Prezado Amilcar,
Sim, a primeira opção se apresenta mais segura/confiável que a segunda. No
entanto, a logistica da segunda torna o procedimento mais rápido e não requer
equipamentos dedicados e com procedimentos adicionais, pode ficar tão segura e
transparente quanto a primeira.
O recebimento da contraprova é importante, pois contribui para que o próprio
eleitor fiscalize a contabilização de seu voto, principalmente em eleições de
larga escala, que não é o caso da CD.
O recibo de contraprova já foram apresentados por Rivest ("The Three Ballot
Voting System" ) e Chaum ("Secret Ballot Receipts True Voter Verifiable
Elections") sem que haja a possibilidade do eleitor provar a outrem que o seu
voto foi X ou Y, mas permite que o mesmo tenha um indício de que seu voto
provalmente foi computado corretamente através da publicação de contraprova
pela entidade responsável pelo pleito eleitoral.
Técnicas de assinatura cega e criptografia, também proposto por Chaum
("Electronic Mail, Return Address and Digital Pseudonymous"), foram adaptadas
para o uso em SEVs e permite que a qualidade do voto, associado a um pseudônimo
não tenha co-relação.
O voto impresso e conferido pelo eleito nos moldes apresentado na segunda opção
é de suma importância, pois garante ao eleitor aferir a qualidade do voto, como
também, permite a recontagem para situações de contestação e um dos mais
simples de ser implementado e nunca entendir por que o TSE não foi a frente com
isso.
Conheço a equipe do SEV da CD e há um entendimento que melhorias devem e serão
efetuadas, como já reportado por mim em e-mail anterior e tudo é uma questão de
tempo.
Mas no meu ponto de vista, cabe aos parlamentares que não se sintam
confortáveis da excução do pleito eleitoral da mesa diretora através do SEV da
CD, faça sua contestação legal. Por outro lado, eles mesmo aprovaram isso em
plenário e portanto, entendo que, estão de acordo e acreditam no sistema, como
já vem ocorrendo desde a implementação do mesmo.
[]s,
Regivaldo Costa
Salve vidas, visite -> http://www.doesanguecuritiba.org
----- Mensagem original ----
De: Amilcar Brunazo Filho <[EMAIL PROTECTED]>
Para: [email protected]
Enviadas: Sexta-feira, 26 de Janeiro de 2007 9:22:19
Assunto: [VotoEletronico] Urna-E na Câmara Federal
Olá Regivaldo,
Estamos nos entendendo, então gostaria de levar um pouco mais adiante
esta discussão sobre a confiabilidade do CEV da Câmara Federal.
A melhor forma de dar confiabilidade ao sistema de voto secreto na
Câmara é criar um mecanismo que permita conferência ou auditoria
contábil da apuração eletrônica por meio externo ao processo digital.
Isto pode ser conseguido de duas formas:
1) voto escrito e escaneado pela máquina de votar
O deputado se identifica perante a mesa e recebe um cartão eletrônico
para liberar um voto na máquina de votar. Vai a cabina secreta, preenche
uma cédula (tipo loteria), insere o cartão de voto para liberar a
máquina e insere a cédula preenchida.
A máquina apresenta o voto na tela e o deputado confirma ou cancela.
Se confirmar o cartão e a cédula são retidos pela máquina para posterior
conferência obrigatória da apuração. O deputado não sai com nada nas mãos.
Se cancelar o cartão e a cédula são devolvidos ao deputado para que ele
possa votar mais tarde.
O resultado eletrônico é publicado imediatamente após o encerramento e
logo a seguir delegados dos partidos vão proceder a contagem dos votos
escritos para confirmar o resultado.
2) voto impresso pela urna e conferido pelo deputado
O deputado se identifica perante a mesa e recebe um cartão eletrônico
para liberar um voto na máquina de votar. Vai a cabina secreta, insere
cartão para liberar o voto, vota digitalmente no teclado virtual
(touch-screem) e o confirma ou cancela.
Se cancelar neste estágio, o processo reinicia e o deputado volta a votar.
Se confirmar, o voto é impresso e mostrado atrás de um visor
transparente. O deputado deve confirmar ou cancelar novamente.
Se confirmar, o cartão e o voto impresso são retidos pela máquina para
posterior conferência obrigatória da apuração. O deputado não sai com
nada nas mãos.
Se cancelar, o voto impresso é marcado como cancelado e é retido pela
máquina, o cartão de autorização é devolvido ao deputado para que ele
possa votar mais tarde.
O resultado eletrônico é publicado imediatamente após o encerramento e
logo a seguir delegados dos partidos vão proceder a contagem dos votos
impressos para confirmar o resultado.
Eu prefiro a primeira opção, que está se tornando a tendência mais
recomendada por estudiosos para sistemas eleitorais novos.
