Estimado Colega Amilcar Brunazo Filho,
Com uma exposição brilhante como esta, dentro em pouco, teremos de tratá-lo como Doutor (por extenso), ou Processor (neologismo que aplico aos Professores como nível de Cientista). Desta forma acabarás convencendo até ao PAPA do TEMPLO UNIVERSAL DO SANTO BYTE que ele não passa de um tolo em suas crendices absurdas. Parabéns por esta belíssima exposição. POR UMA URNA ELETRÔNICA REALMENTE SEGURA, subscrevo-me Atenciosamente, Leamartine Pinheiro de Souza 21 2558-9814 [EMAIL PROTECTED] Rua Conde de Baependi 78, Ap 1310 Flamengo, Rio de Janeiro, RJ 22231-140 -----Mensagem original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Amilcar Brunazo Filho Enviada em: quinta-feira, 25 de janeiro de 2007 20:58 Para: [email protected] Cc: Pedro Antonio Dourado de Rezende Assunto: [VotoEletronico] Urna-E na Câmara Federal Caro Regivaldo, Regivaldo Gomes Costa escreveu: > Srs., > Não é o mérito, mas vale a pena comentar: até onde conheço, o corpo técnico da área de desenvolvimento da Câmara e composto de profissionais de grande experiência na área e têm como premissa o desenvolvimento de produtos tolerantes a faltas e que estejam em conformidade com os pilares da segurança computacional (integridade, confidencialidade, auteticidade e não-repúdio) associado ao processo de votação eletrônica. > Vale ressaltar, que a concepção e a implementação do Sistema Eletrônico de Votação (SEV) da Câmara do Deputados (CD) que ocorreu em 1998, já contemplava a cifragem da qualidade do voto do eleitor, conforme exposto pelo Sr. Leirton no link já divulgado. > Os SEVs da CD o do Senado são incoparáveis quanto infra-estrutura e segurança aplicada ao sistema, principalmente qdo da ocorréncia do "caso do Senado". A Unicamp já esteve auditando o SEV da CD e ela própria, na época, ficou abismada com diferença entre os dois sistemas, posicionando o da CD com um sistema robusto e confiável. > Digo ainda, que a preocupação que os pares deste forum têm, o diretor da Cordenação do Sistema Eletrônico de Votação, Sr. Leirton Castro e sua equipe também o tem. Tanto, que os mesmos estão trabalhando para que o SEV da CD seja objeto de auditoria externa e periódica, visando a lisura de todo o processo, frente aos parlamentares e a sociedade brasileira. > As palavras acima, são posições pessoais minha e não reflete qualquer posição da CD. E me baseio no conhecimento que tenho da infra-estrutura do SEV daquela Casa e de seus profissionais que estão em constante preocupação com a segurança e tolerância a faltas dos sistema lá implantados. > []s, > Regivaldo Costa Muito obrigado por sua mensagem acima pois me dá oportunide de abordar um ponto sobre confiabilidade de sistema eleitorais eletrônicos de forma estritamente técnica e impessoal. Eu acompanhei a avaliação da UNICAMP sobre o SEV. Estava lá quando os sistemas foram copiados para análise pelo prof. Àlvaro Crosta. Confirmo que o SEV da Câmara era muito melhor, do ponto de vista da confiabilidade, do que o do Senado. Mas, de imediato, lembre que sobre confiabilidade de sistemas eleitorais, a sua história em eventos pretéritos não tem a melhor importância. A confiabilidade tem que ser analisada e estabelecida a cada eleição. Esta análise a seguir se refere a sistemas de votação secreta, não se aplicando a sistemas de votação aberta onde a questão da confiabilidade tem solução trivial. Em 2000, eu escrevi um artigo que foi aceito para o Simpósio de Segurança em Informática, SSI, que pode ser visto em: http://www.brunazo.eng.br/voto-e/textos/SSI2000.htm onde apresentei a tese de que o risco de fraude em sistemas eletrônicos de votação (secreta) cresce na medida da importância dos cargos em disputa e, por conseqüência disto, eleições de altos cargos e altos interesses, como é o caso da Câmara Federal, são eleições de alto risco de fraudes e deveriam ser tratadas, do ponto de vista de segurança, da mesma forma que se trata um sistema de alto risco de falhas, como uma usina nuclear por exemplo. Isto quer dizer, que devem ter sempre controles redundantes e ser submetidos a constante verificações e auditoria. Assim, se justifica o uso