Estimado Colega Divino Leitão, Gostei da idéia deste CHIP identificador.
Com isto não mais seriam necessários os disquetes e a transmissão poderia ser feita pela internet com a maior segurança, afinal, cada código identificador poderia gerar um logaritmo para uma criptografia específica e desta forma tornar inexpugnável a transmissão dos dados. Com o resultado imediato sendo publicado na Internet, os Fiscais poderiam conferir instantaneamente o Boletim de Urna e com a mesma velocidade colocar a boca no trombone se alguma irregularidade fosse apontada, exigindo a recontagem depois de alguns minutos do fechamento da Urna Eletrônica, sem a menor possibilidade de que os votos impressos possam ser substituídos para bater com os resultados dos BUs. A cada vírgula acrescentada este nosso sistema fica cada vez melhor. POR UMA URNA ELETRÔNICA REALMENTE SEGURA, subscrevo-me Atenciosamente, Leamartine Pinheiro de Souza 21 2558-9814 - [EMAIL PROTECTED] Rua Conde de Baependi 78, Ap 1310 Flamengo, Rio de Janeiro, RJ 22231-140 -----Mensagem original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de DivListas Enviada em: quinta-feira, 3 de agosto de 2006 15:59 Para: Marcio C. teixeira Assunto: Re[2]: [Voto Seguro] Pergunta Respondendo a Marcio: > desculpe-me, mas acho que vc não conhece a tecnologia que está > defendendo. Não desculpo esta afirmação pelos seguintes motivos: 1. Ela não tem sustentação nenhuma, é apenas uma frase solta no espaço e que já começa com um "desculpe-me" seguido de "acho", qualquer psicologo pode esclarecer isso como ato falho; 2. Ela é desnecessária e ofensiva, não devia ser utilizada até por uma questão de educação; 3. Não faz diferença eu conhecer ou não a tecnologia, mesmo porque nesta área quanto mais se conhece menos se sabe; 4. E também não faz a mínima diferença eu "desculpar" ou não; Se começamos a imaginar o que cada um de nós é ou deixa de ser ou o que cada um conhece ou deixa de conhecer esquecemos nosso objetivo então - DE UMA VEZ POR TODAS - vamos parar com essa bobagem de julgar a pessoa e passar a julgar o tema. Isso posto, vamos conversar como adultos que somos, diga sua posição e eu digo a minha e vamos nos permitir um diálogo objetivo e claro, onde não importam muitos os achismos, mantendo o foco no tema e não no que um possa pensar do outro, mesmo porque não nos conhecemos o suficiente para qualquer julgamento particular. > Para colocar seu chip fictício, vc criou um sistema muito mais > complexo e falho do que o atual. É uma afirmação, mas nada em seu diálogo a seguir é capaz de dar consistência a ela. Se é para fazer afirmações então simplesmente respondo que não criei nenhum sistema e antes mesmo dele existir já está sendo acusado de ser falho. O que está fazendo é mais ou menos a mesma coisa que a igreja fez há alguns séculos, ao obrigar um pensador a admitir que a terra não era redonda apenas porque a instituição achava que não era. Acho que é preciso esperar um sistema existir ou pelo menos ser descrito de forma adequada para deduzir que ele é falho, não se pode descartar uma idéia com a simples exposição da mesma... não sem ser imparcial. > Por exemplo, fizemos um desenvolvimento de um chip (na verdade são 2 > chips) com conteúdo dinâmico, exatamente para implementar segurança, > a um ano atrás. Por isto estudei o assunto bastante a fundo, e ele é > bem complexo. Não existe, no mercado, uma solução realmente > dinâmica, existem várias soluções caixa preta, com algum dinamismo > insuficiente para se evitar um real ataque. O objetivo do chip que sugeri - mas não criei - não é "evitar ataques" e sim IDENTIFICAR uma urna, dar a ela nome, endereço, procedência e localização atual, entre outras coisas similares. Só isso, apenas isso, nada mais que isso. Para fazer tal chip não é necessária nenhuma complexidade, lido com gravação DE ROM, EPROM e outros tipos de dispositivos de armazenamento desde 1980 e TAMBÉM os conheço muito bem, sabendo que para implementa-los em QUALQUER equipamento é extremamente simples, eles estão presentes em veiculos, cargas e dispositivos eletrônicos de todo tipo. A tecnologia atual está em um estágio muito bastante avançado e tenho certeza absoluta que o desenvolvimento de um chip de identificação para as urnas seria um procedimento dos mais