Paulo, em um reunião entre Requião, Nelson Jobin, Amilcar e eu. O
Ministro Nelson Jobin, disse (na época) que ele iria assumir a
presidência do TSE e que ele aceitava conversar sobre tudo menos sobre
impressão do voto. Nesta época até passei esta informação para o Jeroin
(Holandes e prof. da UFMG), que apresentou um trabalho nesta direção.
Na prática, não é só a impressora que é assunto proibido não. Exemplos,
teste de penetração, verificação dos programas em ambiente externo ao
controle do fiscalizado (TSE), real verificação da autenticidade dos
programas que efetivamente estão na urna (no dia das eleições),
auditoria posterior em urnas suspeitas de irregularidades, etc... Todos
estes assuntos são tratados iguais à impressora, dentro do TSE.
Em minha opinião a impressão do voto simboliza a possibilidade de
auditoria. Nunca vi uma proposta realmente séria, vinda do TSE, que
permitisse uma auditoria razoável. E olha que eles tem muito dinheiro
para investir nesta direção.
Minha opinião é que segurança não é o assunto favorito dos técnicos do
TSE e auditoria menos ainda.
Um abraço
Marcio
Paulo Mora de Freitas wrote:
Márcio, creio que não somente as nossas opiniões são complementares
como provavelmente a tua hipótese me parece a mais plausível,
corroborada aliás pela experiência empírica do Prof. Rezende junto aos
seus alunos do TSE. Em todo o caso fica a certeza de que, enquanto for
esse mesmo pessoal que está no TSE não temos nem chance de discutir
com eles se não abrirmos mão de imprimir o voto. Ou seja, vamos
continuar nessa lenga-lenga por séculos e séculos. Fora que sabemos já
que a solução do voto impresso não é a definitiva. Repetindo o que
disse ao Luiz Ezildo, entender as razões profundas dessa recusa em
imprimir o voto talvez nos permita de encontrar alguma solução no
espaço do possível para "menos piorar" o sistema atual, que seja ao
mesmo tempo aceitável por essas pessoas.
Abraços, Paulo.
Marcio C. teixeira wrote:
Paulo e Amilcar,
tenho uma opinião um pouco diferente sobre este assunto, talvez seja
até uma opinião complementar.
As 3 questões que coloquei tem um importante ponto em comum.
No fundo a TSE nunca realmente se preocupou com segurança, nunca se
preocupou com auditoria.
Perguntei à um técnico do TSE quantas tentativas de fraudes eles já
tinham detectado e a resposta foi nenhuma.
A única direção que o TSE sempre trabalhou bem neste processo de
informatização foi em produzir um resultado rápido que fosse
inquestionável. Quando se tem a opção de se questionar o resultado
fica pendente, ou seja a resultado não é tão rápido. A idéia é ter
uma urna muito rápida em gerar um resultado e 100% segura por lei.
A impressão do voto possibilitaria se descobrir fraudes internas à
fronteira de conhecimento, mas também poderia pegar fraudes externas
à esta fronteira. Ou seja, se uma fraude externa fosse descoberta, o
resultado rápido estaria comprometido e também a competência técnica
do TSE em criar uma urna realmente segura.
Segurança é apenas uma parte técnica do projeto, afinal temos 400 mil
urnas funcionando simultaneamente em um único dia (tecnicamente isto
não é pouco), mas basta a divulgação de uma única fraude para
desmoralizar todo o trabalho técnico. Esta é a única razão para não
se permitir um teste de penetração.
Em minha opinião o corpo técnico do TSE age em defesa própria,
convencendo os Ministros através de subterfúgios técnicos.
Márcio
Amilcar Brunazo Filho wrote:
Caro Paulo,
Faço algumas poderações sobre sua "hipotese". São poderações e não
críticas, pois há muito de correto nela, principalmente pela vontade
crescente do grupo de técnicos do TSE procurar manter controle e
exclusividade sobre os meios de fraude:
1) Como se pode ver no livro do Camarão, no projeto original das
urnas eletrônicas constava a emissão do voto impresso para efeito de
recontagem. Então, o projeto não era eliminar o voto impresso e sim
mantê-lo
2) Nas urnas-e lançadas em 1996 havia o voto impresso para
recontagem, embora ele não fosse mostrado ao eleitor.
