocorrer em 2000.

Argumento 11
A conferência da apuração pelo voto impresso não é necessária pois a Norma ISO 15.408 estabelece critérios para a validação e certificação dos programas da urna.
Contra-argumento
A Norma ISO 15.408, que será analisada com mais detalhes na seção 5 adiante, define critérios para a avaliação da segurança de sistemas informatizados mas não estabelece em nenhum momento que sistemas com auditoria por documentos impressos sejam melhores ou piores que sistemas puramente digitais. A norma propõe que tais alternativas sejam descritas e avaliadas segundo critérios bastante completos de forma a permitir uma comparação do nível de segurança oferecido por cada alternativa. Nenhum estudo deste tipo foi feito pelo TSE e oferecido para análise aos fiscais dos partidos.

3. ASPECTOS JURIDICOS

3.1 Legislação Relacionada à Segurança do Voto Eletrônico

A fiscalização e o direito de recontagem do voto no sistema tradicional de votação é coberto por 37 artigos da Lei 4.737/65, conhecida como Código Eleitoral (Ferreira, 1991), e outros 11 artigos da Lei 9.504/97 (Santo, 2000, http8).
Já a segurança e fiscalização da urna eletrônica, que também é chamada de Sistema de Votação e Apuração, é regulada apenas pelos 2 artigos da Lei 9.504/97 seguintes:
Art. 61. A urna eletrônica contabilizará cada voto, assegurando-lhe o sigilo e inviolabilidade, garantida aos partidos políticos, coligações e candidatos ampla fiscalização.

Art. 66. Os partidos e coligações poderão fiscalizar todas as fases do processo de votação e apuração das eleições, inclusive o preenchimento dos boletins de urna e o processamento eletrônico da totalização dos resultados, sendo-lhes garantido o conhecimento antecipado dos programas de computador a serem usados.
§ 1o No prazo de cinco dias, a contar do conhecimento dos programas de computador a que se refere este artigo, o partido ou coligação poderá apresentar impugnação fundamentada à Justiça Eleitoral.
§ 2o Os partidos concorrentes ao pleito poderão constituir sistema próprio de fiscalização, apuração e totalização dos resultados, contratando, inclusive, empresas de auditoria de sistemas, que, credenciadas junto à Justiça Eleitoral, receberão, previamente, os programas de computador e, simultaneamente, os mesmos dados alimentadores do sistema oficial de apuração e totalização.

Os Art. 67 e 68 da Lei 9.504 também abordam a fiscalização, mas são aplicáveis apenas ao Sistema de Totalização de Resultados e não ao Sistema de Apuração.
Assim, a Lei relativa ao voto eletrônico prevê apenas que os partidos poderão conhecer os programas das urnas e terão cinco dias para contestá-los. Nada é dito sobre testes do sistema, normas técnicas a serem respeitadas e principalmente, nada é dito sobre a possibilidade de conferência ou recontagem da apuração, de forma que o resultado que sai da urna, o Boletim de Urna, é definitivo, não havendo forma legal de se recorrer deste resultado.

3.2 Impressão do Voto: Um Ângulo Jurídico

O Procurador da República Dr. Celso Antônio Três escreveu uma carta, que pode ser vista em (http5), onde analisa sob estrito ângulo legal, a questão da impressão do voto pela urna eletrônica como meio de permitir a conferência da apuração, de forma que confiabilidade do sistema possa ser compreendida por um cidadão comum mediano, que não possua conhecimentos especializados.
A interpretação do procurador é que:
"A essência do debate não localiza-se na segurança do engenho informático. Mesmo que a ciência pudesse asseverar a absoluta invulnerabilidade - sabidamente não pode -, a cidadania não estaria plenamente contemplada.
A transparência da soberania popular exercida pelo cidadão no Estado Democrático de Direito perfectibiliza-se tão somente quando o eleitor, de per si, por mero uso de suas faculdades, possa fiscalizar a fiel observância do seu voto. A Justiça Eleitoral, Ministério Público, Partidos Políticos, demais candidatos, etc., são apenas co-interessados nessa lisura. Porém, o cidadão - porque titular exclusivo de um direito constitucional público subjetivo - é que deve estar apto a sindicar o processo eleitoral. Para isso, faça-se o que necessário for, a exemplo da impressão material (não apenas virtual) das cédulas.
É o cidadão titular de um direito inalienável e pessoal de defesa. Assim os termos processuais devem ser consignados de forma a permitir-lhe o mais absoluto controle, segundo as faculdades rotineiras do "homo medium".
Portanto, de todo distorcida a dialética que restringe à confiabilidade técnica da apuração."

