Caro Regivaldo,
Regivaldo Gomes Costa escreveu:
Srs.,
Não é o mérito, mas vale a pena comentar: até onde conheço, o corpo técnico da
área de desenvolvimento da Câmara e composto de profissionais de grande
experiência na área e têm como premissa o desenvolvimento de produtos
tolerantes a faltas e que estejam em conformidade com os pilares da segurança
computacional (integridade, confidencialidade, auteticidade e não-repúdio)
associado ao processo de votação eletrônica.
Vale ressaltar, que a concepção e a implementação do Sistema Eletrônico de
Votação (SEV) da Câmara do Deputados (CD) que ocorreu em 1998, já contemplava a
cifragem da qualidade do voto do eleitor, conforme exposto pelo Sr. Leirton no
link já divulgado.
Os SEVs da CD o do Senado são incoparáveis quanto infra-estrutura e segurança aplicada ao
sistema, principalmente qdo da ocorréncia do "caso do Senado". A Unicamp já
esteve auditando o SEV da CD e ela própria, na época, ficou abismada com diferença entre
os dois sistemas, posicionando o da CD com um sistema robusto e confiável.
Digo ainda, que a preocupação que os pares deste forum têm, o diretor da
Cordenação do Sistema Eletrônico de Votação, Sr. Leirton Castro e sua equipe
também o tem. Tanto, que os mesmos estão trabalhando para que o SEV da CD seja
objeto de auditoria externa e periódica, visando a lisura de todo o processo,
frente aos parlamentares e a sociedade brasileira.
As palavras acima, são posições pessoais minha e não reflete qualquer posição
da CD. E me baseio no conhecimento que tenho da infra-estrutura do SEV daquela
Casa e de seus profissionais que estão em constante preocupação com a segurança
e tolerância a faltas dos sistema lá implantados.
[]s,
Regivaldo Costa
Muito obrigado por sua mensagem acima pois me dá oportunide de abordar
um ponto sobre confiabilidade de sistema eleitorais eletrônicos de forma
estritamente técnica e impessoal.
Eu acompanhei a avaliação da UNICAMP sobre o SEV. Estava lá quando os
sistemas foram copiados para análise pelo prof. Àlvaro Crosta. Confirmo
que o SEV da Câmara era muito melhor, do ponto de vista da
confiabilidade, do que o do Senado.
Mas, de imediato, lembre que sobre confiabilidade de sistemas
eleitorais, a sua história em eventos pretéritos não tem a melhor
importância. A confiabilidade tem que ser analisada e estabelecida a
cada eleição.
Esta análise a seguir se refere a sistemas de votação secreta, não se
aplicando a sistemas de votação aberta onde a questão da confiabilidade
tem solução trivial.
Em 2000, eu escrevi um artigo que foi aceito para o Simpósio de
Segurança em Informática, SSI, que pode ser visto em:
http://www.brunazo.eng.br/voto-e/textos/SSI2000.htm
onde apresentei a tese de que o risco de fraude em sistemas eletrônicos
de votação (secreta) cresce na medida da importância dos cargos em
disputa e, por conseqüência disto, eleições de altos cargos e altos
interesses, como é o caso da Câmara Federal, são eleições de alto risco
de fraudes e deveriam ser tratadas, do ponto de vista de segurança, da
mesma forma que se trata um sistema de alto risco de falhas, como uma
usina nuclear por exemplo.
Isto quer dizer, que devem ter sempre controles redundantes e ser
submetidos a constante verificações e auditoria.
Assim, se justifica o uso do voto impresso conferido pelo eleitor, a
cada eleição, como forma de auditoria alternativa e redundante da
apuração eletrônica. Não adianta usar o voto impresso numa eleição,
fazer a recontagem, provar que o sistema funcionou direito e eliminar o
voto impresso nas eleições seguintes. Estas poderão ser fraudadas.
Outro conceito que apresentei, então, é que em sistemas de alto risco,
como classifiquei o sistema eleitoral, a segurança deve ser
essencialmente independente das pessoas, porque estas sempre podem
falhar e, eventualmente, fraudar.