3) O motivo oficial alegado para acabar com o voto impresso em 1998
foi o número grande de falhas (amassamento do papel) nas impressoras
e não a perda do controle centralizado do poder de fraudar (é lógico
que eles jamais anunciariam isto).
4) A questão do custo. Antes da eleição de 2002, o Jobim declarou
que o custo das eleições eletrônicas resultou em quase 20% maior que
o voto manual. O Camarão contestou porque o Jobim considerou todos
os custos de informatização do voto enquanto ele alegava que alguns
custos deveria ser desconsiderados.
É assim, ajeitando os custos, que o Velloso chegou no número que
divulgou. Uma coisa é certa, o custo de guarda e manutenção das
urnas é muito, muito maior que o custo de guarda de votos em papel.
O custo do equipamento de uma seção eleitoral é muito maior com
urna-e do que sem urna-e. O custo do 12 mil funcionários temporários
para preparação das urnas não existia. O custo de totalização (rede
segura, etc) é muito maior do que antes. Lembre que os funcionários
utilizados na totalização manual dos votos eram fornececidos pelos
órgãos públicos, sem custo para o TSE que só pagava a preparação dos
locais.
5) A necessidade de fiscalização nas seções eleitorais continua
mesmo com o uso de urnas-e. Na realidade FISCALIZAÇÂO EFICAZ é a
única coisa que pode de fato diminuir fraudes eleitorais.
6) O Voto impresso emitido por uma urna eletrônica pode receber uma
assinatura digital dela própria, dificultando muito a falsificação
externa eficaz de votos impressos. A fraude tipo ataque de bloqueio
de serviço (DoS) que você sugeriu (incluir votos impressos falsos
para constestar a apuração) se tornaria detectável, e portanto
inútil, podendo se reverter contra o autor. Acabaria por se tornar
prática abandonada.
7) Eles tem experiência de fraudes externas antigas e procuram se
defender. Mas nós, os eleitores, que deveríamos ser os verdadeiros
soberanos do processo, temos experiência para nos defender das
fraudes internas modernas?
Amilcar
Paulo Mora de Freitas escreveu:
Prezados Kika e Márcio,
Permitam-me dar uma resposta às tuas três questões, por uma vez,
diferente da de sempre repetida aqui nesse Forum. Já faz alguns
meses que eu estou para escrever isto mas nunca tive tempo, aqui
vai então.
No ano passado teve aqui na França um simpósio sobre a Democracia
eletrônica. Não vou entrar em detalhes sobre este simpósio, mas
como no ano passado tínhamos por aqui o ano France-Brésil o nosso
país era o convidado de honra. Nessas vieram o Ministro Velloso,
Camarão e demais pessoas do TSE para participar pessoalmente neste
evento. Daí aconteceu uma coisa curiosa, típica de brasileiros no
exterior: é muito fácil de se aproximar de não importa qual
autoridade falando-se Português, aquela coisa de “-Ah, vocês são
brasileiros? Que bom, vamos conversar um pouco...”. Tentei e deu
certo, passei uma manhã discutindo com o Velloso e com o Camarão
sobre a urna eletrônica.
Duas coisas nesse episódio me chamaram a atenção. A primeira, foi a
condição que eles anunciaram para que eles aceitassem conversar
comigo. De cara eles disseram: “- Se o Sr. tem questão fechada de
que se deve colocar uma impressora nós nem começamos a conversar.”
Outra coisa, me dei conta do quanto eu estava mal informado sobre a
urna brasileira, dos procedimentos previstos em lei, etc.
Para não entrar em detalhes e evitar um mail quilométrico, vamos ao
que interessa. Muito me encafifou essa condição tão fechada contra
a impressora. Afinal, colocar essa porcaria de impressora não é tão
difícil assim, bastaria colocá-la para por um ponto final nessa
novela. Por outro lado descarto teses paranóicas, de conspirações
na calada da noite: são hipóteses muito fáceis, soluções triviais
que não levam à nada. Havia então algo muito contraditório nisso tudo.
