Glauber Machado Rodrigues (Ananda) escreveu:
Seu método parece bom para auditar os votos, uma vez registrados. A única
falha que aponto é que esse processo não assegura o registro correto do
voto, que só pode ser fiscalizado e conferido pelo eleitor, no momento da
votação, e então por ninguém mais (nem mesmo o eleitor, para manter o sigilo
do voto).

É isso que quero dizer com "consultar o voto". Ao consultar o voto (a
consulta exibe para quem o cidadão votou) o cidadão tem certeza que
seu voto foi transmitido. É papel dos fiscais da votação fazer com que
todos os votos publicados sejam contados, através do controle do
processo (acesso às mídias, etc).

Como fazer isso mantendo o sigilo do voto? Como "consultar o voto" no momento da votação, utilizando recursos ao alcance do eleitor (fiscalizador) e não do fiscalizado (máquina)?

A propósito, você conhece as idéias de Chaum e van der Graaf sobre voto cifrado? Um esboço está em:
http://www.brunazo.eng.br/voto-e/textos/chaum-voting1.htm
Van der Graaf chegou a fazer aprimoramentos para simplificar o voto, com base em representação 'digital' dos algarismos:
 _
| |
 -
| |
 "

Acho o modelo difícil de usar para o eleitor, mas pode inspirar outras idéias.


A idéia é que a base de dados de consulta seja capaz de fornecer os
totais, que devem sempre bater com os resultados das eleições, com
base nas mídias extraídas das urnas.

Quando eu disse que todo o sistema deve ser aberto, isso inclui esse
sistema de consulta. A única forma desse valor aparecer na consulta e
não ser incluso na totalização é através da implementação intencional
deste recurso, o que não sobreviverá a uma auditoria do código.

Não acredito tanto assim em auditoria de código, devido à complexidade dos sistemas de software. Talvez com um sistema estritamente espartano na implementação, auditoria possa funcionar, mas apenas como precaução para reduzir o risco de erros, não para atestar resultados.

A conferência da totalização em paralelo é mais eficaz como fiscalização, e pode ser feita estatisticamente a partir de amostras de 'boletins de urna' ou equivalente. Foi a totalização em paralelo o que denunciou a fraude de 1982, na primeira eleição com uso de computadores no Brasil (Caso Proconsult). Note que isso ainda é possível de ser feito hoje, mas o problema é que os boletins de urnas não são plenamente confiáveis, porque dependem do funcionamento correto das máquinas.

Recorde que pelo menos 35% das urnas eletrônicas corromperam dados em Alagoas, o que foi reportado em análise dos logs de TODAS as urnas do estado. Foram também constatados defeitos equivalentes em urnas de todo o país. Não dá pra confiar só em máquinas.



Note que não precisamos de 'formas mais elaboradas'. Quanto mais simples
melhor, e é importante que qualquer eleitor comum seja capaz de fiscalizar;
um X no papel qualquer um confere a olho nu, mas meios eletrônicos demandam
mais conhecimento técnico e dependem de equipamentos.


Isso com o papel é fundamentado apenas em esperanças. Existe uma
ligação causal muito forte em um sistema inteiramente automático,
verificável, isolável e reproduzível que não existe num sistema
baseado nos sentidos humanos para processar uma imença quantidade de
dados.

Mas o eleitor só conta com os próprios sentidos no momento de votar. Minha única crítica é essa, se refere exclusivamente a esse momento crucial das eleições.


Não há razão em desfavorecer um sistema superior em questões de
precisão e confiabilidade simplesmente porque parte da clientela não o
compreende.

Há sim razões de sobra: é o eleitor que deveria ser soberano nas eleições. Não há como exercer soberania sem assegurar a si mesmo seu cumprimento.

Se alguém coloca um pedaço de papel numa urna e se dá por satisfeito,
isso nada tem a ver com a confiabilidade do processo.

O mesmo digo quanto a máquinas caça-níveis de votar. Se alguém aperta botões numa máquina e se dá por satisfeito, sem saber como um comando vira voto, isso nada tem a ver com a confiabilidade do processo.

Ainda não estou convencido de que sua proposta é _verificável_ , pois assenta na confiança em equipamento (software/hardware) controlado pelo fiscalizado, não pelos fiscais. Mesmo que, após o registro do voto, tudo possa ser verificado e conferido, o elo mais fraco continua sendo o momento da votação. Se o voto for registrado incorretamente, por exemplo, por defeito de máquina ou erro de software, todo o resto do processo estará comprometido.



A combinação de -ambos- voto em papel _e_ voto eletrônico é garantia maior
do que qualquer um dos processos sozinho.


Se a votação eletrônica for comprovadamente superior, manter um
processo em papel em paralelo é como andar de bicicleta dentro de um
navio e dizer que usou uma bicicleta para cruzar o oceano.

Desde que a votação eletrônica pura _fosse_ comprovadamente superior.

Mas, por enquanto, ainda não foi desbancada a tese de que é impossível, em um sistema eleitoral totalmente informatizado, que o voto seja simultaneamente conferível e anônimo (Rebecca Mercuri):

http://www.notablesoftware.com/Papers/thesdefabs.html
http://www.notablesoftware.com/evote.html
http://www.cic.unb.br/docentes/pedro/trabs/u-e-auditoria.html


Hudson Lacerda
.

_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil

Responder a