simples, de custo reduzido e nem por isso deixariam de ser seguros. Naturalmente aceito o direito de duvidarem desta premissa, mas apenas no campo da execução e não no campo das idéias. Foi pedida uma solução de identificação e eu apresentei uma, creio que cabe a quem não concorda com ela apresentar outras e não simplesmente dizer - sem qualquer corroboração a não ser o mesmo "la garantia soy yo" do TSE - que não serve. > O grande problema, é que este chip "variável" tem que ser validado > (ou seja, ele tem que ser reconhecido pelo sistema ou por algo que > verificará sua presença). "Quem" (equipamento ou software) que fará > este reconhecimento, tem que "compreender" como funciona este > dinamismo. Como esta solução também seria fiscalizada, ela não > poderia ser uma "caixa preta", pois se acreditamos que o software da > urna (que é muito mais simples) pode ser fraudada, esta solução > também pode. Criar um "chip" que altere seu conteúdo dinamicamente e > ainda possa ser aberto para ser auditado, vai ser muita mais > complexo que a própria urna. Entramos em um circulo vicioso, onde o > solução de segurança cria novos problemas de segurança mais > complexos. Está dificultando desnecessáriamente algo simples. Veja o processo: 1. Cria-se um padrão de identificação, define-se uma criptografia para ele e através de um processo industrial grava-se a identificação eletronicamente em um dispositivo que não possa mais ser apagado ou trocado, uma memória ROM, por exemplo; 2. São 40 mil urnas? Ótimo, então cria-se 40 mil chips, um com conteúdo diferente do outro, este conteúdo não poderá mais ser modificado; 3. Coloca-se cada chip em cada urna, conectado a um dispositivo de leitura que pode ser uma simples porta serial. podemos usar USB para isso, não há riscos para a urna porque esta porta estará conectada exclusivamente ao chip e mais nada; 4. Para ler o chip pode-se usar qualquer dispositivo de informática, um leitor específico, um palm, um celular, um laptop, não interessa qual é o dispositivo, apenas estabelece-se um protocolo de comunicação e pronto, quem quiser ler o chip faz o seu; 5. Uma vez lido o conteúdo do chip ninguém vai ter como saber o que tem ali dentro pois está criptografado e nos melhores níveis de segurança que a tecnologia permitir, ou seja, qualquer um pode pegar este conteúdo que não terá utilidade nenhuma; 6. Só que se o conteúdo for transmitido para um servidor central irá devolver a resposta que os responsaveis pelo sistema quiser responder, pode ser "OK, a urna é a correta" ou então "estamos mandando a policia federal te prender, você está se metendo onde não devia"... explicando: o sistema central recebe a identificação e isso permite saber que urna é aquela, o chip dirá ao sistema e através da identificação do solicitante podemos saber se a leitura foi a que devia ser, ou seja, se aquela urna é real ou não. Captou? É simples assim, não tem como algum malandro abrir uma urna, tirar o chip lá de dentro (mesmo porque para tirar ele teria que ser destruído) e descobrir como ele funciona ou como é gravado para poder reproduzir o processo. Quem achar que tem, por favor me diga como pois para pensar neste procedimento levei apenas alguns minutos e pode ser que tenha deixado passar algo, mas tenho certeza que uma equipe de tecnicos mais gabaritados que eu poderiam pensar em algo melhor sem sofrer muito até porque seriam pagos para isso e não teriam alguém dizendo - sem oferecer argumentos - que está errado antes mesmo de tentarem. Claro que uma urna poderia conter mais identificadores além deste chip, mas se ele utilizar uma boa criptografia poderá ser exclusivo e único e totalmente capacitado a identificar qualquer tipo de local onde seja embutido. Outras aplicações de um chip deste tipo: Poderia ser usado em um automóvel, bastaria ser fundido ao metal do carro deixando apenas uma única porta de conexão USB que qualquer policial rodoviário com um handheld poderia acessar e enviando via internet saber onde foi fabricado, para quem foi vendido, onde deveria estar, se tem multas ou não... melhor que esse monte de documentos que criam, melhor que chapa, melhor que número gravado no chassis, mas não precisa substituir os documentos ou a chapa ou a gravação no chassis, apenas é uma forma eletronica de