Glauber Machado Rodrigues (Ananda) escreveu:
2008/4/10 Hudson Lacerda <[EMAIL PROTECTED]>:
Como fazer isso mantendo o sigilo do voto? Como "consultar o voto" no
momento da votação, utilizando recursos ao alcance do eleitor (fiscalizador)
e não do fiscalizado (máquina)?
Enquando ao sigilo do voto: apenas o eleitor sabe qual número ele
recebeu, e o número não identifica o eleitor. No máximo identifica em
qual urna ele votou, já que para o número ser único seria necessário
usar domínios (prefixos) para cada urna.
Mas um eleitor poderia ser pressionado a divulgar seu número secreto
(voto de cabresto). Pelo princípio do sigilo absoluto do voto, o eleitor
precisa ser totalmente _incapaz_ de comprovar em quem votou, uma vez
passado o momento de votar. Note que um eleitor tem o direito de
_declarar_ em quem votou, mas deve ser impossibilitado de _comprovar_ em
quem votou.
Enquando a usar recursos ao alcance do eleitor e não da máquina: isso
não existe na eleição com cédulas em papel. O que o eleitor pode
fiscalizar é a entrada dos dados, tanto da tela do computador, tanto
quando coloca a cédula na urna.
A cédula não se confere sozinha no momento que entra pelo buraco da
urna. A contagem do voto dependerá de um processo que não pode ser
inteiramente verificado pelo eleitor no momento da votação.
No voto eletrônico o eleitor não tem como fiscalizar o _registro_ -- e
não simplesmente entrada -- de dados. A contagem do que foi registrado é
outra etapa, que depende do registro correto.
No sistema brasileiro atual, tanto o registro quanto a contagem dependem
do correto funcionamento das máquinas, e não há meios eficazes de se
conferência, uma vez que não restam documentos físicos.
No caso do voto em papel, a 'entrada de dados' coincide com o 'registro
do voto', e resulta num documento material _verificado_ pelo eleitor /a
posteriori/ (imediatamente após o /input/). Esse documento pode ser
contado e recontado posteriormente.
Com a introdução do voto na urna, a parte da fiscalização que compete ao
eleitor termina, e entra em ação a fiscalização partidária etc.
Já com a tela da máquina de votar virtual, o registro efetivo do voto é
realizado após a entrada de dados, mas é inacessível ao eleitor. O voto
só é computado após se apertar o botão 'Confirma' (que ainda faz parte
da etapa de 'entrada de dados'), mas não se gera nenhum documento
conferível para assegurar o registro correto do voto.
Por mais que possa parecer que o eleitor está verificando seu voto, o
que ele realmente faz ao conferir a cédula de papel ou a tela do
computador é verificar se ele está inpuntando sua opinião de forma
correta da forma que possa ser entendida e processada por um sistema
preparado para computar sua opinião.
Com a votação em papel, é bem mais fácil compreender como será feito o
processamento, ou explicar o processo para uma pessoa, mas não tão
fáceis de certificar que o sitema está agindo como deveria.
Assim como os achados científicos de antigamente eram bem mais fáceis
de entender por parte do cidadão comum do que os de hoje. Antes você
descobria uma coisa nova, tipo, que a terra era redonda e os corpos se
atraem, e o cara na rua entendia o que você queria dizer. Hoje você
fala numas cordas que ninguém nunca viu, e não espera que todo mundo
entenda.
Leia 'O Mundo Assombrado pelos Demônios', de Carl Sagan, e você
entenderá por que, num mundo dominado por ciência e tecnologia
'esotéricas', é importante que a compreensão ampla de critérios e
métodos científicos deve estar ao alcance de um cidadão comum, e não
apenas restrito a 'especialistas'.
A 'Ciência' pode ser ética e políticamente neutra, mas é ingenuidade
assumir que os cientistas e técnicos sejam éticos e neutros (ao usar
conceitos que só eles entendem), especialmente quando PODER está em jogo.
