[VotoEletronico] Urna-E na Câmara Federal

[Amilcar Brunazo Filho]

Olá Regivaldo,

Estamos nos entendendo, então gostaria de levar um pouco mais adiante
esta discussão sobre a confiabilidade do CEV da Câmara Federal.
A melhor forma de dar confiabilidade ao sistema de voto secreto na
Câmara é criar um mecanismo que permita conferência ou auditoria
contábil da apuração eletrônica por meio externo ao processo digital.

Isto pode ser conseguido de duas formas:

1) voto escrito e escaneado pela máquina de votar

 O deputado se identifica perante a mesa e recebe um cartão eletrônico
para liberar um voto na máquina de votar. Vai a cabina secreta, preenche
uma cédula (tipo loteria), insere o cartão de voto para liberar a
máquina e insere a cédula preenchida.
A máquina apresenta o voto na tela e o deputado confirma ou cancela.
Se confirmar o cartão e a cédula são retidos pela máquina para posterior
conferência obrigatória da apuração. O deputado não sai com nada nas mãos.
Se cancelar o cartão e a cédula são devolvidos ao deputado para que ele
possa votar mais tarde.
O resultado eletrônico é publicado imediatamente após o encerramento e
logo a seguir delegados dos partidos vão proceder a contagem dos votos
escritos para confirmar o resultado.

2) voto impresso pela urna e conferido pelo deputado

 O deputado se identifica perante a mesa e recebe um cartão eletrônico
para liberar um voto na máquina de votar. Vai a cabina secreta, insere 
cartão para liberar o voto, vota digitalmente no teclado virtual 
(touch-screem) e o confirma ou cancela.
Se cancelar neste estágio, o processo reinicia e o deputado volta a votar.
Se confirmar, o voto é impresso e mostrado atrás de um visor
transparente. O deputado deve confirmar ou cancelar novamente.
Se confirmar, o cartão e o voto impresso são retidos pela máquina para
posterior conferência obrigatória da apuração. O deputado não sai com
nada nas mãos.
Se cancelar, o voto impresso é marcado como cancelado e é retido pela
máquina, o cartão de autorização é devolvido ao deputado para que ele
possa votar mais tarde.
O resultado eletrônico é publicado imediatamente após o encerramento e
logo a seguir delegados dos partidos vão proceder a contagem dos votos
impressos para confirmar o resultado.

Eu prefiro a primeira opção, que está se tornando a tendência mais
recomendada por estudiosos para sistemas eleitorais novos.

Repare que em ambos os sistemas, o deputado sai sem nada nas mãos depois
de votar. Esqueça a ideia de fornecer um recibo contendo o conteúdo do
voto ao eleitor. Se fornecer, abre-se brecha para a fraude da venda de
votos.

Peter G. Neumann, um pioneiro do voto eletrônico e defensor da
materiazação do voto, apresentou em 1993 um artigo na 16th National 
Computer Security Conference Baltimore, que se tornou um
clássico e que pode ser lido em:
 http://www.csl.sri.com/users/neumann/ncs93.html

Ele descreve quais devem ser os requisitos de qualidade e desempenho de
um sistema eleitoral eletrônico.
(como você pode ver, o tema era discutido no meio acadêmico, com
qualidade, bem antes do Brasil entrar nesta aventura)

Ele explica porque o segredo do voto funciona em duas direções: a) para
proteger o eleitor honesto de ter seu voto descobeto por terceiros; e b)
para impedir o eleitor desonesto de vender o seu voto.

Por isto, esqueça a entrega de recibo com o conteúdo do voto ao eleitor.
Isto agride os requisitos minímos de confiabilidade de sistemas eleitorais.

Neste artigo do Neumann, que merece ser relido, ele também falava que
sistema eleitorais devem ser tratados como de alto-risco, que deve haver
redundância nos controles, etc..

Sobre a identificação do eleitor, Neumann é bastante claro e rigoroso, o 
sistema não deve ter, internamente nenhuma possibilidade de associar o 
voto com a identificação do eleitor. Ele analisou o uso de assinatura 
digital e hash criptográfico e explicou que estas técnicas não eram 
suficientes para garantir o sigilo absoluto do voto.

