1. Histórico do "Relatório SBC"
Uma das recomendações apresentada no Relatório Unicamp
era de que, além dos partidos políticos, também especialistas em segurança de sistemas
da comunidade acadêmica analisassem o Sistema Informatizado de Eleições (SIE).
Para as eleições de 2002, a Secretaria de Informática do TSE, sem poder negar a esta sugestão, procurou escolher técnicos
"dóceis" e adotou como critério para escolher os especialistas a serem convidados para analisarem o sistema eleitoral
àqueles que já haviam se manifestado favoráveis a certificação do sistema por via virtual (software).
Desta forma, especialistas como o
Prof. Pedro Rezende, professor de criptografia da UnB,
que já haviam escrito favoravelmente a certificação do sistema por meios físicos (voto impresso), não foram convidados
A escolha da Secretaria de Informática do TSE recaiu sobre dois especialistas em segurança, os professores
Jeroen Van der Graaf (UFMG) e Ricardo Felipe Custódio (UFSC), que haviam apresentado trabalhos independentes
no Simpósio de Segurança em Informática SSI'2001, no ITA, sugerindo protocolos de certificação digital
para o sistema eleitoral.
Porém, desta vez, a tentativa da Secretaria de Informática do TSE de influenciar o resultado da avaliação dos técnicos,
que surtira efeito no caso do Relatório Unicamp, não deu o resultado que esperava.
Os professores Jeroen e Custódio foram convidados através da Sociedade Brasileira de Computação (SBC)
para avaliarem a confiabilidade do Sistema Informatizado de Eleições (SIE) e, depois de conhecerem o sistema por dentro,
tendo desenvolvido o mais abrangente relatório de avaliação do SIE, reconsideraram sua posição inicial e declararam que:
- ficaram céticos de que apenas de técnicas criptográficas pudessem certificar a apuração eletrônica dos votos;
- a auditoria e fiscalização externa do SIE não era eficaz e a confiabilidade do SIE era dependente da confiança em pessoas e não uma consequência do processo de desenvolvimento e fiscalização em si;
- passaram a defender o voto impresso conferido pelo eleitor como forma de tornar o sistema auditável.
O relatório preliminar feito pelos professores representantes da SBC ficou pronto em janeiro de 2003,
porém a versão final só foi anunciada (mas não publicada) durante o Simpósio de Segurança em
Informática SSI, em novembro de 2003, no ITA em São José dos Campos.
O texto final do relatório só foi tornado público pela SBC em fevereiro de 2004, o que, infelizmente, impediu
o aproveitamento de suas conclusões para enriquecer o debate antes da
Lei do Voto Virtual às Cegas ser aprovada pelo Congresso Nacional em outubro de 2003.
2. Classificação e Avaliação do Relatório SBC
O Relatório SBC pode ser classificado como INDEPENDENTE, pois seus autores não foram remunerados pelo TSE,
o qual apenas cobriu as despesas de transporte e estadia da equipe em Brasília. No relatório não se encontra
indícios de textos plantados pelos analisados.
Quanto a sua abrangência, comparando-o com os relatórios da UNICAMP e do COPPE,
pode-se dizer que o Relatório SBC é o MAIS ABRANGENTE deles, pois é o único em que seus técnicos
acompanharam todas as fases de produção, operação e controle do SIE,
deixando de analisar apenas o cadastramento de eleitores.
Porém, a limitação de tamanho da equipe (apenas dois professores), de tempo e de recursos comprometeu a
profundidade da análise em cada ponto avaliado. Pontos críticos de segurança, como por exemplo a troca
irregular das assinaturas digitais dos programas do segundo turno no saite do TSE, a votação paralela e
a carga das urnas não foram analisados com a profundidade de detalhes que mereciam. O relatório ficou POUCO PROFUNDO.
Apesar desta limitação na profundidade de análise, o Fórum do Voto-E considera muito boa a
qualidade técnica do Relatório SBC sobre o sistema eleitoral de 2002.
3. Principais Conclusões e Sugestões
O Relatório SBC é bem claro e objetivo em suas conclusões sobre a confiabilidade do SIE, que resumidamente são:
- não elimina a possibilidade de violação do voto;
- a transparência e auditabilidade deixam muito a desejar;
- inviável garantir a confiabilidade da apuração dos votos apenas por recursos de software (assinatura digital);
- o porte do sistema torna ineficaz uma fiscalização efetiva pelos partidos políticos sobre a preparação das urnas
e da totalização dos votos.