4. A REAL AVALIAÇÃO DA SEGURANÇA

A garantia da Verdade Eleitoral e a segurança do eleitor com as urnas eletrônicas utilizadas nas eleições de 1996 e 1998 foram submetidas a avaliação pelos fiscais dos partidos políticos como manda o Art. 66 da Lei 9.504.
Apresenta-se a seguir como se deu os procedimentos de validação, certificação e testes das urnas nestes dois anos eleitorais.

4.1 A Validação dos Programas das Urnas

Os procedimentos para a validação dos programas contidos nas urna eletrônicas em 96 e 98 foram muito semelhantes entre si e aos que estão previstos para esta eleição de 2000.
Sessenta dias antes do dia da votação os partidos políticos foram convidados a comparecer à sede do TSE em Brasília onde lhes foi apresentado os parte dos programas-fonte do Aplicativo de Votação mas, como já foi dito, alguns destes programas foram modificados posteriormente, com a versão final para 2000 tendo ficado pronta somente 30 dias depois da auditoria dos partidos .
Porém, três blocos de programas-fonte: a Biblioteca de Criptografia (componente do Programa Aplicativo); o BIOS e Sistema Operacional (componentes do Programa Básico), não foram apresentados para análise dos fiscais dos partidos, o que deu ensejo à um pedido de impugnação (http10) feito pelo partido PDT.
A justificativa para a não apresentação destes programas-fonte são discutíveis conforme se vê a seguir:
Justificativa 1
Segundo o Ministro do TSE Nelson Jobim (http1), a Biblioteca de Criptografia não pode ser mostrada por motivos óbvios, senão a segurança do sistema todo estaria comprometida.
Contra-argumento
As funções da Biblioteca de Criptografia são usadas apenas para criptografar o Boletim de Urna (BU) que vai gravado no disquete de transferência dos dados para o Sistema de Totalização. Antes, porém, de ser criptografado o BU é impresso e publicado, como manda o Art. 68 da Lei 9.504. Assim está sendo criptografado um dado que já é de conhecimento público, de forma que este procedimento não tem função de tornar os dados inacessíveis ou garantir sua confidencialidade. A função da criptografia, neste caso, é para garantir a autenticidade ou integridade da BU, isto é, para impedir a adulteração indevida da BU durante o transporte do disquete. Mas esta função de garantir a autenticidade de dados é melhor coberta pelas técnicas de Assinatura Digital que são, pela própria natureza, Sistemas Abertos que não necessitam ter seus códigos fontes mantidos em segredo. Assim não se justifica a adoção de um sistema de criptografia fechado na urna eletrônica, cujo código-fonte não possa ser analisado pelos fiscais externos, principalmente considerando-se que numa biblioteca qualquer pode ser inserido um vício de programação que fraude a eleição. Além disso, deve-se considerar que se a segurança e a confiabilidade do voto eletrônico depende da manutenção de um segredo nas mãos de umas poucas pessoas, o grau de confiabilidade do sistema todo cai. Nos EUA, está se estudando uma proposta de "open source Internet voting software" (http11) justamente para contornar a insegurança natural de software fechado.
Justificativa 2
O Sistema Operacional VirtuOS, usado na urna, é "de mercado" e está protegido por direito autoral, não podendo o TSE mostrar o seu código-fonte.
Contra-argumento
A decisão de utilizar o VirtuOS como sistema operacional da urna não é obrigatória nem mandatória. O Art. 66 da Lei 9.504 obriga o TSE a apresentar todos os programas para análise dos partidos. Se o TSE não pode apresentar o código-fonte do VirtuOS, deveria adotar outro sistema operacional aberto, como o Linux por exemplo.
Justificativa 3
O BIOS e o Sistema Operacional estão assinados digitalmente e sua autenticidade pode ser comprovada a qualquer momento.
Contra-argumento
Conforme fica claro na Resolução 20.714, de 05/09/2000, do TSE, não é permitido aos partidos políticos conferirem as assinaturas digitais dos programas carregados na urna, "por se tratar de dispositivo de segurança! Esta é uma decisão totalmente contrária às técnicas de assinatura digital, na qual se publica o algoritmo e a chave de deciframento justamente para permitir à outra parte conferir a assinatura. De nada adianta se afirmar que os programas estão assinados se não se permite a conferência desta assinatura.
Justificativa 3
O não é possível introduzir vício para desviar votos no Sistema Operacional sem conhecimento da estrutura de dados que é definida apenas no Programa Aplicativo de Votação.
Contra-argumento
Este argumento está simplesmente errado. É perfeitamente possível desviar votos sem conhecer a estrutura interna dos dados. Basta que o Sistema Operacional interfira nas chamadas de leitura de teclado e de escrita na tela para gerar um pequeno banco de dados com os números dos candidatos e a respectiva tela. A partir da construção deste banco de dados o programa viciado poderia apresentar ao eleitor a tela solicitada e enviar ao programa aplicativo um número adulterado do candidato. Todas as rotinas de criptografia e segurança internas do aplicativo seriam inúteis contra este tipo de ataque. Além do mais, a empresa Microbase, que fornece o Sistema Operacional da urna, também assessora a Procomp, empresa que produz o programa aplicativo, não havendo uma clara e evidente separação entre tais equipes de programadores.

