Olá,
Repasso abaixo mensagem que recebi do Professor Jorge Stolfi informando sobre
um debate no Conselho da Unicamp a respeito de se usar voto pela internet ou
não na eleição interna.
Segue inclusive a ata da reunião.
O Stolfi foi voto vencido mas acho que atitude dele de levantar o problema em
todos os locais e fórum é bastante elogiável.
Amilcar
-------- Mensagem Original --------
Assunto: [Urna] Conselho da UNICAMP e voto-e
Data: Mon, 10 Oct 2005 09:52:25 -0300
De: Jorge Stolfi <[EMAIL PROTECTED]>
Caros,
Esta é só para avisar que em março deste ano tive ocasião de falar
sobre o voto eletrônico no Conselho da UNICAMP (CONSU).
O item em pauta era a eleição de novos representantes docentes e
discentes para esse órgão. Havia uma recomendação do Reitor de que a
votação fosse feita através da Internet, usando um browser WWW padrão
(Netscape, IE, etc.) em PCs comuns disponibilizados por cada
faculdade. Essse método já havia sido usado na eleição anterior (na
qual me recusei a votar).
Segue abaixo a transcrição da ata do CONSU, com minha fala e as
respostas do Reitor e do Diretor do Instituto de Biologia. Na votação
(preciso dizer?) houve um voto pela eleição em papel, 47 votos pelo
sistema eletrônico, e 2 abstenções.
O vídeo da sessão está disponível na rede interna da UNICAMP,
no URL
http://www.cameraweb.rei.unicamp.br/videos_consu_cad_cepe/consu/2005/consu-29032005/consu.rm
Não sei se esse vídeo pode ser visto fora da UNICAMP. Minha fala
começa em 03h 13m 45s do início da sessão.
----------------------------------------------------------------------
ATA DA NONAGÉSIMA PRIMEIRA SESSÃO ORDINÁRIA DO CONSELHO UNIVERSITÁRIO
DA UNIVERSIDADE ESTADUAL DE CAMPINAS. Aos vinte e nove dias do mês de
março de dois mil e cinco, às 9:00 horas, reuniu-se o Conselho
Universitário da Universidade Estadual de Campinas [...] com o
comparecimento dos seguintes Conselheiros: [...] Jorge Stolfi [...]
[+03:13:45]
[...] Passa a seguir ao item 01, que trata de ELEIÇÕES PARA
REPRESENTAÇÃO DOCENTE JUNTO AO CONSU, nos termos da Deliberação CONSU
A-22/99 Para Aprovação REITORIA Forma de eleição para a
representação docente junto ao Conselho Universitário, nos termos do
item 4.2 do artigo 1º da Deliberação CONSU A-22/99, para cumprimento de
mandato de 02 anos, a partir de 20.06.05 Proposta de Sistema
Eletrônico de Votação[*1]. Como já foi mencionado, haverá eleições para
representação docente junto ao Conselho Universitário e a deliberação
do CONSU estabelece que essa eleição pode ser feita pelo sistema de
papel ou eletrônico. Estão propondo que seja feito pelo sistema
eletrônico, como já foi feito, e neste caso é preciso compor uma
comissão eleitoral. Por alguma razão que não sabe qual é, a
deliberação do Conselho Universitário diz que se a eleição for feita
usando papel, quem compõe a comissão eleitoral é o Conselho
Universitário e se for feito pelo método eletrônico é o Reitor.
O Conselheiro JORGE STOLFI com a palavra, diz que a última coisa que
queria neste mundo era estrear sua intervenção neste ilustre Conselho
com um tema tão delicado e polêmico, mas sua responsabilidade
profissional exige que alerte o Magnífico Reitor e os ilustres
Conselheiros que nenhum sistema eletrônico de votação é seguro o
suficiente para qualquer votação de alguma importância. Todos os
sistemas eletrônicos de votação conhecidos têm risco de fraude e
violação, que se esses riscos estivessem presentes em sistemas
tradicionais de votação com o mesmo teor, seriam considerados
inaceitáveis e que só pela relativa novidade dos sistemas eletrônicos
de votação que esses problemas têm sido ignorados até agora e estão
reaparecendo. A conclusão desses riscos não é opinião pessoal, é
consenso de todos os especialistas em votação eletrônica, conclusão de
inúmeras comissões governamentais independentes, que pode ser
encontrada em qualquer artigo técnico que se refira aos sistemas
eletrônicos de votação. As medidas que estão relacionadas na proposta:
senhas, criptografia, assinaturas digitais e tudo mais, são eficientes
contra ataques de fora, mas não contra ataques de dentro. Uma pessoa
estrategicamente colocada na equipe que prepara o sistema ou que o
implementa pode facilmente driblar todos esses esquemas de segurança e
fraudar o resultado da eleição em todos os pontos de votação, sem
deixar vestígios que possam ser detectados na hora ou depois por
auditorias. Esse problema ainda tem uma solução que é o comprovante
físico de volta[*2] que seja impresso na mesma hora, detalhes sobre
isso podem ser encontrados, é uma discussão atual e pertinente, só que
infelizmente é uma solução cara que também tem seus riscos e é de
difícil implementação. Quanto ao risco de violação do sigilo, esse
também é igualmente sério, os mesmos métodos que podem ser usados para
mudar o resultado da eleição, podem ser usados para obter a identidade
do eleitor e os seus votos. Talvez esse risco seja até mais grave,[*3]
o dano só aparece se a fraude acontece. No caso da violação de sigilo
a simples possibilidade de a violação acontecer já cria uma situação
de intimidação do eleitor e que permite o voto cabresto ou coisas
assim, por exemplo, [*4] simplesmente sugere que tem um amigo dentro
da comissão que vai revelar o voto, caso não vote naquele determinado
candidato. Não é necessário que essa ameaça seja verdadeira basta o
simples fato de que na teoria ela é possível, para que a ameaça surta
efeito. E contra esse problema infelizmente não há solução conhecida,
nem teórica e nem implementada. Não conhece a equipe que é responsável
pela implementação desse sistema, tem confiança neles, a mesma
confiança que tem em qualquer funcionário que não conhece da UNICAMP.