Repare que em ambos os sistemas, o deputado sai sem nada nas mãos depois
de votar. Esqueça a ideia de fornecer um recibo contendo o conteúdo do
voto ao eleitor. Se fornecer, abre-se brecha para a fraude da venda de
votos.
Peter G. Neumann, um pioneiro do voto eletrônico e defensor da
materiazação do voto, apresentou em 1993 um artigo na 16th National
Computer Security Conference Baltimore, que se tornou um
clássico e que pode ser lido em:
http://www.csl.sri.com/users/neumann/ncs93.html
Ele descreve quais devem ser os requisitos de qualidade e desempenho de
um sistema eleitoral eletrônico.
(como você pode ver, o tema era discutido no meio acadêmico, com
qualidade, bem antes do Brasil entrar nesta aventura)
Ele explica porque o segredo do voto funciona em duas direções: a) para
proteger o eleitor honesto de ter seu voto descobeto por terceiros; e b)
para impedir o eleitor desonesto de vender o seu voto.
Por isto, esqueça a entrega de recibo com o conteúdo do voto ao eleitor.
Isto agride os requisitos minímos de confiabilidade de sistemas eleitorais.
Neste artigo do Neumann, que merece ser relido, ele também falava que
sistema eleitorais devem ser tratados como de alto-risco, que deve haver
redundância nos controles, etc..
Sobre a identificação do eleitor, Neumann é bastante claro e rigoroso, o
sistema não deve ter, internamente nenhuma possibilidade de associar o
voto com a identificação do eleitor. Ele analisou o uso de assinatura
digital e hash criptográfico e explicou que estas técnicas não eram
suficientes para garantir o sigilo absoluto do voto.
Posteriorente, também o Ronald Rivest, inventor da assinatura digital
que utiliza o hash, confirmou que estas técnicas não conseguem dar
garantia de sigilo, pois podem ser burladas por fora.
Por isto, é duro ter que ainda ficar ouvindo o papo mistificador e
enganador dos técnicos do TSE e da Câmara, que os sistemas que
desenvolveram impedem a identificação do voto por meio destas técnicas
de criptografia, 14 anos depois da comunidade especializada ter
reconhecido que estas técnicas não resolvem o problema.
Assim, Regivaldo, se você tiver algum acesso a este grupo de técnicos da
Câmara, e se eles tiverem a seriedade e bons propósitos que você
reafirma, peço que leve a eles estas considerações que apresentei nestas
duas mensagens, junto com um convite para um debate aberto sobre como
fazer uma urna eletrônica moderna de verdade, no sentido que garanta o
sigilo do voto e ainda assim permita conferência da apuração.
Eles tem um oportunidade de ouro de desenvolver um sistema eletrônico de
votação deveras confiável que passará a servir de exemplo e modelo,
permitindo aos deputados e eleitores brasileiros perceberem o diferente
nivel de garantia que oferece quanto comparado com as urnas-e
desgarantidas do TSE.
[ ]s
Amilcar Brunazo Filho
Regivaldo Gomes Costa escreveu:
> Prezado Amilcar,
>
> Sua ponderações sem dúvida alguma são pertinentes e tem minha concordância.
>
> No entanto, como posicionei, sem dúvida alguma grande parte da corretude do
> SEV depende sim "da confiabilidade e da qualidade
> moral de seus desenvolvedores e administradores", associado a soma de outros
> fatores. A capacidade, o conhecimento e moral ética são fatos que levam o
> indivíduo a produzir produtos corretos e que representa os anseios da
> sociedade. Querer e fazer.
>
> E claro, possibilidade de auditoria, o voto conferido pelo eleitor e
> contraprova da contabilização correta do voto (soluções já expostas por
> renomados cientista citados em seu texto, tal como R. Rivest, Chaum, etc),
> são elementos indispensáveis para o lisura de todo pleito eleitoral, entre
> outros fatores técnicos e administrativos.
>
> Como citei, o corpo técnico da CD tem essa preocupações e até onde
> acompanhei, o voto conferido pelo eleitor ia ser implementados nas urnas e já
> pensavam na implementação da contraprova, que é um item de maior complexidade.
>
> Quanto as auditorias períodicas e direcionadas a pleitos por parte
> deinstuições externas já é um projeto em desenvolvimento e que exige
> adequação dos processos associados ao SEV, inclusive administrativos.
>
> Resumo, que na CD há um pessoal empenhado em efetuar melhorias que agregue
> transparência e lisura nos procedimentos de votação pelo SEV,especialmente
> quando o pleito é votação secreta.