identificação que dificilmente poderia ser falsificada. Claro que se poderia criar um chip falso e substituir o original mas daria muito trabalho e ainda existiria um problema... como o falsificador descobriria a criptografia utilizada? Ia acontecer o mesmo que aconteceu com aquele idiota que usava uma chapa falsa com o nome da cidade escrito errado, sem contar que se fosse uma clonagem o sistema identificaria de imediato. E bastaria colocar chips diferentes em lugares diferentes do carro e fazer uma checagem de todos para inviabilizar a falsificação. Mesma coisa na urna... se uma equipe de técnicos concluir que um chip não é suficiente então que se coloque 10 deles se for necessário, quero só ver quem vai conseguir clonar todos, principalmente se forem feitos em origens diferentes e com processos diferentes. Creio que basta, em termos de argumentos para esclarecer que a idéia de um chip de identificação não é tão falha quanto quer fazer parecer apenas com um único argumento: Eu acho que é. > obesvação: > 1) criptografia, só protege dados em trânsito, ou armazenados (que não > deixa de ser trânsito também). Acho que esclareci que os dados do tal chip estão na categoria de armazenados. Uma vez criados e encapsulados na urna não há como trocar, pode-se apenas destruí-los. Clonar é algo possível, mas muito difícil de fazer, pois clonar a urna e o chip é uma coisa, clonar a criptografia é outra bem mais difícil e ambos de difícil acesso a um simples mortal. > 2) se vc tem um sistema centralizado para controlar segurança, este > sistema também pode ser responsável pela própria quebra de > segurança, esta decisão estará na mão de quem o controla. Com este ponto eu concordo, se o responsável pelo sistema de segurança quiser efetuar a falha terá meios. Mas como ele fará isso se não conhecer a criptografia utilizada? Quem vai criar a criptografia é uma equipe, quem vai implementa-la nos chips é outra, quem vai cuidar do sistema é outro grupo e nenhum deve ter acesso ao que os outros fazem e como fazem ou vira bagunça. Existem técnicas diversas para a equipe que cria criptografia não saber como ela será utilizada, apenas cria-se o método e a implantação dele é responsabilidade de outros, que não conhecendo o método mas apenas o procedimento não podem - teoricamente - roubar no processo. Evidentemente há especialistas competentes para descrever um procedimento correto para fazer isso. O sistema desenvolvido para atender o servidor vai lidar apenas com a decodificação dos dados e as pessoas responsáveis por operar este sistema tem sua responsabilidade. Lembro do caso no senado, onde a técnica responsável entregou uma lista dos votos nas mãos do ACM, ela só fez isso porque tinha acesso ilimitado aos dados o que é errado. Os responsáveis por operar o sistema centralizado de identificação não podem ser os mesmos que irão desenvolver o sistema que uma vez desenvolvido pode ser auditado para evitar fraudes por ele. Tudo pode ser fraudado, então tudo tem que ser verificado. > 3) criptografia não evita copia e sim que o conteúdo seja entendido. Se não tiver acesso ao chip não se pode copia-lo. O ponto onde pode falhar é na fabricação e distribuição dos chips, que tem que ser auditados rigorosamente, mas depois de inseridos nas urnas e lacrados não deve mais ser possível serem retirados sem a destruição dos mesmos. Claro que se houver vazamento na fabricação e instalação é possível copiar um chip, mas neste caso na hora de identificar uma urna que deveria estar no Ceará, mas está em São Paulo qualquer sisteminha de IA pode alertar as autoridades responsaveis pela fiscalização. > 4) se vc usa um equipamento (com o palm) para validar o chip, vc terá > que proteger este software contra ataques de "engenharia reversa". Claro que não. O sistema apenas lê o conteúdo do chip e o envia para o servidor central. Por isso mesmo digo que este sistema deve ser um protocolo de conhecimento público. A única coisa que o sistema do PALM ou qualquer outro dispositivo deverá fazer é criar uma segunda cobertura de criptografia no arquivo que vai ler do chip, desta forma mesmo analisando o arquivo ninguém terá condições de saber seu conteúdo... isso é necessário para evitar que se falsifique o mesmo. E o envio deve ser acompanhado de dados físicos da urna, um