Posteriorente, também o Ronald Rivest, inventor da assinatura digital 
que utiliza o hash, confirmou que estas técnicas não conseguem dar 
garantia de sigilo, pois podem ser burladas por fora.

Por isto, é duro ter que ainda ficar ouvindo o papo mistificador e 
enganador dos técnicos do TSE e da Câmara, que os sistemas que 
desenvolveram impedem a identificação do voto por meio destas técnicas 
de criptografia, 14 anos depois da comunidade especializada ter 
reconhecido que estas técnicas não resolvem o problema.

Assim, Regivaldo, se você tiver algum acesso a este grupo de técnicos da 
Câmara, e se eles tiverem a seriedade e bons propósitos que você 
reafirma, peço que leve a eles estas considerações que apresentei nestas 
duas mensagens, junto com um convite para um debate aberto sobre como 
fazer uma urna eletrônica moderna de verdade, no sentido que garanta o 
sigilo do voto e ainda assim permita conferência da apuração.

Eles tem um oportunidade de ouro de desenvolver um sistema eletrônico de 
votação deveras confiável que passará a servir de exemplo e modelo, 
permitindo aos deputados e eleitores brasileiros perceberem o diferente 
nivel de garantia que oferece quanto comparado com as urnas-e 
desgarantidas do TSE.

[ ]s
 Amilcar Brunazo Filho


Regivaldo Gomes Costa escreveu:
Prezado Amilcar,

Sua ponderações sem dúvida alguma são pertinentes e tem minha concordância.

No entanto, como posicionei, sem dúvida alguma grande parte da corretude do SEV depende sim "da confiabilidade e da qualidade 
moral de seus desenvolvedores e administradores", associado a soma de outros fatores. A capacidade, o conhecimento e moral ética são fatos que levam o indivíduo a produzir produtos corretos e que representa os anseios da sociedade. Querer e fazer. 

E claro, possibilidade de auditoria, o voto conferido pelo eleitor e 
contraprova da contabilização correta do voto (soluções já expostas por 
renomados cientista citados em seu texto, tal como R. Rivest, Chaum, etc), são 
elementos indispensáveis para o lisura de todo pleito eleitoral, entre outros 
fatores técnicos e administrativos.

Como citei, o corpo técnico da CD tem essa preocupações e até onde acompanhei, 
o voto conferido pelo eleitor ia ser implementados nas urnas e já pensavam na 
implementação da contraprova, que é um item de maior complexidade.

Quanto as auditorias períodicas e direcionadas a pleitos por parte deinstuições 
externas já é um projeto em desenvolvimento e que exige adequação dos processos 
associados ao SEV, inclusive administrativos.

Resumo, que na CD há um pessoal empenhado em efetuar melhorias que agregue 
transparência e lisura nos procedimentos de votação pelo SEV,especialmente 
quando o pleito é votação secreta.

Quanto ao desafio, não se faz necessário... é de notório saber entre os conhecedores da 
área que "produzir um sistema eleitoral eletrônico que se auto-certifica 
estabelecendo a confiabilidade do resultado sem precisar de auditoria contábil por meios 
externos ao sistema" é um desafio e deverá ser por um bom tempo. Não sei se 
chegaremos lá!

Eu considero que o importante e a concientização dos dirigentes de que é 
necessário melhorar. No mais, tudo pode ser uma questão de tempo, porém a 
sociedade tem que participar cobrando.

Obrigado.