A ficha caiu lendo a introdução do projeto de introdução da
biometria no voto eletrônico brasileiro. Logo de cara está escrito
algo mais ou menos assim: “A introdução da urna-e no Brasil já
acabou com um número muito importante de fraudes que eram
praticadas no tempo do voto em papel. Resta agora resolver o
problema da identificação do eleitor no momento de votar, que resta
um foco de fraudes ---> por depender ainda dos recursos locais na
hora da votação <---”. Bingo, caiu a ficha!
A minha hipótese, que penso acabo de citar a prova empírica, é a de
que o projeto do TSE é o seguinte: não depender em nenhuma hipótese
de recursos locais na seção onde se vota. Por que? Porque é muito
caro! Talvez morando numa grande cidade a gente não se dê conta do
que é organizar uma eleição num país do tamanho do Brasil. Tem
local em que a urna chega de helicóptero do exército! Então como
assegurar a lisura das eleições em todas essas seções espalhadas
Brasil afora? Enviando fiscais? Muito caro, quase impossível.
Outra coisa que corrobora essa tese é a fala do Ministro Velloso
apresentando o sistema brasileiro. Diz ele que apesar do custo da
compra do equipamento, a introdução do voto-e permitiu uma economia
de 30% nos custos de organização das eleições. A economia,
evidentemente, está no número muito menor de pessoas no terreno
para fiscalizar as eleições.
Nessas, então, qual é a especificação da urna brasileira? A de ser
um dispositivo sólido, quase especificação militar, protegido o
melhor possível de ataques externos, de maneira a que o TSE o
prepare de maneira centralizada e o distribua Brasil afora. Pode
acontecer de tudo com as urnas-e, mas se elas voltam inteiras, o
TSE acredita que pode confiar no seu conteúdo vistas as
especificações.
Fica fácil então entender porque esse pessoal do TSE não vai nunca
nem aceitar de falar em colocar uma impressora acoplada na urna.
Isso porque, introduzindo a impressora, você introduz a
possibilidade de se contestar o funcionamento da urna-se NO LOCAL
de votação. Ou seja, se você aceita a impressora e a possibilidade
do eleitor, no momento do voto, contestar o funcionamento da urna,
o TSE terá que voltar a enviar fiscais Brasil afora para verificar
as ocorrências.
Algumas conseqüências dessa hipótese:
1) É um projeto que não pode ser anunciado. Significaria o
presidente do TSE um dia ir no jornal das 20 horas dizer o
seguinte: “-Olha, pessoal, esse negócio de democracia é muito
sério, mas complicado demais para ficar na mão de vocês. Por isso
nós fabricamos aqui uma caixinha preta que cuida de tudo”. Trata-se
de um projeto de vocação claramente fascista, o qual exclui do
projeto o povo do qual emana no final das contas o poder democrático.
2) É um projeto utópico. Na prática estes dispositivos são
manipuláveis, clonáveis, etc. Da mesma maneira em que a idéia de
que se basta acoplar a impressora para resolver este problema é
outro projeto utópico. Um dia desses escrevo outro mail longo sobre
isso também.
3) Eles tem razão? Em princípio não, na prática talvez sim. Dou um
exemplo: imaginamos que na seção onde voto o meu candidato
certamente vai perder de longe. O que eu posso fazer? Simples. Eu e
alguns militantes que votam na mesma seção passamos a contestar
sistematicamente o funcionamento da urna, tentando anulá-la. Além
disso, como na contestação passamos ao voto manual, basta dar um
jeito de colocar mais votos do que os previstos na urna de papel e
provavelmente anular a urna no tapetão, via recurso depois. Cito
este exemplo somente para mostrar que uma coisa é a teoria, outra
coisa é o que rola nesse Brasil afora. O pessoal do TSE pode ter
vários defeitos, mas eles tem uma coisa que não temos: experiência
de terreno.