número de série gravado no metal, ou uma holografia, códigos de barra, etc ou todos. Quero só ver quem vai conseguir falsificar uma urna com tantos dispositivos de identificação trabalhando em conjunto. Pode-se inclusive disponibilziar um programa para que o próprio eleitor possa levar seu PALM e fazer ele mesmo a identificação da urna em que votou pela internet. Ele lê os dados, anota o número da urna e após votar vai num computador e envia os dados para que o sistema verifique se a urna é verdadeira. > Não existe uma proteção eficaz, no mercado, para este tipo de > equipamento. Isso todos sabemos, afinal se existisse eu não precisaria estar aqui bolando uma. Mas não existir não significa que não possa ser feito. Quando o primeiro inventor do grampo pensou nele não pensou na bolinha de plástico que seria colocada na ponta futuramente e que deu mais grana a seu inventor que o grampo ao inventor original... pelo menos é o que andei lendo, mas mesmo que não seja verdade, demonstra que a simplicidade não é necessariamente algo que não deva ser feito, as vezes apenas não é pensada. E tem mais, discordo do termo "não existe uma proteção eficaz, no mercado" pois elas existem sim, os chips identificadores estão presentes em muito mais lugares do que imaginamos, em celulares, em aparelhos hospitalares, em video-games, em carros, até em remédios e alimentos, alias qualquer loja tem etiqueta identificadora do produto para evitar o roubo e não tenho notícias de que já tenham sido fraudados, apesar de serem extremamente simples. Mas para "esse tipo de equipamento", ou seja, a urna, realmente não existe mas é só porque não interessa aos responsáveis por ela que exista, nada além disso. > Estamos portanto uma solução de comunicação segura para um Ipaq (com > WinCe) e criar esta segurança contra "engenharia reversa" esta sendo > o maior problema. Nunca entrei na questão de segurança do sistema de voto. Até o momento me concentrei em identificar a urna, em definir dispositivos que limitem com severidade a falsificação ou duplicação do hardware. Falsificar um dispositivo com Win CE é de uma simplicidade estúpida, ao alcance de qualquer garoto mais nerd, mas esta é outra questão que seria resolvida com um sistema proprietário e que fosse baseado em um hardware específico... trata-se de outro passo, no qual me abstenho de dar palpites por não conhecer o assunto suficientemente bem. Mas não me furto a apontar as falhas evidentes, principalmente do sistema atual, sendo que a mais absurda delas é ignorar a melhor proteção que o sistema pode ter, que é a impressão do voto. Basicamente com a impressão o sistema poderia ser até criado em BASIC em um Z80 que funcionaria. > 5) Embora eu seja um dos maiores defensores da impresão do voto, ele > também tem falhas. Defendo a impressão do voto, conferido pelo > eleitor (sem manipulação) e confirmado ou cancelado por um sistema > eletro-mecânico (aqui é o ponto chave, pois se for um sistema de > acionamento eletrônico, ele poderá produzir, facilmente, varios > votos inexistentes). Temos uma quantidade de eleitores e uma quantidade de papelzinho picado. Se na urna X votaram 10 e tem 12 papeizinhos então ela deve ser impugnada, o responsável deve ser mantido a disposição da justiça, assim como todos que participaram do processo. Trata-se de uma conta simples... 2 + 2 = 4. Se der 5 é porque o Roberto Carlos estava ajeitando a meia da sua perna de pau na hora errada... se me perdoa a piada confusa e múltipla. Da mesma forma a urna não pode acusar 10 eleitores e ter 8 papeizinhos lá dentro ... A preocupação deve ser apenas de COMO será impresso e nunca deveria ser se deve ser impresso ou não, porque a não impressão do voto é algo que considero inadimissível e só posso lamentar que a minha opinião neste caso valha tanto quanto meu voto na atual urna... ou seja, NADA! > obs final: Acho que o maior erro que o TSE cometeu foi divulgar que a > urna é invuneravel (100% SEGURA), por causa disto muitas pessoas que > participam do processo (ou mesmo eleitores) deixaram de ajudar a > fiscalizar o sistema. Bom... do ponto de vista do TSE não foi um erro, já que é evidente que interessa a eles que o mínimo de pessoas passem a fiscalizar o sistema. O problema do TSE nem é de ser ladrão pois isso não podemos