Aliás, colocar seu voto em um sistema feito por pessoas desconhecidas
é equivalente a pedir para um mesário que não conhece que preencha a
ficha de votação para ele. O problema não é simplesmente se essa
equipe merece confiança, mas se adotar um sistema eletrônico de
votação, estarão colocando a confiança em todas as administrações
futuras, equipes futuras que talvez não mereçam essa confiança. Esse
sistema em particular tem inúmeros pontos falhos que são bem
conhecidos por especialistas e para começar tem uma equipe única, um
software único que vai sendo implementado por uma administração
centralizada, de maneira centralizada, é um aplicativo que por mais
bem feito que seja com certeza não deve ter passado por um processo de
certificação que se espera hoje em dia de softwares eletrônicos[*5].
Ele usa a rede ordinária da UNICAMP, máquinas ordinárias e a segurança
dessas máquinas e os locais de votação, se a eleição passada é uma
indicação, é totalmente precária e extremamente fácil ter acesso a
essas máquinas e trocar o software que está lá dentro por uma
imitação. Tem um erro fundamental de projeto nele, pelo menos na
discrição[*6] que está nesta proposta, que a própria máquina, o
próprio aplicativo que registra o voto também registra a identidade do
eleitor, de modo que facilita a tarefa de alguém que esteja
interessado em violar a integridade do sistema. E finalmente não tem
esse sistema um comprovante físico que permitiria uma recontagem,
então sem esse comprovante é impossível alguém apresentar um recurso,
julgar ou avaliar um recurso, a única coisa que se pode fazer é
conferir se a máquina confirma aquilo que ela mesma registrou. O
problema é mais fundo, não basta que um sistema eleitoral eletrônico
ou não, seja seguro, o eleitor precisa acreditar que ele seja seguro,
precisa acreditar que o sistema não vai ser fraudado, possa respeitar
o resultado da eleição e acreditar que seu voto não vai ser violado
para que possa votar livremente. Em sistemas eletrônicos, por sua
própria natureza, não conseguem transmitir isso, mesmo as pessoas que
podem entender e avaliar sistemas de criptografias terão dúvidas,
imaginem uma pessoa que não tem nenhum conhecimento de computação e
tem que confiar cegamente no que a caixinha está fazendo. Então,
propõe aos Conselheiros e ao Reitor que considerem adotar o sistema de
eleição de papel. Sabe que é um sistema custoso, contar todos os votos
dá bastante trabalho, mas se contarem todo o tempo gasto na
implementação do sistema eletrônico, mesmo que seja com o mínimo de
segurança necessário para proibir fraudes externas, tem certeza que é
bem maior do que o de eleição no papel.
[+03:22:20]
O Conselheiro MOHAMED HABIB diz que ouvindo a explanação do Diretor do
Instituto de Computação, ainda vê que podem dentro desse mesmo
sistema, com pequenas adaptações, alcançar um nível de segurança
grande. Se hoje há condições para que o próprio eleitor na hora da
votação imprima um comprovante do seu voto, há também a possibilidade
de implementar um mecanismo para o registro de uma segunda via desse
comprovante, então a comissão eleitoral, a instituição, no final do
processo teria dois dados: um que consta na apuração dos votos, os
números, e o segundo a segunda via daquele material que foi impresso.
Não é no papel, mas sim no sistema, caso precise resgatar para fazer a
comparação. Isso seria até um desafio para uma instituição como a
UNICAMP, inclusive para evoluir nesse sistema eletrônico, para
oferecer ao país e para as eleições m iores que acontecem, mecanismos
de segurança maior. a Acabaram de passar por uma eleição para
vereadores e prefeitos e no ano que vem haverá eleição para
presidente, governador e senadores.
[+03:24:10]
O MAGNÍFICO REITOR diz que sem falar que o presidente foi eleito numa
eleição eletrônica.