4.2 A Certificação da Carga das Urnas

Durante a carga e lacração das urnas, antes do dia de votação, os partidos são chamados à auditarem o processo.
Mas tal auditoria não é feita em quase nenhum local de carga espalhado pelo país e nos pouquíssimos casos em que algum fiscal compareceu, a auditoria não passou de um acompanhamento visual de tudo que é feito pelos operadores contratados pela Justiça Eleitoral.
O TSE entende que o papel dos fiscais durante a carga das urnas deve-se restringir ao acompanhamento visual dos atos dos técnicos e não é permitido que os fiscais verifiquem se os flash-de-carga contém os programas previamente aprovados, o que também deu ensejo ao pedido de impugnação (http10) feito pelo PDT.
Assim, nenhum fiscal de nenhum partido político, em 1996 e 1998, em todo o Brasil, jamais fez uma análise do conteúdo dos discos de carga das urnas, para verificar se a assinatura digital dos programas conferia com o que seria devido. Nenhum relatório formal de tal auditoria existe.

4.3 Os Testes das Urnas Prontas

Após a carga das urnas e antes da sua lacração, os fiscais dos partidos podem, segundo o Art. 9 da Resolução 20.563 do TSE (http9), testarem até 3% das urnas para verificarem se ela faz a apuração correta. Porém tal teste foi feito de maneira completamente inadequada.
Após ser escolhida para teste, a urna é carregada com um disquete de inicialização que altera parâmetros internos da urna e cujo programa reconhece que está sob teste, pedindo a senha especifica. O teste consiste na emissão de um relatório inicial vazio, a "zerésima", na colocação de votos quaisquer e emissão da BU final com o resultado da apuração.
Após o teste a urna volta a ser carregada com o flash de carga para recuperar a situação que estava antes da modificação para o teste.
Desta forma, o programa original de votação e apuração, sem modificações, nunca foi testado por nenhum fiscal externo ao TSE.

4.4 O Responsável pela Fiscalização

Como se vê da seção anterior, uma série bem grande de falhas na segurança com o programa da urna eletrônica provêm de despreparo ou omissões dos fiscais dos partidos políticos, mas o Ministro Jobim (http1) afirma que o TSE não pode ser responsabilizado pela falta de preparo dos partidos em fiscalizarem o processo eleitoral.
Segundo Camarão (1997), o TSE decidiu em 1994 desenvolver a urna eletrônica com o principal objetivo de acabar com as fraudes que ocorriam no sistema tradicional de votos. As fraudes que foram eliminadas ou dificultadas com a urna eletrônica eram, todas elas, advindas de falhas na fiscalização. Se os fiscais dos partidos falhassem no acompanhamento:
dos mesários
estes poderiam induzir o eleitor ou votar por eleitores faltosos
do transporte da urna
fraudadores poderiam trocar os votos das urnas
dos apuradores
estes poderiam adulterar os votos
do preenchimento dos BU
este poderia ser adulterado.
Com a urna eletrônica, o TSE tomou uma posição ativa para resolver problemas resultantes do despreparo ou desatenção dos fiscais dos partidos. Mas a solução adotada apenas transferiu a esfera de fiscalização para outro nível muito mais sofisticado.
No sistema tradicional, os fiscais deveriam ter capacidade de acompanhar mesários, o transporte das urnas e os escrutinadores, que são atividades bastante simples bastando pouco preparo para se ter um fiscal apto. E, ainda assim, falhavam. O Caso Proconsult (Mineiro, 2000) é um bom exemplo, pois a conferência da totalização foi feita por uma pequena equipe de estagiários de jornalismo usando calculadoras e que acabaram detectando uma fraude que estava passando por baixo dos olhos dos fiscais dos partidos.
Com a urna eletrônica, os fiscais devem ser especialistas em informática e em segurança de dados. Mesmo os fiscais "de campo", que deveriam conferir se as cargas das urnas estão sendo feitas com discos não adulterados, deveriam receber treinamento técnico em informática. O conhecimento adequado da norma ISO 15.408, por exemplo, demanda cursos específicos. O trabalho de fiscalização é muito técnico, difícil e até arriscado pois pequenos erros na fiscalização podem levar a fraudes gigantescas que distorçam até o resultado da eleição para Presidente da República.
Desta forma, a urna eletrônica aumentou muito as dificuldades de fiscalização pelos partidos. Não é correto se afirmar que o TSE não pode ser responsabilizado por este problema, pois foi o TSE que iniciou o processo de sofisticar a fiscalização sem prever uma preparação ou treinamento para os partidos e seus fiscais.