afirmar sem provas que não temos, mas tem um problema em ser BURRO e ouso estender o insulto (naturalmente preocupado com a SPA considerar um insulto as burros) a todos que participam do processo, pois é evidente que ele está furado e aceitar participar de um esquema falho é no mínimo um indicador de burrice avançada. O medo que eles tem é de que o povo perceba o quanto é inútil o papel do TSE em fiscalizar a si mesmo, isso é absurdo do ponto de vista da democracia. O TSE deveria simplesmente FISCALIZAR e jamais ser o responsável pela criação da URNA, trabalho que milhares de empresas tem condições, tecnologia, disposição e CUSTO INFERIOR ao que se gasta para fazer. Se o TSE estivesse apenas fazendo seu papel inicial, de fiscalizar ao processo então nos daria ouvidos e caberia aos responsáveis por fazer a urna atender aos padrões de segurança que fossem definidos. Este é o erro, o que o TSE faz é mais ou menos o mesmo que deixar o presidente da republica fazer e aprovar as leis, deixa de ser democracia e passa a ser tirania, com os resultados que a história já demonstrou. > Uma vez perguntei a um membro da equipe técnica do TSE (prefiro não > falar o nome), quantas tentativas de fraudes eles já tinham > detectado, a resposta foi: NENHUMA. Perguntei então se ele achava > que os desonestos (que sempre fraudaram ou tentaram) tinham ficado > honestos depois da urna eletrônica. Ele ficou sem resposta... Certamente não detectaram nenhuma tentativa de fraude porque é mais fácil fingir que elas não ocorreram. > Algumas regras práticas sobre como se desenvolver soluções seguras: > 1) não sub-estime os possíveis fraudadores. > 2) não existe 100% seguro. > 3) todo sistema será quebrado, por isto vc tem que prever e antever esta > hipótese. > 4) o fato de vc não conhecer, a fundo, uma tecnologia não a faz segura. > (ex: Prof Pedro e sua Seita do Santo Byte) > 5) (esta é polêmica) mesmo quando vc usa soluções abertas, a real > segurança esta na parte obscura. Por exemplo na chave. Finalmente uma parte do seu texto com a qual posso dizer que concordo em gênero, número e grau ;8)) > Desculpe-me pela resposta um tanto técnica, mas se estamos > defendendo uma melhoria no sistema atual, temos q ue a aprofundar um > pouco no lado técnico. Não considerei a resposta técnica, entendi perfeitamente tudo que foi exposto sendo que não concordei basicamente com as alusões a dificuldade de se criar uma forma de identificação segura do hardware da urna, que considero tão necessário quanto os procedimentos de segurança do software, uma vez que o hardware falhando o voto também falha, mesmo que o software pense estar atuando. E também acho perda de tempo as alusões a características particulares, tais como se afirmar que eu conheça esta ou aquela informação "mais ou menos" ou nada, quem sabe dos meus conhecimentos sou eu mesmo e mais ninguém, outros só poderão avaliar se me submeterem a um exame e no dia em que se fizer um exame de conhecimentos para participar desta lista é muito provável que ela se esvazie ao zero, pois todos nós temos falhas de conhecimento em alguma área e é justamente por isso que formamos grupos... para somar e JAMAIS diminuir o que alguém diz por parecer que não entende, quando muitas vezes quem não entende é quem lê. No mais a discussão é sempre bem-vinda porque o que não traz soluções nos leva a ela... Grande abraço, Divino Leitão Conheça www.minimidia.com.br mais informação em menos espaço. Pra rir e pensar (não necessariamente nesta ordem) Faculdade. Você ainda vai abandonar uma! _____________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto Seguro O Forum do Voto Seguro visa debater a confiabilidade dos sistemas eleitorais informatizados, em especial o brasileiro, nos seus aspectos técnicos e jurídicos. _____________________________________________ Pagina, Jornal e Forum do Voto-E http://www.votoseguro.org _____________________________________________ Para cancelar sua assinatura neste grupo, envie um e-mail para: [EMAIL PROTECTED] Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/votoseguro/ <*> Para sair deste grupo, envie um e-mail para: [EMAIL PROTECTED] <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html ______________________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________