[]s,
 
Regivaldo Costa
Salve vidas, visite -> http://www.doesanguecuritiba.org



----- Mensagem original ----
De: Amilcar Brunazo Filho <[EMAIL PROTECTED]>
Para: voto-eletronico@encoder1.iron.com.br
Cc: Pedro Antonio Dourado de Rezende <[EMAIL PROTECTED]>
Enviadas: Quinta-feira, 25 de Janeiro de 2007 20:58:19
Assunto: [VotoEletronico] Urna-E na Câmara Federal


Caro Regivaldo,

Regivaldo Gomes Costa escreveu:
Srs.,
Não é o mérito, mas vale a pena comentar: até onde conheço, o corpo técnico da 
área de desenvolvimento da Câmara e composto de profissionais de grande 
experiência na área e têm como premissa o desenvolvimento de produtos 
tolerantes a faltas e que estejam em conformidade com os pilares da segurança 
computacional (integridade, confidencialidade, auteticidade e não-repúdio) 
associado ao processo de votação eletrônica.
Vale ressaltar, que a concepção e a implementação do Sistema Eletrônico de 
Votação (SEV) da Câmara do Deputados (CD) que ocorreu em 1998, já contemplava a 
cifragem da qualidade do voto do eleitor, conforme exposto pelo Sr. Leirton no 
link já divulgado.
Os SEVs da CD o do Senado são incoparáveis quanto infra-estrutura e segurança aplicada ao 
sistema, principalmente qdo da ocorréncia do "caso do Senado". A Unicamp já 
esteve auditando o SEV da CD e ela própria, na época, ficou abismada com diferença entre 
os dois sistemas, posicionando o da CD com um sistema robusto e confiável.
Digo ainda, que a preocupação que os pares deste forum têm, o diretor da 
Cordenação do Sistema Eletrônico de Votação, Sr. Leirton Castro e sua equipe 
também o tem. Tanto, que os mesmos estão trabalhando para que o SEV da CD seja 
objeto de auditoria externa e periódica, visando a lisura de todo o processo, 
frente aos parlamentares e a sociedade brasileira.
As palavras acima, são posições pessoais minha e não reflete qualquer posição 
da CD. E me baseio no conhecimento que tenho da infra-estrutura do SEV daquela 
Casa e de seus profissionais que estão em constante preocupação com a segurança 
e tolerância a faltas dos sistema lá implantados.
[]s,
Regivaldo Costa

Muito obrigado por sua mensagem acima pois me dá oportunide de abordar 
um ponto sobre confiabilidade de sistema eleitorais eletrônicos de forma 
estritamente técnica e impessoal.

Eu acompanhei a avaliação da UNICAMP sobre o SEV. Estava lá quando os 
sistemas foram copiados para análise pelo prof. Àlvaro Crosta. Confirmo 
que o SEV da Câmara era muito melhor, do ponto de vista da 
confiabilidade, do que o do Senado.

Mas, de imediato, lembre que sobre confiabilidade de sistemas 
eleitorais, a sua história em eventos pretéritos não tem a melhor 
importância. A confiabilidade tem que ser analisada e estabelecida a 
cada eleição.

Esta análise a seguir se refere a sistemas de votação secreta, não se 
aplicando a sistemas de votação aberta onde a questão da confiabilidade 
tem solução trivial.

Em 2000, eu escrevi um artigo que foi aceito para o Simpósio de 
Segurança em Informática, SSI, que pode ser visto em:
   http://www.brunazo.eng.br/voto-e/textos/SSI2000.htm
onde apresentei a tese de que o risco de fraude em sistemas eletrônicos 
de votação (secreta) cresce na medida da importância dos cargos em 
disputa e, por conseqüência disto, eleições de altos cargos e altos 
interesses, como é o caso da Câmara Federal, são eleições de alto risco 
de fraudes e deveriam ser tratadas, do ponto de vista de segurança, da 
mesma forma que se trata um sistema de alto risco de falhas, como uma 
usina nuclear por exemplo.

Isto quer dizer, que devem ter sempre controles redundantes e ser 
submetidos a constante verificações e auditoria.

Assim, se justifica o uso do voto impresso conferido pelo eleitor, a 
cada eleição, como forma de auditoria alternativa e redundante da 
apuração eletrônica. Não adianta usar o voto impresso numa eleição, 
fazer a recontagem, provar que o sistema funcionou direito e eliminar o 
voto impresso nas eleições seguintes. Estas poderão ser fraudadas.

Outro conceito que apresentei, então, é que em sistemas de alto risco, 
como classifiquei o sistema eleitoral, a segurança deve ser 
essencialmente independente das pessoas, porque estas sempre podem 
falhar e, eventualmente, fraudar.

