Texto completo
disponível para
download
(.RTF, ZIP, 5 Kb) 		Avaliação da Necessidade de Modificações
na Urna Eletrônica Brasileira
Relatório apresentado em 12 de Setembro de 2000 à CCJ do Senado
pelo Eng. Marcio Coelho Teixeira, sob pedido do Senador Roberto Requião.

Contém considerações sobre as propostas de modificação na Urna Eletrônica
sugeridas no Projeto de Lei PLS 194/99.

Artigos e Textos do
Voto Eletrônico
baixar o arquivo
para imprimir
relatório
de A. Brunazo

Belo Horizonte, 12 de setembro de 2000

Resumo

Este relatório foi elaborado com base nos editais de licitação para fornecimento da Urna Eletrônica, na reunião com os técnicos do TSE durante o mês de junho de 2000 e na convocação dos delegados de partido na fiscalização dos programas usados na Urna Eletrônica.

Enfoca-se aqui, a principal sugestão do Projeto de Lei PLS 194/99, que é a obrigatoriedade da impressão do voto, possibilitando desta forma que o eleitor possa conferir o voto impresso e modifica-lo após esta conferência. A avaliação é que a impressão obrigatória do voto configura-se como uma evolução no processo de automatização das eleições. Ela permitirá uma real e efetiva fiscalização dos resultados apresentados pela Urna Eletrônica, contribuindo ainda para aumentar a participação de quem é o maior interessado pelos resultados da eleições, o eleitor.

Argumentos apresentados contra a impressão do voto com conferência pelo eleitor:

1. A impressão do voto não é necessária pois a urna já é suficientemente segura

É dificil avaliar qual o risco de violação dos esquemas de segurança da Urna Eletrônica. Para uma criteriosa avaliação é necessário proceder uma análise de riscos, auditoria em todo o processo e submite-lo a simulações de quebras e tentativas de fraudes.

Embora TSE tenha se esforçado para fazer uma urna segura, a premissa de 100% de inviolabilidade em sistemas digitais deve ser sempre rejeitada. A experiência mostra que a possibilidade de violação dos sistemas digitais, mesmo os mais sofisticados do ponto de vista de segurança, deve ser considerada concreta. Por mais seguros que possam parecer, a descoberta de uma mínima falha no sistema abre inúmeras portas para fraudes. Assim, a abordagem mais prudente e conservadora é assegurar métodos de auditoria e recuperação para que eventuais ataques aos sistemas de seguraça possam ser dectados e indicarem seus possíveis autores.

O objetivo da impressão do voto, não é proporcionar mais segurança ao processo, mas sim, adicionar mais um elemento de averiguação e validação dos sistemas de segurança.

O procedimentos de segurança tem que ser evolutivos e a auditoria que a impressão proporciona hoje e em qualquer tempo é uma forma de se avaliar e validar as técnicas de segurança que estão sendo utilizadas.

2. A impressão do voto é uma solução ultrapassada

Os critérios para se julgar se uma solução é ultrapassada ou não, são bastantes subjetivos. Realmente, hoje, existe uma forte tendência a se eliminar papel, mas gostaria de fazer algumas considerações.

O voto não pode ser considerado apenas um papel impresso e sim um documento. Mas um documento com certas particularidades, pois ele é obrigatoriamente anônimo, garantindo o sigilo do voto. A eliminação de documentos impressos vêm sendo implementada atraves de certificação digital, ou seja, cria-se uma assinatura digital que é usada para conferir a autoria do documento e sua originalidade. Se cada voto fosse certificado digitalmente, seu sigilo seria quebrado.

Pode se gerar um certificado digital para um programa, mas isto não siginifica que os dados gerados por este programa estão automaticamente certificados digitalmente.

Certificar digitalmente possibilida transformar um dado em documento, mas o risco de quebra da segurança deste documento continua existindo. Esta quebra de segurança pode acontecer de várias formas, sendo a mais simples, atraves do vazamento das suas chaves e ou de seus algorítimos. Se houver violação em um sistema de geração de certificados digitais, não haverá meios para descobrir se um documento é verdadeiro ou falso. Para tomar uma decisão, um juiz pode recorrer a testemunhas, mas, com o voto, isto impossível.

3. Com voto impresso são maiores os riscos de fraudes

Este argumento possui força apenas no caso de manipulação física do voto impresso pelo eleitor. O modelo de impresão, que já foi anteriormente sugerido ao TSE não permite que o eleitor tenha contato com o papel impresso mas sim por um visor junto com o mecanismo de cancelamento e inserção na urna, totalmente automatico sem contato humano.