A propósito, você conhece as idéias de Chaum e van der Graaf sobre voto
cifrado? Um esboço está em:
Não conhecia não. Vou dar uma lida =D
Não acredito tanto assim em auditoria de código, devido à complexidade dos
sistemas de software. Talvez com um sistema estritamente espartano na
Isso. Por exemplo, não é preciso usar um sistema de arquivos com TOC
nas mídias, sendo que só vai ter um arquivo mesmo. É só queimar os
bits numa mídia em que os Zeros possam se tornar Ums mas os Ums não
possam voltar a ser Zeros, e queimar os mesmos bits invertidos em
outra mídia (tipo um negativo). Então se alguém andar queimando uns
bits em uma mídia não vai poder fazer o contrário na outra, e a fraude
vai ser detectada.
As urnas seriam analizadas para ver se a imagem do programa na memóra
está como deveria, e o harware vai e volta lacrado dentro da casca da
urna, sendo mais fácil de verificar.
Boas idéias! ;-)
implementação, auditoria possa funcionar, mas apenas como precaução para
reduzir o risco de erros, não para atestar resultados.
Então na sua opinião os sistemas computacionais são inseguros por
natureza, e não por falta de cuidado?
Depende do cuidado por parte de quem. Quantos partidos têm condições de
auditar/fiscalizar efetivamente o equipamento eleitoral? Quanto tempo e
dinheiro é necessário para se analizar um sistema operacional pequeno
mas completo, mais os softwares do TSE, checar as listas de candidatos
etc., assegurar que os binários correspondem aos fontes (compiladores
podem ser infectados) e então verificar se as cópias instaladas em cada
máquina são fiéis, se o hardware não foi adulterado e se está em bom
estado...
Penso que esses sistemas deveriam ser analisados e aprimorados
continuamente, de forma totalmente aberta (software livre 'no bazar'), e
não a cada eleição por um diminuto corpo técnico. A tradição brasileira
era dar 5 (cinco) dias aos partidos para analisar o código de _todos_ os
programas eleitorais não-secretos...
Nesse contexo, acho extremamente perigoso um modelo que permita 'total'
confiança na totalização, mas seja inferior ao voto em papel justo no
momento crucial do registro do voto. Causaria uma ilusão de segurança
mais traiçoeira do que a atual.
(...)
Recorde que pelo menos 35% das urnas eletrônicas corromperam dados em
Alagoas, o que foi reportado em análise dos logs de TODAS as urnas do
estado. Foram também constatados defeitos equivalentes em urnas de todo o
país. Não dá pra confiar só em máquinas.
Acho que isso nos mostra que não dá para conficar NAQUELAS máquinas.
E que, como precaução, métodos adicionais de redundância e conferência
deveriam ser aplicados, para detectar possíveis problemas.
No caso, os problemas só foram detectados porque um candidato derrotado
questionou o resultado das eleições e contratou avaliação técnica dos
logs das urnas eletrônicas. Senão ninguém ia ficar sabendo...
Mas o eleitor só conta com os próprios sentidos no momento de votar. Minha
única crítica é essa, se refere exclusivamente a esse momento crucial das
eleições.
Exato, e são válidos até o momento que o voto passa pelo buraco da urna.
Sim. Mas esse momento é posterior à entrada e registro de dados no
documento material verificável.
Não há razão em desfavorecer um sistema superior em questões de
precisão e confiabilidade simplesmente porque parte da clientela não o
compreende.
Há sim razões de sobra: é o eleitor que deveria ser soberano nas eleições.
Não há como exercer soberania sem assegurar a si mesmo seu cumprimento.
Isto formaria base para um conflito de opiniões, onde um grupo
desejaria excercer sua soberania de uma maneira mais compreensível
para sí próprio, mas inaceitável para outros de igual direito.
Portanto deve prevalecer o método superior, e não o mais popular.
E quem é que decide qual método é superior? Por quê dever-se-ia, num
evento democrático, aceitar um método possivelmente obscuro para a
maioria dos eleitores?
(Problema extremamente difícil de se resolver... Lembra-me a proposta de
se exigir de eleitores uma certificação de consciência política, sem a
qual alguém deveria ser proibido de votar. Quem é que controlaria o
processo de certificação?)
Se alguém coloca um pedaço de papel numa urna e se dá por satisfeito,
isso nada tem a ver com a confiabilidade do processo.
