Auditoria da Apuração Eletrônica	pg. 1

por AmÍlcar Brunazo Filho, moderador do Fórum do Voto Eletrônico - Mar/2000
Texto disponível para Download, .RTF, .ZIP, 6Kb

Textos do Voto Eletrônico Jornal do Voto Eletrônico Fórum do Voto Eletrônico Enviar email Tópicos Introdução O Debate Alto Risco Redundância Conclusão	Introdução O debate em mesa redonda que ocorreu durante o Simpósio de Segurança em Informática, SSI'99, promovido pelo ITA-CTA em Setembro de 99, discorreu sobre "Aspectos Técnicos de Segurança Relacionados com o Voto Eletrônico". Ao final do debate, com ampla participação do auditório, ficou claro que houveram falhas de segurança durante o processo de Validação, Certificação e Teste (VCT) das urnas eletrônicas de 96 e 98. Estas falhas deixavam brechas abertas para fraudes que poderiam violar ou desviar o voto. Obs.: toda a argumentação apresentada a seguir é sobre a Urna Eletrônica Brasileira mas também se aplica para o Voto pela Internet com pequenas adaptações.	Validação (V) Consiste em se analisar o software para verificar se atende as especificações. Certificação (C) Consiste em se garantir que o software carregado no equipamento é o mesmo que foi validado. Testes prévios (T) São simulações de funcionamento para verificar se não há erros. Auditoria da operação (A) Por meio de documentos de controle CONFIÁVEIS, gerados durante a operação do equipamento, verifica-se se tudo ocorreu corretamente. Violação do Voto É poder identificar em quem um eleitor votou permitindo assim o "voto-de-cabresto". Desvio de Voto Consiste em computar a um candidato o voto que havia sido dado a outro.
		próxima página

 

Auditoria da Apuração Eletrônica	pg. 2

por AmÍlcar Brunazo Filho, moderador do Fórum do Voto Eletrônico - Mar/2000
Texto disponível para Download, .RTF, .ZIP, 6Kb

Textos do Voto Eletrônico Jornal do Voto Eletrônico Fórum do Voto Eletrônico Enviar email Tópicos Introdução O Debate Alto Risco Redundância Conclusão	O Resultado do Debate No debate no SSI'99 se chegou ao consenso de como evitar a violação do voto. Bastaria que a identificação do eleitor não fosse feita na própria urna eletrônica. Já, para a possibilidade de fraude de desvio de votos, não se chegou a uma solução consensual. Houve quem achasse suficiente que se aperfeiçoasse os procedimentos de Certificação (VCT) do software apurador da urna, mas houveram outros, entre os quais este autor se inclui, que recomendaram que além da melhoria da VCT, que são procedimentos prévios ao dia da eleição, se deveria proceder também a uma Auditoria da Apuração que ocorre nas Urnas Eletrônicas.	A questão que ficou em aberto ao final do debate é a seguinte: "Para se garantir a honestidade do software de apuração eletrônica é suficiente proceder a sua análise 60 dias antes de seu uso efetivo, ou também seria adequado auditar a apuração para se verificar se o programa original analisado não foi adulterado e viciado ao longo deste tempo?" Nota Nas eleições de 96 e 98 o TSE não permitiu que fiscais externos auditassem a apuração eletrônica que é feita dentro das próprias urnas eletrônicas.
		página anterior	próxima página

 

Auditoria da Apuração Eletrônica	pg. 3

por AmÍlcar Brunazo Filho, moderador do Fórum do Voto Eletrônico - Mar/2000
Texto disponível para Download, .RTF, .ZIP, 6Kb

Textos do Voto Eletrônico Jornal do Voto Eletrônico Fórum do Voto Eletrônico Enviar email Tópicos Introdução O Debate Alto Risco Redundância Conclusão	Defendemos que a Auditoria da Apuração Eletrônica é necessária, e até mais importante que o resto do processo de Certificação (VCT), baseado nos seguintes argumentos: O Voto Eletrônico deve ser enquadrado como Sistema de Alto Risco. O sistema é amplo e complexo o suficiente para inviabilizar uma validação e uma certificação adequadas. Em Sistema de Alto Risco deve-se recorrer a redundância de procedimentos de segurança. A Auditoria da Operação resiste melhor ao ataque de agentes internos desonestos. Detalhamos em seguida as justificativas referentes a estes 4 pontos.	Sistemas de Alto Risco O risco de falha ou de fraude num sistema é estimado pela probabilidade da falha ocorrer e o potencial do dano que ela pode provocar. Sistemas como o Controle de Vôo ou uma Usina Nuclear são considerados de alto risco por causa do seu alto potencial de dano. Acreditamos que o mesmo conceito deva ser dado à Eleição Eletrônica pois, se fraudada, pode transferir todo o Poder Executivo e Legislativo de uma nação a mãos indevidas, imorais e, talvez, estrangeiras. As técnicas de segurança para Sistemas de Alto Risco recomendam, entre outras coisas: Exercer vigilância em todos os pontos Jamais subestimar o oponente do sistema Contar com controles redundantes
		página anterior	próxima página