5. A NORMA ISO/IEC 15.408

A Norma Técnica Internacional ISO/IEC 15.408 , de Dezembro de 1999 (http3), estabelece Critérios de Avaliação da Segurança (security) no âmbito da Tecnologia de Informação. Esta norma vem sendo desenvolvida desde 1990 e sua primeira versão "beta" data de abril de 1996. Uma segunda versão "beta" foi publicada em outubro de 1997.
Pelo Item 3.2, Part 1 desta norma, seu objetivo é fornecer aos projetistas, aos auditores e, principalmente, aos usuários de sistemas informatizados condições de poder comparar a segurança de sistemas diferentes para se poder escolher qual mais atende melhor as necessidades.
É uma norma bastante complexa que envolve, na sua aplicação, não apenas uma empresa produtora e seus engenheiros, mas sim toda uma comunidade técnica e econômica, pois a avaliação de cada sistema parte de padrões gerais, chamados de Perfil de Proteção, que devem vir definidos de fora do âmbito das empresas envolvidas no fornecimento de dado produto. Normalmente devem provir de entidades governamentais ou comunitárias.
Também, após o término da avaliação de um produto ou sistema, este ainda deverá receber sua certificação por entidades, externas e independentes ao conjunto de fornecedores e usuários, criadas e preparadas para tal finalidade, pois a ISO 15.408 (Part 1, Scope, Item D) declara textualmente que não é uma norma de certificação, é apenas de avaliação.
Assim, a aplicação desta norma é tanto precedida quanto seguida de atividades feitas por entidades comunitárias especializadas, de forma que não é só o TSE, por exemplo, que deve se preparar para aplicar a Norma ISO 15.408 à urna eletrônica. Também os Partidos Políticos teriam que contratar engenheiros especializados para acompanhar desde o projeto até a implantação, passando pela construção de todos os componentes da urna eletrônica pois, antes de um sistema ser avaliado, todos os seus componentes devem também ser avaliados e certificados, resultando numa "cascata" de certificações.
Também deve-se considerar que o nível do rigor necessário para avaliar um sistema de voto eletrônico é muito elevado. Na área de "safety" existe o conceito de Sistemas de Alto Risco para classificar sistemas que possam por em risco vidas humanas ou provocar enormes danos ambientais no caso de falha de algum de seus subsistemas ou componentes.
Uma das propostas deste trabalho é que também em "security" se classifique os sistemas pelo seu nível de risco. De forma similar, definir-se-ia os conceitos de Potencial de Dano, Probabilidade de Ocorrência, Valor do Risco e Sistemas de Alto Risco como está apresentado no Glossário, seção 1.1, com a diferença que em "security" refere-se a fraudes e não a falhas. Assim teríamos o potencial de dano de uma fraude, a probabilidade de ocorrência de uma fraude, etc.
Por exemplo, o Potencial de Dano de uma fraude sistêmica resultante de vício introduzido no programa de apuração de todas as urnas, por um programador desonesto, é muito maior que o Potencial de Dano da fraude que mesários desonestos podem cometer introduzindo votos na urna, o que sugere que as defesas contra o primeiro tipo de fraude sejam muito mais rigorosos que contra a outra fraude menos danosa.
O Voto Eletrônico sem dúvida deveria ser classificado como Sistema Informatizado de Alto Risco de Fraude e, como tal, deveria ser avaliado com muito rigor. Para se adequar a avaliação da urna eletrônica brasileira à norma ISO 15.408, com todo rigor que exige um Sistema de Alto Risco, demoraria anos.
Mas, o mais importante que se obtém de uma análise da norma com relação a seu uso na avaliação da urna eletrônica, são dois procedimentos sugeridos:
  1. Um produto ou sistema deve ter sua segurança avaliada segundo os critérios da norma e receber uma certificação segundo critérios prévios estabelecidos por entidades comunitárias ou governamentais, ANTES de ser programado e preparado para operar.
  2. A norma nada diz contra ou a favor do uso de documentação impressa pelo sistema sob avaliação. Apenas sugere que sistemas diferentes sejam avaliados sob os mesmos critérios propostos pela norma e, depois de avaliados formalmente, sejam julgados por suas qualidades e defeitos apontados.
Nenhuma destas duas recomendações foram seguidas durante a construção e operação das urnas brasileiras de 1996, 1998 e de 2000.
A definição do projeto e a fabricação das urnas foi contratada antes de se apresentar os seus projetos e programas para validação e aprovação pelos fiscais dos partidos políticos. Estes só tiveram conhecimento de parte dos programas-fonte utilizados na urna 60 dias antes da eleição, quando todo o processo de implantação e operacionalização da eleição informatizada já está em pleno andamento e comprometido de forma irreversível. Não será mais possível se suspender o fornecimento das urnas ou o seu uso durante as próximas eleições, caso algum item de projeto for rejeitado, sem provocar grande confusão e perdas de verbas já gastas.
Isto ficou demonstrado neste ano de 2000, quando o pedido de impugnação do PDT contra os programas das urnas (http10), impetrado no prazo legal (5 dias após a apresentação dos programas aos partidos), foi rejeitado pelo TSE, entre outros argumentos, por não haver tempo hábil de implementar as propostas sugeridas.
Não é assim que se procede, por exemplo, nos estados americanos que aceitam o uso de urnas eletrônicas. As legislações dos Estados Americanos da Virgínia (§ 24.2-629, linha D, http6) e de Massachusetts (Chapter 54, Section 32, http7), deixam claro que primeiro os equipamentos de votação eletrônica devem ser aprovados por comissões de órgãos dos governos estaduais, a quais não têm prazo para apresentar seus relatórios, e somente depois desta aprovação é que poderão ser encomendados e comprados por órgãos municipais para serem utilizados em eleições.
Quanto ao comprovante impresso conferido pelo eleitor, que fazia parte das propostas do TRE/RS-UFRS (Price, 1995), do TRE/MG-IBM, do TRE/MT-IBM e que, segundo Camarão (1997, pg. 72 e 77), constava do Anteprojeto de Lei proposto pela Comissão de Informatização de 1996 do TSE ao Congresso Nacional, foi eliminado do projeto definitivo da urna sem nenhum estudo comparativo de avaliação dos riscos que tenha sido apresentado à sociedade ou aos Partidos Políticos.