Por isto, por favor entenda que a critica que apresento a seguir é
estritamente impessoal.
Se a confiabilidade do SEV depende da confiabilidade e da qualidade
moral de seus desenvolvedores e administradores então, TECNICAMENTE
FALANDO, O SEV É UM SISTEMA INSEGURO EM ESSÊNCIA.
O requisito de auditabilidade do resultado em sistemas de votação
secreta é fundamental e, pelo que eu entendi, o SEV não apresenta uma
forma que permita se conferir ou auditar o resultado eletrônico.
Entenda que todos os recursos digitais de segurança são insuficientes
para dar garantia de que um sistema informatizado qualquer, NO MOMENTO
DE FUNCIONAMENTO, esteja operando de forma 100% prevista e esperada.
Por isto é necessário auditoria constante. E em informática não adianta
analisar um sistema eleitoral informatizado nem antes nem depois, tem
que avaliar na hora ou... auditar o resultado depois por uma via
alternativa (o voto impresso conferido pelo eleitor).
Você recitou a cartilha ao falar que o SEV foi projetado para estar em
"conformidade com os pilares da segurança computacional (integridade,
confidencialidade, auteticidade e não-repúdio)".
Estes requisitos são exatamente os requisitos de sistemas de assinatura
digital baseado em critografia assimétrica. Acontece que QUEM INVENTOU A
ASSINATURA DIGITAL E ESTES REQUISITOS, O DR. RONALD RIVEST DO MIT, JÁ
ESCREVEU DEZENAS DE ARTIGOS EXPLICANDO PORQUE ELES NÃO BASTAM PARA
SISTEMAS ELEITORAIS DE ALTO RISCO.
Veja, por exemplo, o artigo em:
http://theory.lcs.mit.edu/%7Erivest/BruckJeffersonRivest-AModularVotingArchitecture.doc
onde ele argumenta porque é surpreendentemente muito mais difícil
processar com segurança um só voto secreto do que transferir com
segurança (integridade, confidencialidade, auteticidade e não-repúdio)
um milhão de dolares por meios digitais.
Veja, Regivaldo, como usar o jargão tecnológico pode ser apenas uma
forma de esconder a verdadeira natureza do sistema. Apenas mais um
espelhinho no salão para distrair a atenção dos fiéis do Santo Baite.
O SEV da CD pode estar em conformidade com os pilares da segurança
computacional (integridade, confidencialidade, auteticidade e
não-repúdio) mas continua não oferendo uma forma de auditar o seu
resultado...!
Obs.: atualmente o prof. Rivest tem publicado estudos onde avança a
proposta do prof. David Chaum, de sistemas eleitorais auditáveis pelo
próprio eleitor, mas que sempre necessitam da materialização do voto.
Assim, pretendo ter demonstrado que o SEV não merece ser tido como
confiável pois não oferece alternativa externa ao sistema digital para
conferir o seu resultado.
E quem projetou um sistema assim, segundo um modelo que está sendo
rejeitado em 100% do mundo acadêmico, por mais sério e honesto que seja,
projetou um sistema sem confiabilidade.
Lanço a seus conhecidos do corpo técnico da área de desenvolvimento da
Câmara o mesmo desafio que lancei recentemente aos membros do corpo
técnico do TSE. Escrevam para congressos de informática de alto nível
explicando como conseguiram a façanha tecnológica de produzir um sistema
eleitoral eletrônico que se auto-certifica estabelecendo a
confiabilidade do resultado sem precisar de auditoria contábil por meios
externos ao sistema. Todos gostariam muito de saber como eles
conseguiram o que o resto do mundo acadêmico reputa impossível.
[ ]s
Eng. Amilcar Brunazo Filho - Santos, SP
Conheça o livro
FRAUDES e DEFESAS no Voto Eletrônico
http://www.votoseguro.org/livros
se quiser compreender a
insegurança da urna eletrônica
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