Considerando que a impressão será implementada com os cuidados acima, haverão vários motivos para se inibir as fraudes:

Haverá uma dupla conferência, ou seja, para um fraude ter sucesso será necessário fraudar os programas da Urna Eletrônica e também o conteúdo da Urna física.

Somente uma pequena porcentagem de urnas serão auditadas. Isto sgnifica que se algumas Urnas físicas forem fraudadas, será pequena a probabilidade destas Urnas serem sorteadas para uma auditoria. Mesmo que uma Urna física tenha sido fraudada e auditada, a Urna Eletrônica mostrará outro resultado, e esta Urna poderá sofrer uma perícia técnica para descobrir onde foi a fraude, com grande chance de se descobrir e punir os culpados.

4. São maiores as possíbilidades de defeitos nas impressoras

A aumento do uso do mecanismo impressor é mínimo se comparado com a vida útil deste especifícada pelo fabricante. Em relação a agarrar papel, basta um bom projeto de engenharia.

5. Com o voto impresso aumenta o custo das modificações necessárias

Não se procedeu uma avaliação de custos.

6. Pode se fiscalizar as urnas fazendo uma eleição paralela

O PT fez esta proposta para as eleições de 2000. Trata-se de uma boa proposta pois contribui para a melhoria da fiscalização do Partidos.

Esta proposta consiste em escolher algumas Urnas Eletrônicas e tira-las de seus locais de votação, no dia das eleições, e simular uma votação real. Após o termino desta votação simulada, conferir os resultados e se auditar esta Urna Eletrônica.

Para as eleições de 2000 seria a única alternativa possível, mas para ser uma solução para as futuras eleições existem algumas limitações.

  • Número pequeno de urnas fiscalizadas, pois, para esta auditoria ser eficiente é necessário ser feita por especialistas. Para poder verificar se os programas que estão sendo executados na Urna são os programas que foram fiscalizados pelos partidos.
  • Sempre é possível que uma rotina de fraude permaneça adormecida durante a eleição paralela, ou seja, na eleição real a rotina que gerará a fraude somente é inicializada após uma sequência de teclas ou eventos causados por um agente fraudador.

Algumas considerações sobre o processo atual
Dificuldade dos partidos fiscalizarem o processo

A grande dúvida é se os partidos tem o direito e dever de fiscalizar e auditar o processo eleitoral?

A auditoria que foi permitida para as eleições de 2000 é insuficiente para se chegar a uma conclusão técnica sobre a segurança do processo.

Para uma auditoria ter algum resultado é preciso liberdade de ação. No caso da Urna Eletrônica, o TSE, que está sendo auditado, determina os procedimentos desta auditoria, restringindo a como, onde, o que e quando deve-se auditar. Com tantas restrições é impossível que a auditoria, feita pelos partidos políticos, seja conclusiva e um fiador da segurança das Urnas Eletrônicas. A única alternativa para estas eleições é confiar nos técnicos e contratados do TSE.

Para uma auditoria ter exito é necessário acesso irrestrito aos equipamentos, fontes do programas, ferramentas, informaçoes, com a antencedência necessaria, sem restrições de tempo, do contrario esta auditoria não terá muito valor.

Quando convocação para fiscalização dos programas, criou-se um clima de tranquilidade por força da confiança que o pessoal técnico do TSE depositava no sistema. Porem, é preocupante concluir que o processo é seguro e inviolável apenas com base na relação pessoal estabelecida com os técnicos do TSE.

De qualquer modo para eleições de 2000, é necessário que o TSE permita o acesso dos partidos aos executaveis carregados nas Urnas para se averiguar se são os referentes aos fontes anteriormente fiscalizados. E que se faça simultaneamente uma eleições paralela dirigida, com Urnas retiradas das seções durante o dia da eleição.

Brasília, 12 de setembro de 2000
Eng. Márcio Coelho Teixeira

Nota do editor: Alguns dias após este texto ter ficado pronto várias notícias novas surgiram contrariando as recomendações do autor. O TSE rejeitou a proposta do PT e tal eleição paralela para controle não foi permitida. Também não foi permitido que os fiscais dos partidos pudessem conferir se os progamas carregados nas urnas correspondiam aos apresentados para avaliação, o que contrariou promessa do Secr. de Inform;atica do TSE aos fiscais dos partidos feita no dia da apresentação dos programas. Por fim, técnicos credenciados do TSE revelaram que os programas das urnas foram modificados depois de apresentados aos partidos.

Clique aqui para:
  • pegar o relatório completo para imprimir (.RTF, .ZIP, 5Kb)
  • ler o relatório do Eng. Amílcar Brunazo Filho