Prezado Amilcar,
Sim, a primeira opção se apresenta mais segura/confiável que a segunda. No
entanto, a logistica da segunda torna o procedimento mais rápido e não requer
equipamentos dedicados e com procedimentos adicionais, pode ficar tão segura e
transparente quanto a primeira.
O recebimento da contraprova é importante, pois contribui para que o próprio
eleitor fiscalize a contabilização de seu voto, principalmente em eleições de
larga escala, que não é o caso da CD.
O recibo de contraprova já foram apresentados por Rivest ("The Three Ballot Voting
System" ) e Chaum ("Secret Ballot Receipts True Voter Verifiable Elections") sem que
haja a possibilidade do eleitor provar a outrem que o seu voto foi X ou Y, mas permite que o mesmo
tenha um indício de que seu voto provalmente foi computado corretamente através da publicação de
contraprova pela entidade responsável pelo pleito eleitoral.
Técnicas de assinatura cega e criptografia, também proposto por Chaum ("Electronic
Mail, Return Address and Digital Pseudonymous"), foram adaptadas para o uso em SEVs
e permite que a qualidade do voto, associado a um pseudônimo não tenha co-relação.
O voto impresso e conferido pelo eleito nos moldes apresentado na segunda opção
é de suma importância, pois garante ao eleitor aferir a qualidade do voto, como
também, permite a recontagem para situações de contestação e um dos mais
simples de ser implementado e nunca entendir por que o TSE não foi a frente com
isso.
Conheço a equipe do SEV da CD e há um entendimento que melhorias devem e serão
efetuadas, como já reportado por mim em e-mail anterior e tudo é uma questão de
tempo.
Mas no meu ponto de vista, cabe aos parlamentares que não se sintam
confortáveis da excução do pleito eleitoral da mesa diretora através do SEV da
CD, faça sua contestação legal. Por outro lado, eles mesmo aprovaram isso em
plenário e portanto, entendo que, estão de acordo e acreditam no sistema, como
já vem ocorrendo desde a implementação do mesmo.
[]s,
Regivaldo Costa
Salve vidas, visite -> http://www.doesanguecuritiba.org
----- Mensagem original ----
De: Amilcar Brunazo Filho <[EMAIL PROTECTED]>
Para: [email protected]
Enviadas: Sexta-feira, 26 de Janeiro de 2007 9:22:19
Assunto: [VotoEletronico] Urna-E na Câmara Federal
Olá Regivaldo,
Estamos nos entendendo, então gostaria de levar um pouco mais adiante
esta discussão sobre a confiabilidade do CEV da Câmara Federal.
A melhor forma de dar confiabilidade ao sistema de voto secreto na
Câmara é criar um mecanismo que permita conferência ou auditoria
contábil da apuração eletrônica por meio externo ao processo digital.
Isto pode ser conseguido de duas formas:
1) voto escrito e escaneado pela máquina de votar
O deputado se identifica perante a mesa e recebe um cartão eletrônico
para liberar um voto na máquina de votar. Vai a cabina secreta, preenche
uma cédula (tipo loteria), insere o cartão de voto para liberar a
máquina e insere a cédula preenchida.
A máquina apresenta o voto na tela e o deputado confirma ou cancela.
Se confirmar o cartão e a cédula são retidos pela máquina para posterior
conferência obrigatória da apuração. O deputado não sai com nada nas mãos.
Se cancelar o cartão e a cédula são devolvidos ao deputado para que ele
possa votar mais tarde.
O resultado eletrônico é publicado imediatamente após o encerramento e
logo a seguir delegados dos partidos vão proceder a contagem dos votos
escritos para confirmar o resultado.
2) voto impresso pela urna e conferido pelo deputado
O deputado se identifica perante a mesa e recebe um cartão eletrônico
para liberar um voto na máquina de votar. Vai a cabina secreta, insere
cartão para liberar o voto, vota digitalmente no teclado virtual
(touch-screem) e o confirma ou cancela.
Se cancelar neste estágio, o processo reinicia e o deputado volta a votar.
Se confirmar, o voto é impresso e mostrado atrás de um visor
transparente. O deputado deve confirmar ou cancelar novamente.
Se confirmar, o cartão e o voto impresso são retidos pela máquina para
posterior conferência obrigatória da apuração. O deputado não sai com
nada nas mãos.
Se cancelar, o voto impresso é marcado como cancelado e é retido pela
máquina, o cartão de autorização é devolvido ao deputado para que ele
possa votar mais tarde.