 

Auditoria da Apuração Eletrônica	pg. 4

por AmÍlcar Brunazo Filho, moderador do Fórum do Voto Eletrônico - Mar/2000
Texto disponível para Download, .RTF, .ZIP, 6Kb

Textos do Voto Eletrônico Jornal do Voto Eletrônico Fórum do Voto Eletrônico Enviar email Tópicos Introdução O Debate Alto Risco Redundância Conclusão	A Complexidade do Sistema Um dos fatores que pode levar a falha no procedimento de Certificação do Software de Apuração (VCT) é a alta complexidade do sistema. Fica quase impossível para fiscais e auditores externos garantirem que os programas contidos nas 350.000 urnas no dia da eleição estão livres de erros. Para uma Validação correta todos os programas deveriam ser analisados, contando os fiscais com prazo e condições adequadas de trabalho. Não é o ocorreu nas eleições de 96 e 98. Já uma Certificação Completa das 350.000 urnas espalhadas por mais de 5000 municípios é inviável na prática. Em 96 e 98, fiscais externos ao TSE não procederam sequer à uma Certificação Parcial ou Estatística. No caso do Voto pela Internet, como se garantir que o sítio hospedeiro jamais será invadido e o programa apurador adulterado?	Redundância dos Controles A recomendação de redundância nos procedimentos e controles de segurança em Sistemas de Alto Risco é feita para que o sistema continue funcionando corretamente mesmo quando algum outro procedimento de segurança falhar. No caso de Eleições Eletrônicas, a sugestão de redundância dos controles implica que apenas o procedimento de Certificação (VCT) do Software de Apuração é insuficiente, posto que é sujeito a falhas devido a sua complexidade. É aqui que entra a Auditoria da Apuração como procedimento de controle da urna em operação, para garantir que a apuração eletrônica não desvia votos mesmo quando o procedimento prévio de VCT falhar.
		página anterior	próxima página

 

Auditoria da Apuração Eletrônica	pg. 5

por AmÍlcar Brunazo Filho, moderador do Fórum do Voto Eletrônico - Mar/2000
Texto disponível para Download, .RTF, .ZIP, 6Kb

Textos do Voto Eletrônico Jornal do Voto Eletrônico Fórum do Voto Eletrônico Enviar email Tópicos Introdução O Debate Alto Risco Redundância Conclusão	Ataques Internos Dos quatro procedimentos básicos de segurança, a Validação do Software, a Certificação das Urnas, os Testes Prévios e a Auditoria da Operação, os três primeiros (VCT) são sujeitos ao ataque de agentes internos desonestos que poderiam fraudar o resultado da eleição como um todo, em todo o país, sem deixar provas. Já o último (A) é um procedimento que poderia ser fraudado apenas de forma localizada e seu resultado é automaticamente confrontado com o próprio resultado da apuração eletrônica, permitindo ao Juiz Eleitoral avaliar qual das duas apurações, a normal eletrônica ou a auditada, foi fraudada.	Conclusão Por ser classificada como Sistema de Alto Risco, a Urna Eletrônica deveria passar por Validação, Certificação, Teste e Auditoria completos. Devido ao tamanho e a complexidade do sistema isto não é possível, surgindo assim um dilema. Nas eleições de 96 e 98 o TSE permitiu apenas a Validação Parcial e Testes Estatísticos. Nenhuma Certificação ou Auditoria da Operação foi feita por fiscais externos. A nossa conclusão e proposta é que se proceda a Auditoria Estatística da Operação das Urnas Eletrônicas para melhorar as garantias de uma eleição honesta, como está proposto no Projeto de Lei PLS/194, em tramitação no Senado.
		página anterior