[+03:24:20]
O Conselheiro MOHAMED HABIB diz que se esses problemas existem aqui
com certeza também existem nessas eleições maiores a nível nacional.
Então, por que não aproveitar esse momento em uma Universidade como a
UNICAMP para aprimorar o sistema, adicionando este recurso que está
sugerindo, que ofereceria uma segurança maior e também daria condições
para as demais instituições governamentais como o Tribunal de Justiça
Eleitoral aprimorar o sistema. Por outro lado, se recusarem o uso de
urnas eletrônicas estarão fechando os olhos de possíveis erros que
poderiam acontecer no sistema em nível maior. Então, sugere ao CONSU o
desafio de continuar com a eleição eletrônica, mas aprimorando o
sistema, colocando esses recursos de segurança maior inclusive como um
passo para oferecer isso para a sociedade "a posteriori".
[+03:25:25]
O MAGNÍFICO REITOR diz que não deveriam entrar em um debate sobre
aspectos técnicos de eleição eletrônica. Chama atenção para o fato de
que a UNICAMP já faz esse sistema de eleição de representantes
docentes pelo método eletrônico desde 1999 e nunca houve uma
ocorrência inadequada do ponto de vista de sigilo. Lembra que a última
Comissão foi composta pelos Professores Akebo Yamakami, Mário Jino e
Jacques Wainer que inclusive fez uma apresentação sobre os prós, os
contras, e disse que não era 100% seguro, que poderia haver certos
problemas, mesmo assim o Conselho Universitário escolheu conviver com
a possibilidade de certos problemas, tendo em vista as simplificações
existentes e o tipo de eleição. Afinal, como já foi mencionado, para
eleger o Presidente do Brasil se faz uma eleição onde ninguém leva
para casa um papel. Então, acha que não deveriam entrar nesse debate
aqui porque não é o lugar para fazer essa discussão. Tem correntes de
pensamento na área de informática e de computação, como o Professor
Stolfi destacou, que dizem que não é possível fazer uma eleição segura
do jeito que é hoje, tem outras que dizem que sim, tem uma disputa no
mundo sobre este assunto que inclui também a empresa que fabrica a
urna e a que fabrica a cédula. Não conseguirão aqui no Conselho
Universitário chegar a uma conclusão tecnicamente perfeita sobre este
assunto. O Conselho Universitário estabeleceu isso numa deliberação
justamente considerando os imponderáveis, a possibilidade de haver
problemas com a eleição do tipo eletrônica, estabeleceu que em cada
uma deve ser escolhido o tipo. Então, aprovar hoje ou ter aprovado
dois anos atrás não quer dizer que para sempre será assim, porque a
deliberação diz que a cada eleição deve ser escolhida a forma. A
eleição eletrônica é organizada pelo Centro de Computação da UNICAMP
na parte técnica e ela tem um método de funcionar, se o Conselho
decidir que será feita em papel, será feita em papel, não dá para
mudar o sistema e fazer em dois meses que seja imprimido o
comprovante. Então, quem achar que não é suficientemente seguro ou não
tem suficiente confiança no sistema eletrônico vota contra, é
totalmente legítimo que se decida assim. O fato é que já fizeram
dessas eleições e nunca houve uma ocorrência de natureza inadequada,
apenas uma vez nos primeiros minutos da eleição porque o programa não
deixava votar de um certo jeito, mas o problema foi solucionado. E o
fato de fazer assim economiza bastante tempo de professores da UNICAMP
que teriam que ficar sentados contando voto. Não está de maneira
nenhuma querendo empurrar ou forçar o Conselho Universitário a adotar
o sistema eletrônico, só está dizendo que a UNICAMP já fez três ou
quatro vezes e nunca houve uma dificuldade. Há várias objeções a esse
sistema, o Professor Stolfi acabou de elencar várias, e há dúvidas
também, como há dúvidas sobre várias outras coisas, mas é aqui o lugar
de decidir. Acha estéril ficar debatendo, não adianta falar em mudar o
sistema. Quem achar que do jeito que é não está bom, vota contra.
Então, como há dúvidas em relação ao sistema eletrônico, pergunta ao
Plenário quem é a favor que a eleição seja realizada pelo sistema
tradicional, isto é, com cédula e urna, que obtém um voto favorável. A
seguir pergunta quem é a favor que a eleição seja realizada pelo
sistema eletrônico, que obtém 47 votos favoráveis e 02 abstenções[*7],
portanto é aprovado o sistema eletrônico.
[+03:32:30]
[...]
----------------------------------------------------------------------
[*1] Na pauta, este item se iniciava com uma breve carta do Magnífico
Reitor recomendando o uso de votação eletrônica.
[*2] queria dizer "de voto".
[*3] neste ponto queria dizer "no caso de fraude, ...".
[*4] neste ponto queria dizer "se alguém ...".
[*5] neste ponto queria dizer "... de votação".
[*6] obviamente "descrição".
[*7] Houve 1 voto contrário, o meu.
----------------------------------------------------------------------
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