O resultado eletrônico é publicado imediatamente após o encerramento e
logo a seguir delegados dos partidos vão proceder a contagem dos votos
impressos para confirmar o resultado.
Eu prefiro a primeira opção, que está se tornando a tendência mais
recomendada por estudiosos para sistemas eleitorais novos.
Repare que em ambos os sistemas, o deputado sai sem nada nas mãos depois
de votar. Esqueça a ideia de fornecer um recibo contendo o conteúdo do
voto ao eleitor. Se fornecer, abre-se brecha para a fraude da venda de
votos.
Peter G. Neumann, um pioneiro do voto eletrônico e defensor da
materiazação do voto, apresentou em 1993 um artigo na 16th National
Computer Security Conference Baltimore, que se tornou um
clássico e que pode ser lido em:
http://www.csl.sri.com/users/neumann/ncs93.html
Ele descreve quais devem ser os requisitos de qualidade e desempenho de
um sistema eleitoral eletrônico.
(como você pode ver, o tema era discutido no meio acadêmico, com
qualidade, bem antes do Brasil entrar nesta aventura)
Ele explica porque o segredo do voto funciona em duas direções: a) para
proteger o eleitor honesto de ter seu voto descobeto por terceiros; e b)
para impedir o eleitor desonesto de vender o seu voto.
Por isto, esqueça a entrega de recibo com o conteúdo do voto ao eleitor.
Isto agride os requisitos minímos de confiabilidade de sistemas eleitorais.
Neste artigo do Neumann, que merece ser relido, ele também falava que
sistema eleitorais devem ser tratados como de alto-risco, que deve haver
redundância nos controles, etc..
Sobre a identificação do eleitor, Neumann é bastante claro e rigoroso, o
sistema não deve ter, internamente nenhuma possibilidade de associar o
voto com a identificação do eleitor. Ele analisou o uso de assinatura
digital e hash criptográfico e explicou que estas técnicas não eram
suficientes para garantir o sigilo absoluto do voto.
Posteriorente, também o Ronald Rivest, inventor da assinatura digital
que utiliza o hash, confirmou que estas técnicas não conseguem dar
garantia de sigilo, pois podem ser burladas por fora.
Por isto, é duro ter que ainda ficar ouvindo o papo mistificador e
enganador dos técnicos do TSE e da Câmara, que os sistemas que
desenvolveram impedem a identificação do voto por meio destas técnicas
de criptografia, 14 anos depois da comunidade especializada ter
reconhecido que estas técnicas não resolvem o problema.
Assim, Regivaldo, se você tiver algum acesso a este grupo de técnicos da
Câmara, e se eles tiverem a seriedade e bons propósitos que você
reafirma, peço que leve a eles estas considerações que apresentei nestas
duas mensagens, junto com um convite para um debate aberto sobre como
fazer uma urna eletrônica moderna de verdade, no sentido que garanta o
sigilo do voto e ainda assim permita conferência da apuração.
Eles tem um oportunidade de ouro de desenvolver um sistema eletrônico de
votação deveras confiável que passará a servir de exemplo e modelo,
permitindo aos deputados e eleitores brasileiros perceberem o diferente
nivel de garantia que oferece quanto comparado com as urnas-e
desgarantidas do TSE.
[ ]s
Amilcar Brunazo Filho
Regivaldo Gomes Costa escreveu:
Prezado Amilcar,
Sua ponderações sem dúvida alguma são pertinentes e tem minha concordância.
No entanto, como posicionei, sem dúvida alguma grande parte da corretude do SEV depende sim "da confiabilidade e da qualidade
moral de seus desenvolvedores e administradores", associado a soma de outros fatores. A capacidade, o conhecimento e moral ética são fatos que levam o indivíduo a produzir produtos corretos e que representa os anseios da sociedade. Querer e fazer.
E claro, possibilidade de auditoria, o voto conferido pelo eleitor e
contraprova da contabilização correta do voto (soluções já expostas por
renomados cientista citados em seu texto, tal como R. Rivest, Chaum, etc), são
elementos indispensáveis para o lisura de todo pleito eleitoral, entre outros
fatores técnicos e administrativos.
Como citei, o corpo técnico da CD tem essa preocupações e até onde acompanhei,
o voto conferido pelo eleitor ia ser implementados nas urnas e já pensavam na
implementação da contraprova, que é um item de maior complexidade.
Quanto as auditorias períodicas e direcionadas a pleitos por parte deinstuições
externas já é um projeto em desenvolvimento e que exige adequação dos processos
associados ao SEV, inclusive administrativos.