As principais sugestões do relatório são:
- Para dar mais transparência e auditabilidade à Apuração dos Votos, recomenda-se a adoção do
Voto Impresso Conferido pelo Eleitor ;
- Para tornar viável a fiscalização da Totalização dos Votos Apurados, recomenda-se a assinatura (hashing) dos resultados
de cada seção eleitoral e sua imediata publicação na Internet ANTES da publicação do resultado oficial;
- Para descobrir outras vulnerabilidades sugere-se que seja simulado um ataque contra os cartões de memória flash,
como os usado na urna, por uma equipe de especialistas INDEPENDENTES,
que se comportarão como um hacker tentando modificar os programas da urna.
- Recomenda-se, ainda, que os pontos falhos ou obscuros do sistema sejam melhor discutidos pela sociedade e
propõe que a SBC promova um seminário técnico sobre o tema voto-e do Brasil.
Estas conclusões, que desmentem a propaganda oficial do TSE,
foram obtidas de forma independente pelos representantes da SBC
mas são idênticas àquelas pregadas pelo
Manifesto dos Professores Universitários
e pelo Fórum do Voto-E, e também convergem no que tem de comum
com as análises do COPPE,
mostrando que a comunidade acadêmica brasileira e a sociedade civil organizada
estão alinhando os mesmos argumentos na defesa de um sistema eleitoral brasileiro
mais transparente e confiável do que o que temos hoje (2002) no Brasil.
4. Destaques
Abaixo destaca-se algumas afirmações colhidas do Relatório SBC .
"Várias pessoas acham que a re-introdução da impressão do voto é um retrocesso.
Elas acreditam que a urna seja segura, e que a impressão apenas convida os candidatos vencidos a entrar com recursos,
solicitando uma nova recontagem. Nós discordamos, porque
sem impressão ou outra comprovação do voto é muito difícil, senão impossível, de se provar que a urna seja segura."
"Se houvesse impressão do voto, isto implicaria auditabilidade, e poderíamos declarar sem ressalva
que a urna é segura e auditável. Qualquer leigo poderia entender como esta segurança é estabelecida.
Contudo, sem impressão, claramente não há quase nenhuma auditabilidade,
e mostrar que a urna é segura se torna muito mais complicado, como veremos nas próximas seções."
"A comprovação do voto não é um luxo, mas é uma peça chave para realizar um sistema eleitoral auditável,
o que, pode-se argumentar, é um direito fundamental do povo numa democracia"
"O processo de compilação é muito complexo e mal-documentado, impossibilitando a verificação por terceiros
das opções empregadas ou arquivos adicionais. Por exemplo, duvidamos que seja possível reproduzir o executável
apenas usando a documentação existente, sem a ajuda de vários técnicos do TSE."
"Em essência, não foi possível verificar a corretude dos programas-fonte e a versão compilada produzida pelo TSE,
apesar de termos acompanhado o trabalho dos técnicos do TSE, solicitado explicações, visto os códigos-fonte, etc."
"... na hipótese de que alguém tivesse colocado algo suspeito, a probabilidade de um terceiro descobrir isto
durante nossas sessões no TSE é quase zero. A segurança e corretude dos programas usados na urna baseia-se
em confiar na boa fé dos técnicos do TSE. Repetimos: não há nenhuma razão para duvidar da boa fé destas pessoas.
Mas isto fere as boas práticas de segurança."
"A logística da inseminação é diferente em cada estado: em alguns, insemina-se em poucos lugares centralizados,
e distribui-se a urna depois. Em outros estados, existem dezenas de lugares onde a inseminação acontece.
Mesmo um partido bem organizado teria dificuldades para acompanhar e fiscalizar a inseminação de todas as urnas."
"A preparação da urna não é efetivamente fiscalizada pelos partidos políticos,
em parte por falta de documentação, em parte por falta de interesse do lado dos partidos.
.... Porém, se os partidos tomassem seus direitos ao pé da letra, a preparação ficaria inviável."
"Os cartões de memória flash passam pelas mãos de milhares de pessoas, e são uma tecnologia
que não fornece nenhuma proteção física contra modificações. Desconhecemos as proteções lógicas que
poderiam ter sido incorporadas, mas estamos céticos em relação a qualquer tipo de proteção feita em software, por
acreditarmos que esta sempre pode ser comprometida. Não estamos cientes de qualquer proteção contra engenharia
reversa, o que deixa os programas executáveis e dados armazenados nos cartões de memória flash vulneráveis."
"Como pode ser constatado, é muito difícil, senão impossível, dadas as condições atuais do sistema
da urna eletrônica brasileira, concluir-se se a mesma é confiável ou não.
Isso leva à necessidade de considerar a urna uma 'caixa preta'
e que desta forma, deve ser realizada a auditoria externa e paralela de suas operações.
A impressão do voto é uma maneira simples de se conseguir este intento."