>
> Quanto ao desafio, não se faz necessário... é de notório saber entre os
> conhecedores da área que "produzir um sistema eleitoral eletrônico que se
> auto-certifica estabelecendo a confiabilidade do resultado sem precisar de
> auditoria contábil por meios externos ao sistema" é um desafio e deverá ser
> por um bom tempo. Não sei se chegaremos lá!
>
> Eu considero que o importante e a concientização dos dirigentes de que é
> necessário melhorar. No mais, tudo pode ser uma questão de tempo, porém a
> sociedade tem que participar cobrando.
>
> Obrigado.
>
> []s,
>
> Regivaldo Costa
> Salve vidas, visite -> http://www.doesanguecuritiba.org
>
>
>
> ----- Mensagem original ----
> De: Amilcar Brunazo Filho <[EMAIL PROTECTED]>
> Para: [email protected]
> Cc: Pedro Antonio Dourado de Rezende <[EMAIL PROTECTED]>
> Enviadas: Quinta-feira, 25 de Janeiro de 2007 20:58:19
> Assunto: [VotoEletronico] Urna-E na Câmara Federal
>
>
> Caro Regivaldo,
>
> Regivaldo Gomes Costa escreveu:
>> Srs.,
>> Não é o mérito, mas vale a pena comentar: até onde conheço, o corpo técnico
>> da área de desenvolvimento da Câmara e composto de profissionais de grande
>> experiência na área e têm como premissa o desenvolvimento de produtos
>> tolerantes a faltas e que estejam em conformidade com os pilares da
>> segurança computacional (integridade, confidencialidade, auteticidade e
>> não-repúdio) associado ao processo de votação eletrônica.
>> Vale ressaltar, que a concepção e a implementação do Sistema Eletrônico de
>> Votação (SEV) da Câmara do Deputados (CD) que ocorreu em 1998, já
>> contemplava a cifragem da qualidade do voto do eleitor, conforme exposto
>> pelo Sr. Leirton no link já divulgado.
>> Os SEVs da CD o do Senado são incoparáveis quanto infra-estrutura e
>> segurança aplicada ao sistema, principalmente qdo da ocorréncia do "caso do
>> Senado". A Unicamp já esteve auditando o SEV da CD e ela própria, na época,
>> ficou abismada com diferença entre os dois sistemas, posicionando o da CD
>> com um sistema robusto e confiável.
>> Digo ainda, que a preocupação que os pares deste forum têm, o diretor da
>> Cordenação do Sistema Eletrônico de Votação, Sr. Leirton Castro e sua equipe
>> também o tem. Tanto, que os mesmos estão trabalhando para que o SEV da CD
>> seja objeto de auditoria externa e periódica, visando a lisura de todo o
>> processo, frente aos parlamentares e a sociedade brasileira.
>> As palavras acima, são posições pessoais minha e não reflete qualquer
>> posição da CD. E me baseio no conhecimento que tenho da infra-estrutura do
>> SEV daquela Casa e de seus profissionais que estão em constante preocupação
>> com a segurança e tolerância a faltas dos sistema lá implantados.
>> []s,
>> Regivaldo Costa
>
> Muito obrigado por sua mensagem acima pois me dá oportunide de abordar
> um ponto sobre confiabilidade de sistema eleitorais eletrônicos de forma
> estritamente técnica e impessoal.
>
> Eu acompanhei a avaliação da UNICAMP sobre o SEV. Estava lá quando os
> sistemas foram copiados para análise pelo prof. Àlvaro Crosta. Confirmo
> que o SEV da Câmara era muito melhor, do ponto de vista da
> confiabilidade, do que o do Senado.
>
> Mas, de imediato, lembre que sobre confiabilidade de sistemas
> eleitorais, a sua história em eventos pretéritos não tem a melhor
> importância. A confiabilidade tem que ser analisada e estabelecida a
> cada eleição.
>
> Esta análise a seguir se refere a sistemas de votação secreta, não se
> aplicando a sistemas de votação aberta onde a questão da confiabilidade
> tem solução trivial.
>
> Em 2000, eu escrevi um artigo que foi aceito para o Simpósio de
> Segurança em Informática, SSI, que pode ser visto em:
> http://www.brunazo.eng.br/voto-e/textos/SSI2000.htm
> onde apresentei a tese de que o risco de fraude em sistemas eletrônicos
> de votação (secreta) cresce na medida da importância dos cargos em
> disputa e, por conseqüência disto, eleições de altos cargos e altos
> interesses, como é o caso da Câmara Federal, são eleições de alto risco
> de fraudes e deveriam ser tratadas, do ponto de vista de segurança, da
> mesma forma que se trata um sistema de alto risco de falhas, como uma
> usina nuclear por exemplo.
>
> Isto quer dizer, que devem ter sempre controles redundantes e ser
> submetidos a constante verificações e auditoria.