Resumo, que na CD há um pessoal empenhado em efetuar melhorias que agregue
transparência e lisura nos procedimentos de votação pelo SEV,especialmente
quando o pleito é votação secreta.
Quanto ao desafio, não se faz necessário... é de notório saber entre os conhecedores da
área que "produzir um sistema eleitoral eletrônico que se auto-certifica
estabelecendo a confiabilidade do resultado sem precisar de auditoria contábil por meios
externos ao sistema" é um desafio e deverá ser por um bom tempo. Não sei se
chegaremos lá!
Eu considero que o importante e a concientização dos dirigentes de que é
necessário melhorar. No mais, tudo pode ser uma questão de tempo, porém a
sociedade tem que participar cobrando.
Obrigado.
[]s,
Regivaldo Costa
Salve vidas, visite -> http://www.doesanguecuritiba.org
----- Mensagem original ----
De: Amilcar Brunazo Filho <[EMAIL PROTECTED]>
Para: [email protected]
Cc: Pedro Antonio Dourado de Rezende <[EMAIL PROTECTED]>
Enviadas: Quinta-feira, 25 de Janeiro de 2007 20:58:19
Assunto: [VotoEletronico] Urna-E na Câmara Federal
Caro Regivaldo,
Regivaldo Gomes Costa escreveu:
Srs.,
Não é o mérito, mas vale a pena comentar: até onde conheço, o corpo técnico da
área de desenvolvimento da Câmara e composto de profissionais de grande
experiência na área e têm como premissa o desenvolvimento de produtos
tolerantes a faltas e que estejam em conformidade com os pilares da segurança
computacional (integridade, confidencialidade, auteticidade e não-repúdio)
associado ao processo de votação eletrônica.
Vale ressaltar, que a concepção e a implementação do Sistema Eletrônico de
Votação (SEV) da Câmara do Deputados (CD) que ocorreu em 1998, já contemplava a
cifragem da qualidade do voto do eleitor, conforme exposto pelo Sr. Leirton no
link já divulgado.
Os SEVs da CD o do Senado são incoparáveis quanto infra-estrutura e segurança aplicada ao
sistema, principalmente qdo da ocorréncia do "caso do Senado". A Unicamp já
esteve auditando o SEV da CD e ela própria, na época, ficou abismada com diferença entre
os dois sistemas, posicionando o da CD com um sistema robusto e confiável.
Digo ainda, que a preocupação que os pares deste forum têm, o diretor da
Cordenação do Sistema Eletrônico de Votação, Sr. Leirton Castro e sua equipe
também o tem. Tanto, que os mesmos estão trabalhando para que o SEV da CD seja
objeto de auditoria externa e periódica, visando a lisura de todo o processo,
frente aos parlamentares e a sociedade brasileira.
As palavras acima, são posições pessoais minha e não reflete qualquer posição
da CD. E me baseio no conhecimento que tenho da infra-estrutura do SEV daquela
Casa e de seus profissionais que estão em constante preocupação com a segurança
e tolerância a faltas dos sistema lá implantados.
[]s,
Regivaldo Costa
Muito obrigado por sua mensagem acima pois me dá oportunide de abordar
um ponto sobre confiabilidade de sistema eleitorais eletrônicos de forma
estritamente técnica e impessoal.
Eu acompanhei a avaliação da UNICAMP sobre o SEV. Estava lá quando os
sistemas foram copiados para análise pelo prof. Àlvaro Crosta. Confirmo
que o SEV da Câmara era muito melhor, do ponto de vista da
confiabilidade, do que o do Senado.
Mas, de imediato, lembre que sobre confiabilidade de sistemas
eleitorais, a sua história em eventos pretéritos não tem a melhor
importância. A confiabilidade tem que ser analisada e estabelecida a
cada eleição.
Esta análise a seguir se refere a sistemas de votação secreta, não se
aplicando a sistemas de votação aberta onde a questão da confiabilidade
tem solução trivial.
Em 2000, eu escrevi um artigo que foi aceito para o Simpósio de
Segurança em Informática, SSI, que pode ser visto em:
http://www.brunazo.eng.br/voto-e/textos/SSI2000.htm
onde apresentei a tese de que o risco de fraude em sistemas eletrônicos
de votação (secreta) cresce na medida da importância dos cargos em
disputa e, por conseqüência disto, eleições de altos cargos e altos
interesses, como é o caso da Câmara Federal, são eleições de alto risco
de fraudes e deveriam ser tratadas, do ponto de vista de segurança, da
mesma forma que se trata um sistema de alto risco de falhas, como uma
usina nuclear por exemplo.