do voto impresso conferido pelo eleitor, a cada eleição, como forma de auditoria alternativa e redundante da apuração eletrônica. Não adianta usar o voto impresso numa eleição, fazer a recontagem, provar que o sistema funcionou direito e eliminar o voto impresso nas eleições seguintes. Estas poderão ser fraudadas. Outro conceito que apresentei, então, é que em sistemas de alto risco, como classifiquei o sistema eleitoral, a segurança deve ser essencialmente independente das pessoas, porque estas sempre podem falhar e, eventualmente, fraudar. Por isto, por favor entenda que a critica que apresento a seguir é estritamente impessoal. Se a confiabilidade do SEV depende da confiabilidade e da qualidade moral de seus desenvolvedores e administradores então, TECNICAMENTE FALANDO, O SEV É UM SISTEMA INSEGURO EM ESSÊNCIA. O requisito de auditabilidade do resultado em sistemas de votação secreta é fundamental e, pelo que eu entendi, o SEV não apresenta uma forma que permita se conferir ou auditar o resultado eletrônico. Entenda que todos os recursos digitais de segurança são insuficientes para dar garantia de que um sistema informatizado qualquer, NO MOMENTO DE FUNCIONAMENTO, esteja operando de forma 100% prevista e esperada. Por isto é necessário auditoria constante. E em informática não adianta analisar um sistema eleitoral informatizado nem antes nem depois, tem que avaliar na hora ou... auditar o resultado depois por uma via alternativa (o voto impresso conferido pelo eleitor). Você recitou a cartilha ao falar que o SEV foi projetado para estar em "conformidade com os pilares da segurança computacional (integridade, confidencialidade, auteticidade e não-repúdio)". Estes requisitos são exatamente os requisitos de sistemas de assinatura digital baseado em critografia assimétrica. Acontece que QUEM INVENTOU A ASSINATURA DIGITAL E ESTES REQUISITOS, O DR. RONALD RIVEST DO MIT, JÁ ESCREVEU DEZENAS DE ARTIGOS EXPLICANDO PORQUE ELES NÃO BASTAM PARA SISTEMAS ELEITORAIS DE ALTO RISCO. Veja, por exemplo, o artigo em: http://theory.lcs.mit.edu/%7Erivest/BruckJeffersonRivest-AModularVotingArchi tecture.doc onde ele argumenta porque é surpreendentemente muito mais difícil processar com segurança um só voto secreto do que transferir com segurança (integridade, confidencialidade, auteticidade e não-repúdio) um milhão de dolares por meios digitais. Veja, Regivaldo, como usar o jargão tecnológico pode ser apenas uma forma de esconder a verdadeira natureza do sistema. Apenas mais um espelhinho no salão para distrair a atenção dos fiéis do Santo Baite. O SEV da CD pode estar em conformidade com os pilares da segurança computacional (integridade, confidencialidade, auteticidade e não-repúdio) mas continua não oferendo uma forma de auditar o seu resultado...! Obs.: atualmente o prof. Rivest tem publicado estudos onde avança a proposta do prof. David Chaum, de sistemas eleitorais auditáveis pelo próprio eleitor, mas que sempre necessitam da materialização do voto. Assim, pretendo ter demonstrado que o SEV não merece ser tido como confiável pois não oferece alternativa externa ao sistema digital para conferir o seu resultado. E quem projetou um sistema assim, segundo um modelo que está sendo rejeitado em 100% do mundo acadêmico, por mais sério e honesto que seja, projetou um sistema sem confiabilidade. Lanço a seus conhecidos do corpo técnico da área de desenvolvimento da Câmara o mesmo desafio que lancei recentemente aos membros do corpo técnico do TSE. Escrevam para congressos de informática de alto nível explicando como conseguiram a façanha tecnológica de produzir um sistema eleitoral eletrônico que se auto-certifica estabelecendo a confiabilidade do resultado sem precisar de auditoria contábil por meios externos ao sistema. Todos gostariam muito de saber como eles conseguiram o que o resto do mundo acadêmico reputa impossível. [ ]s Eng. Amilcar Brunazo Filho - Santos, SP Conheça o livro FRAUDES e DEFESAS no Voto Eletrônico http://www.votoseguro.org/livros se quiser compreender a insegurança da urna eletrônica ______________________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________