O mesmo digo quanto a máquinas caça-níveis de votar. Se alguém aperta
botões numa máquina e se dá por satisfeito, sem saber como um comando vira
voto, isso nada tem a ver com a confiabilidade do processo.
Logo se vê que as impressões do eleitor nada interferem no processo,
uma vez que tenha dado o input no sistema de forma coreta e de acordo
com sua intenção.
O que eu quero dizer é que, se alguém não se importa em como seu voto é
registrado e computado, esse alguém não deveria ser tomado como
referência na defesa da democracia.
A 'confiabilidade do processo' depende da confiabilidade de cada etapda
do processo. O voto em papel tradicional é especialmente vulnerável na
contagem, o voto eletrônico puro (sistema brasileiro atual) é
especialmente vulnerável já no registro. A combinação do papel (poderia
ser qualquer outro suporte físico _efetivamente_ conferível pelo
eleitor) com o dispositivo eletrônico (eficaz na computação)
contrabalança falhas de cada método puro.
Sobre a fiscalização em cada etapa, veja:
http://www.brunazo.eng.br/voto-e/livros/FeD.htm#ataques
Baixe o livro completo:
http://www.brunazo.eng.br/voto-e/livros/F&D-texto.pdf
Ainda não estou convencido de que sua proposta é _verificável_ , pois
assenta na confiança em equipamento (software/hardware) controlado pelo
fiscalizado, não pelos fiscais. Mesmo que, após o registro do voto, tudo
possa ser verificado e conferido, o elo mais fraco continua sendo o momento
da votação. Se o voto for registrado incorretamente, por exemplo, por
defeito de máquina ou erro de software, todo o resto do processo estará
comprometido.
Técnicas de controle de qualidade podem ser aplicadas.
Por exemplo?...
Se a votação eletrônica for comprovadamente superior, manter um
processo em papel em paralelo é como andar de bicicleta dentro de um
navio e dizer que usou uma bicicleta para cruzar o oceano.
Desde que a votação eletrônica pura _fosse_ comprovadamente superior.
Mas, por enquanto, ainda não foi desbancada a tese de que é impossível, em
um sistema eleitoral totalmente informatizado, que o voto seja
simultaneamente conferível e anônimo (Rebecca Mercuri):
Lá diz "eletrônico" e não informatizado, e com forte ênfase na
tranmissão de dados usando a internet, etc.
A interpretação de Pedro Rezende é mais abrangente:
``Foi assim que o estudo científico desses limites atingiu um marco
importante, com a tese de Doutorado em Ciência da Computação da Dra.
Rebecca Mercury, defendida na Universidade da Pensilvânia em 2000. Sua
tese demonstra que a inviolabilidade do sigilo do voto e a garantia de
correta apuração – garantia que nega o segundo sentido acima – são
propriedades excludentes em sistemas puramente eletrônicos. Ou seja, não
há como proteger, em qualquer eleição processada e apurada apenas
eletronicamente, o sigilo do voto e a corretude da apuração, pois, nela,
tais proteções são como faces opostas duma mesma moeda.''
http://www.cic.unb.br/docentes/pedro/trabs/u-e-auditoria.html
O método que descrevi os dados são registrados, levando em conta a
implentação, em meio físico, alterando-se as propriedade ópticas de um
material de maneira irreversível. É impressão, só não é em papel.
Será que há como implementar a legibilidade humana (mesmo que auxiliar)
desse meio físico? Por exemplo, imprimindo-se formas ou números visíveis
a olho nu?
Seria mesmo melhor usar um suporte menos sujeito a
adulterações/falsificações do que o papel.
O controle ao acesso as mídias também é fisico, e não puramente
eletrônico/lógico, e a leitura é mais confiável do que com os próprios
olhos.
A recontagem ou auditoria estatística em sistemas de votos impressos não
precisa ser manual, pode ser automática. Mas os votos impressos são
conferidos visualmente pelos eleitores no momento da votação. Papel pode
ter suas limitações, mas é barato e _funciona_.
http://www.notablesoftware.com/Papers/thesdefabs.html
http://www.notablesoftware.com/evote.html
http://www.cic.unb.br/docentes/pedro/trabs/u-e-auditoria.html
_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