Isto quer dizer, que devem ter sempre controles redundantes e ser
submetidos a constante verificações e auditoria.
Assim, se justifica o uso do voto impresso conferido pelo eleitor, a
cada eleição, como forma de auditoria alternativa e redundante da
apuração eletrônica. Não adianta usar o voto impresso numa eleição,
fazer a recontagem, provar que o sistema funcionou direito e eliminar o
voto impresso nas eleições seguintes. Estas poderão ser fraudadas.
Outro conceito que apresentei, então, é que em sistemas de alto risco,
como classifiquei o sistema eleitoral, a segurança deve ser
essencialmente independente das pessoas, porque estas sempre podem
falhar e, eventualmente, fraudar.
Por isto, por favor entenda que a critica que apresento a seguir é
estritamente impessoal.
Se a confiabilidade do SEV depende da confiabilidade e da qualidade
moral de seus desenvolvedores e administradores então, TECNICAMENTE
FALANDO, O SEV É UM SISTEMA INSEGURO EM ESSÊNCIA.
O requisito de auditabilidade do resultado em sistemas de votação
secreta é fundamental e, pelo que eu entendi, o SEV não apresenta uma
forma que permita se conferir ou auditar o resultado eletrônico.
Entenda que todos os recursos digitais de segurança são insuficientes
para dar garantia de que um sistema informatizado qualquer, NO MOMENTO
DE FUNCIONAMENTO, esteja operando de forma 100% prevista e esperada.
Por isto é necessário auditoria constante. E em informática nãoadianta
analisar um sistema eleitoral informatizado nem antes nem depois, tem
que avaliar na hora ou... auditar o resultado depois por uma via
alternativa (o voto impresso conferido pelo eleitor).
Você recitou a cartilha ao falar que o SEV foi projetado para estar em
"conformidade com os pilares da segurança computacional (integridade,
confidencialidade, auteticidade e não-repúdio)".
Estes requisitos são exatamente os requisitos de sistemas de assinatura
digital baseado em critografia assimétrica. Acontece que QUEM INVENTOU A
ASSINATURA DIGITAL E ESTES REQUISITOS, O DR. RONALD RIVEST DO MIT, JÁ
ESCREVEU DEZENAS DE ARTIGOS EXPLICANDO PORQUE ELES NÃO BASTAM PARA
SISTEMAS ELEITORAIS DE ALTO RISCO.
Veja, por exemplo, o artigo em:
http://theory.lcs.mit.edu/%7Erivest/BruckJeffersonRivest-AModularVotingArchitecture.doc
onde ele argumenta porque é surpreendentemente muito mais difícil
processar com segurança um só voto secreto do que transferir com
segurança (integridade, confidencialidade, auteticidade e não-repúdio)
um milhão de dolares por meios digitais.
Veja, Regivaldo, como usar o jargão tecnológico pode ser apenas uma
forma de esconder a verdadeira natureza do sistema. Apenas mais um
espelhinho no salão para distrair a atenção dos fiéis do Santo Baite.
O SEV da CD pode estar em conformidade com os pilares da segurança
computacional (integridade, confidencialidade, auteticidade e
não-repúdio) mas continua não oferendo uma forma de auditar o seu
resultado...!
Obs.: atualmente o prof. Rivest tem publicado estudos onde avança a
proposta do prof. David Chaum, de sistemas eleitorais auditáveis pelo
próprio eleitor, mas que sempre necessitam da materialização do voto.
Assim, pretendo ter demonstrado que o SEV não merece ser tido como
confiável pois não oferece alternativa externa ao sistema digital para
conferir o seu resultado.
E quem projetou um sistema assim, segundo um modelo que está sendo
rejeitado em 100% do mundo acadêmico, por mais sério e honesto que seja,
projetou um sistema sem confiabilidade.
Lanço a seus conhecidos do corpo técnico da área de desenvolvimento da
Câmara o mesmo desafio que lancei recentemente aos membros do corpo
técnico do TSE. Escrevam para congressos de informática de alto nível
explicando como conseguiram a façanha tecnológica de produzir um sistema
eleitoral eletrônico que se auto-certifica estabelecendo a
confiabilidade do resultado sem precisar de auditoria contábil por meios
externos ao sistema. Todos gostariam muito de saber como eles
conseguiram o que o resto do mundo acadêmico reputa impossível.
[ ]s
Eng. Amilcar Brunazo Filho - Santos, SP
Conheça o livro
FRAUDES e DEFESAS no Voto Eletrônico
http://www.votoseguro.org/livros
se quiser compreender a
insegurança da urna eletrônica
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