6. CONCLUSÃO

Da análise dos procedimentos que foram praticados durante o projeto, fabricação, operação e fiscalização externa das urnas eletrônicas brasileiras, nos anos de 1996, 1998 e 2000, fica evidente que houve falhas na segurança do sistema eleitoral informatizado. Principalmente a parte relativa a fiscalização externa está eivada de falhas e omissões que acabam por reduzir a confiabilidade do sistema eleitoral informatizado brasileiro à confiança das pessoas envolvidas na sua produção.
Não se efetuaram validação, certificação e testes de forma adequada e confiável. A validação foi incompleta pois parte dos programas-fontes das urnas não são apresentados aos fiscais dos partidos. A certificação de que os discos de carga continham o programa validado, simplesmente não foi feita por nenhum partido político. Os teste públicos de funcionamento são irregulares pois se altera o conteúdo da máquina sob teste, antes e depois do teste.
A norma ISO/IEC 15.408, seja versões "beta" ou a atual versão definitiva, nunca foi utilizada para a avaliação do sistema, especialmente pelos fiscais dos partidos, que simplesmente a ignoram.
Nenhum estudo dos riscos envolvidos com a eliminação da possibilidade de conferência da apuração foi apresentado ou previamente debatido em público ou no meio acadêmico.
Todas estas condições, principalmente a dificuldade prática dos fiscais dos partidos validarem os programas e certificarem 350.000 urnas, levam a conclusão deste trabalho no sentido de que:
Deve-se corrigir o projeto da urna eletrônica brasileira para tornar possível a conferência e auditoria da apuração.
Tornando-se possível a conferência da apuração torna-se muito mais fáceis e menos rigorosas as necessidade de validação e certificação prévias a serem feitas pelos fiscais dos partidos, aumentando a tolerância do sistema contra falhas na fiscalização.
Sugere-se ainda que:
A forma de se proceder a esta auditoria seja por meio da impressão do voto, o qual deverá ser mostrado ao eleitor para ser aprovado antes de ser depositado automaticamente, sem manipulação pelo eleitor, numa urna convencional, das quais uma parte será usada numa conferência estatística da apuração.