Por isto, por favor entenda que a critica que apresento a seguir é 
estritamente impessoal.

Se a confiabilidade do SEV depende da confiabilidade e da qualidade 
moral de seus desenvolvedores e administradores então, TECNICAMENTE 
FALANDO, O SEV É UM SISTEMA INSEGURO EM ESSÊNCIA.

O requisito de auditabilidade do resultado em sistemas de votação 
secreta é fundamental e, pelo que eu entendi, o SEV não apresenta uma 
forma que permita se conferir ou auditar o resultado eletrônico.

Entenda que todos os recursos digitais de segurança são insuficientes 
para dar garantia de que um sistema informatizado qualquer, NO MOMENTO 
DE FUNCIONAMENTO, esteja operando de forma 100% prevista e esperada.

Por isto é necessário auditoria constante. E em informática nãoadianta 
analisar um sistema eleitoral informatizado nem antes nem depois, tem 
que avaliar na hora ou... auditar o resultado depois por uma via 
alternativa (o voto impresso conferido pelo eleitor).

Você recitou a cartilha ao falar que o SEV foi projetado para estar em 
"conformidade com os pilares da segurança computacional (integridade, 
confidencialidade, auteticidade e não-repúdio)".

Estes requisitos são exatamente os requisitos de sistemas de assinatura 
digital baseado em critografia assimétrica. Acontece que QUEM INVENTOU A 
ASSINATURA DIGITAL E ESTES REQUISITOS, O DR. RONALD RIVEST DO MIT, JÁ 
ESCREVEU DEZENAS DE ARTIGOS EXPLICANDO PORQUE ELES NÃO BASTAM PARA 
SISTEMAS ELEITORAIS DE ALTO RISCO.

Veja, por exemplo, o artigo em:
http://theory.lcs.mit.edu/%7Erivest/BruckJeffersonRivest-AModularVotingArchitecture.doc
onde ele argumenta porque é surpreendentemente muito mais difícil 
processar com segurança um só voto secreto do que transferir com 
segurança (integridade, confidencialidade, auteticidade e não-repúdio) 
um milhão de dolares por meios digitais.

Veja, Regivaldo, como usar o jargão tecnológico pode ser apenas uma 
forma de esconder a verdadeira natureza do sistema. Apenas mais um 
espelhinho no salão para distrair a atenção dos fiéis do Santo Baite.

O SEV  da CD pode estar em conformidade com os pilares da segurança 
computacional (integridade, confidencialidade, auteticidade e 
não-repúdio) mas continua não oferendo uma forma de auditar o seu 
resultado...!

Obs.: atualmente o prof. Rivest tem publicado estudos onde avança a 
proposta do prof. David Chaum, de sistemas eleitorais auditáveis pelo 
próprio eleitor, mas que sempre necessitam da materialização do voto.

Assim, pretendo ter demonstrado que o SEV não merece ser tido como 
confiável pois não oferece alternativa externa ao sistema digital para 
conferir o seu resultado.

E quem projetou um sistema assim, segundo um modelo que está sendo 
rejeitado em 100% do mundo acadêmico, por mais sério e honesto que seja, 
projetou um sistema sem confiabilidade.

Lanço a seus conhecidos do corpo técnico da área de desenvolvimento da 
Câmara o mesmo desafio que lancei recentemente aos membros do corpo 
técnico do TSE. Escrevam para congressos de informática de alto nível 
explicando como conseguiram a façanha tecnológica de produzir um sistema 
eleitoral eletrônico que se auto-certifica estabelecendo a 
confiabilidade do resultado sem precisar de auditoria contábil por meios 
externos ao sistema. Todos gostariam muito de saber como eles 
conseguiram o que o resto do mundo acadêmico reputa impossível.

[ ]s
   Eng. Amilcar Brunazo Filho - Santos, SP

             Conheça o livro
    FRAUDES e DEFESAS no Voto Eletrônico
      http://www.votoseguro.org/livros
          se quiser compreender a
      insegurança da urna eletrônica


______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E

O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
       http://www.votoseguro.org
__________________________________________________