Vai um abração, Paulo.
Marcio C. teixeira wrote:
Amilcar, achei bastante interessante sua colocação. Ficam algumas
perguntas:
1) Por que uma solução tão simples e tão evitada. (a impressão do
voto)?
2) Por que criar uma fronteira de conhecimento tão ampla e com
tanta gente dentro, para se resolver um problema tão simples.
(somar votos)?
3) Por que uma solução tão complexa é tão primária no proteção
contra ataques externos à esta fronteira?
Um abraço...
Márcio
Amilcar Brunazo Filho wrote:
Grande e Admirado Márcio,
Acredito que concordamos em tese. Mas tenho outra forma de
apresentar a sua idéia de que não existe segurança em informática
sem que se recorra a algo secreto.
Processos informatizados que controle dados sensíveis (que
necessita de segurança) só podem ser protegidos a partir de uma
fronteira de conhecimento. Quem estiver fora da fronteira não
conseguirá atacar, quem estiver dentro poderá atacar.
Aí o problema se transfere para: como delimitar esta fronteira e
quem deixar do lado de dentro?
Acredito que não exista solução ideal que satisfaça a todos.
Tem-se que dar a alguns o direito de ficar do lado de dentro e
aos de fora tem que ser dado TODAS AS CONDIÇÕES NECESSÁRIAS
para auditar o trabalho dos de dentro.
É aí que entra o voto impresso conferido pelo eleitor para dar
auditabilidade à apuração eletrônica dos votos pois só o grupo
que controla os programas e as máquinas poderiam saber se
apuração foi honesta. Mas nós de fora nunca saberíamos se eles
estão sendo sinceros ou não ao afirmar que tudo correu bem a não
ser que tenhos como conferir os resultados por fora.
Amilcar
Marcio C Teixeira escreveu:
Paulo,
este é um assunto muito polêmico.
Ter código aberto ou fechado não garante segurança.
A pergunta tem que ser diferente: "Por quem e como o sistema
será (ou tem que ser) auditado?", nada impede de vc utilizar uma
solução aberta como se fosse fechada.
Outra coisa importante é que a palavra segurança depende muito
do contexto que ela é utilizada. Por exemplo, é muito comum
encontrarmos esta frase: O Linux é mais seguro que o Windows,
por que ele tem códigos aberto e os bugs são corrigidos mais
facilmente. Isto é verdade, pois não existem "portas do fundo" e
incompetência escondida, em compensação a proteção contra
ataques por engenharia reversa, no Linux, é muito mais difícil
do que o Windows.
Na verdade, toda a segurança tem algum ponto de obscuridade. Por
isto que afirmo, NÃO EXISTE SEGURANÇA SEM OBSCURIDADE.
No Caso especifico da urna eletrônica, a coisa é bastante
complicada para software de códigos fechado, porque quem detem o
secreto, pode também ser quem vai atacar o sistema.
Neste caso específico a área de obscuridade tem que ser
suficientemente grande para proteger o sistema e suficientemente
pequena para não permitir (ou dificultar ao máximo) uma fraude
no resultado.
Um abraço...
Márcio
[ ]s
Amilcar Brunazo Filho
www.votoseguro.org
EU SEI EM QUEM VOTEI.
ELES TAMBÉM.
MAS SÓ ELES SABEM QUEM RECEBEU O MEU VOTO.
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
Links do Yahoo! Grupos
[As partes desta mensagem que não continham texto foram removidas]
_____________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao representa
necessariamente o ponto de vista do Forum do Voto Seguro
O Forum do Voto Seguro visa debater a confiabilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, nos seus
aspectos técnicos e jurídicos.
_____________________________________________
Pagina, Jornal e Forum do Voto-E
http://www.votoseguro.org
_____________________________________________
Para cancelar sua assinatura neste grupo, envie um e-mail para:
[EMAIL PROTECTED]
Links do Yahoo! Grupos
<*> Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/votoseguro/
<*> Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]
<*> O uso que você faz do Yahoo! Grupos está sujeito aos:
http://br.yahoo.com/info/utos.html
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