AGRADECIMENTOS

O autor agradece principalmente a todos os assinantes ativos do Fórum do Voto Eletrônico (http12) pelo contribuição constante que têm dado, sem as quais não se teria juntado todas estas informações sobre o voto eletrônico no Brasil.
Dentre todos estes colaboradores, destaco o engenheiro Márcio Teixeira da empresa Tasco Ltda. de Belo Horizonte, o advogado Paulo Gustavo Sampaio Andrade, de Teresina, responsável pela página jurídica Jus Navegandi, o analista Evandro Oliveira da Prodabel de Belo Horizonte e o jornalista Oswaldo Maneschy da Defensoria Pública do Rio de Janeiro pelas muitas horas de dedicação cedidas por "amor à causa".

REFERÊNCIAS BIBLIOGRÁFICAS
BRUNAZO Filho, Amílcar, A Segurança do Voto na Urna Eletrônica Brasileira.. In: Simpósio de Segurança em Informática, 1999, São José dos Campos. Anais... São José dos Campos: ITA, 1999. P.19-28.
CAMARÃO, Paulo César Bhering. O Voto Informatizado: Legitimidade Democrática. São Paulo: Empresa das Artes, 1997.
FERREIRA, Pinto. Código Eleitoral Comentado. São Paulo, Saraiva, 1991.
MINEIRO, Procópio. Proconsult - Um Caso Exemplar. Cadernos do Terceiro Mundo, Rio de Janeiro, Editora Terceiro Milênio, n.219, p. 17, Abril/Maio 2000.
PRICE, Roberto Tom. Votação Informatizada: Projeto UFRGS. Porto Alegre: Instituto de Informática da Universidade Federal do Rio Grande do Sul, 1995.
REQUIÃO, Roberto. PLS 194/99 - Projeto de Lei do Senado. Brasília: Senado do Brasil, 1999.
SANTO, Stella Bruna. Manual das Eleições. São Paulo: Fundação Perseu Abramo, 2000.

REFERÊNCIAS NA INTERNET
(http1) Ata da 22ª Reunião Pública Extraordinária da CCJ do Senado, de 01 de Junho de 2000: http://webthes.senado.gov.br/sil/Comissoes/Permanentes/CCJ/Atas/20000601EX022.ZIP
(http2) Projeto de Lei do Senado, PLS 194/99: http://www.senado.gov.br/web/senador/requiao/pls99.htm
(http3) International Standard ISO/IEC 15.408: http://csrc.nist.gov/cc/ccv20/ccv2list.htm
(http4) PROCONSULT - um caso exemplar: http://www.votoseguro.org/noticias/cad3mundo1.htm
(http5) Carta do Procurador Celso Antônio Três: http://www.votoseguro.org/textos/tres1.htm
(http6) Lei 24.2-629 do Estado da Virgínia, USA: http://leg1.state.va.us/cgi-bin/legp504.exe?000+cod+24.2-629
(http7) Chapter 54, Sections 32, 33E, 33H, 35 e 67 da Lei do Estado de Massachusetts, USA: http://www.state.ma.us/legis/laws/mgl/gl-54-toc.htm
(http8) Lei 9.504/97 e demais leis eleitorais: http://www.tse.gov.br/servicos/legislacao/lei_9504.htm
(http9) Resoluções do ano 2000 do TSE: http://www.tse.gov.br/eleicoes/eleicoes2000/eleicao2000.html
(http10) Pedido de impugnação da urna pelo PDT: http://www.pdt.org.br/acaourna.htm
(http11) The Smart Iniciative Projects List : http://www.smartinitiatives.org/listbotlink.html
(http12) Fórum do Voto Eletrônico - Voto-E : http://www.votoseguro.org

Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto
Artigos e Textos do
Voto Eletrônico
Voltar ao início
deste texto