>
> Assim, se justifica o uso do voto impresso conferido pelo eleitor, a
> cada eleição, como forma de auditoria alternativa e redundante da
> apuração eletrônica. Não adianta usar o voto impresso numa eleição,
> fazer a recontagem, provar que o sistema funcionou direito e eliminar o
> voto impresso nas eleições seguintes. Estas poderão ser fraudadas.
>
> Outro conceito que apresentei, então, é que em sistemas de alto risco,
> como classifiquei o sistema eleitoral, a segurança deve ser
> essencialmente independente das pessoas, porque estas sempre podem
> falhar e, eventualmente, fraudar.
>
> Por isto, por favor entenda que a critica que apresento a seguir é
> estritamente impessoal.
>
> Se a confiabilidade do SEV depende da confiabilidade e da qualidade
> moral de seus desenvolvedores e administradores então, TECNICAMENTE
> FALANDO, O SEV É UM SISTEMA INSEGURO EM ESSÊNCIA.
>
> O requisito de auditabilidade do resultado em sistemas de votação
> secreta é fundamental e, pelo que eu entendi, o SEV não apresenta uma
> forma que permita se conferir ou auditar o resultado eletrônico.
>
> Entenda que todos os recursos digitais de segurança são insuficientes
> para dar garantia de que um sistema informatizado qualquer, NO MOMENTO
> DE FUNCIONAMENTO, esteja operando de forma 100% prevista e esperada.
>
> Por isto é necessário auditoria constante. E em informática nãoadianta
> analisar um sistema eleitoral informatizado nem antes nem depois, tem
> que avaliar na hora ou... auditar o resultado depois por uma via
> alternativa (o voto impresso conferido pelo eleitor).
>
> Você recitou a cartilha ao falar que o SEV foi projetado para estar em
> "conformidade com os pilares da segurança computacional (integridade,
> confidencialidade, auteticidade e não-repúdio)".
>
> Estes requisitos são exatamente os requisitos de sistemas de assinatura
> digital baseado em critografia assimétrica. Acontece que QUEM INVENTOU A
> ASSINATURA DIGITAL E ESTES REQUISITOS, O DR. RONALD RIVEST DO MIT, JÁ
> ESCREVEU DEZENAS DE ARTIGOS EXPLICANDO PORQUE ELES NÃO BASTAM PARA
> SISTEMAS ELEITORAIS DE ALTO RISCO.
>
> Veja, por exemplo, o artigo em:
> http://theory.lcs.mit.edu/%7Erivest/BruckJeffersonRivest-AModularVotingArchitecture.doc
> onde ele argumenta porque é surpreendentemente muito mais difícil
> processar com segurança um só voto secreto do que transferir com
> segurança (integridade, confidencialidade, auteticidade e não-repúdio)
> um milhão de dolares por meios digitais.
>
> Veja, Regivaldo, como usar o jargão tecnológico pode ser apenas uma
> forma de esconder a verdadeira natureza do sistema. Apenas mais um
> espelhinho no salão para distrair a atenção dos fiéis do Santo Baite.
>
> O SEV da CD pode estar em conformidade com os pilares da segurança
> computacional (integridade, confidencialidade, auteticidade e
> não-repúdio) mas continua não oferendo uma forma de auditar o seu
> resultado...!
>
> Obs.: atualmente o prof. Rivest tem publicado estudos onde avança a
> proposta do prof. David Chaum, de sistemas eleitorais auditáveis pelo
> próprio eleitor, mas que sempre necessitam da materialização do voto.
>
> Assim, pretendo ter demonstrado que o SEV não merece ser tido como
> confiável pois não oferece alternativa externa ao sistema digital para
> conferir o seu resultado.
>
> E quem projetou um sistema assim, segundo um modelo que está sendo
> rejeitado em 100% do mundo acadêmico, por mais sério e honesto que seja,
> projetou um sistema sem confiabilidade.
>
> Lanço a seus conhecidos do corpo técnico da área de desenvolvimento da
> Câmara o mesmo desafio que lancei recentemente aos membros do corpo
> técnico do TSE. Escrevam para congressos de informática de alto nível
> explicando como conseguiram a façanha tecnológica de produzir um sistema
> eleitoral eletrônico que se auto-certifica estabelecendo a
> confiabilidade do resultado sem precisar de auditoria contábil por meios
> externos ao sistema. Todos gostariam muito de saber como eles
> conseguiram o que o resto do mundo acadêmico reputa impossível.
>
> [ ]s
> Eng. Amilcar Brunazo Filho - Santos, SP
>
> Conheça o livro
> FRAUDES e DEFESAS no Voto Eletrônico
> http://www.votoseguro.org/livros
> se quiser compreender a
> insegurança da urna eletrônica
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
