=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Voto Eletrônico Amplia Chances de
Fraude.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Entrevista Completa à repórter Silvana de
Freitas, da Folha de São Paulo concedida pelo Prof. Pedro Antonio Dourado de
Rezende do Depto de Ciência da Computação da UNB
Silvana de Freitas
Trechos desta entrevista foram publicados
da Folha de São Paulo de 20 de Maio de 2002.
1) Silvana de Freitas: O sistema da urna
eletrônica foi criado para afastar o risco de fraude. Por que, seis anos após a
sua estréia, o eleitor deve ficar alerta quanto à falta de segurança?
Pedro Rezende: Para acabar com algumas
fraudes em papel, a tecnologia digital cobra um preço. Este preço é o risco de
novas formas de fraude, antes impensáveis. Quem pensaria, por exemplo, em uma
fraude onde escrutinadores tentam convencer juizes eleitorais e fiscais de
partidos de que, naquela eleição, dois e dois para este candidato somam cinco, e
para aquele somam três?
Ninguém seria tão ingênuo de tentá-la,
pois o escrutínio em papel é público. Porém, com a urna eletrônica do TSE o
escrutínio é privado. Os votos só saem da urna já somados, tabulados e
codificados por programas de computador que só quem fez conhece de verdade. Na
eleição de 2000, por exemplo, depois daquilo que o TSE chamou de auditoria dos
partidos no software da urna pelos partidos, ocorrida em agosto, alguns deles
foram alterados em setembro, conforme admitiram técnicos do próprio TSE. Estamos
sendo convidados a acreditar na palavra de quem responde por estes softwares, de
que a aritmética do processo eleitoral é a mesma que conhecemos. Nas palavras de
Evandro Oliveira, especialista eleitoral cadastrado na ONU, convidados a
acreditar em quem diz "la segurança soy yo"
Ed Gerk compara esta situação à do
carneiro que vai beber água, e, ao se aproximar, vê um leão lá sentado. Quando
vê o carneiro, o leão o convida para beber, dizendo "pode vir, eu não estou com
fome". Pode ser. Mas esse tipo de convite é do mesmo tipo que o convite cívico
para participarmos no equilíbrio de atenções, interesses e cultura elementar dos
escrutinadores e fiscais, numa junta apuradora com voto em papel. A apuração
manual é demorada porque a queremos confiável. Numa junta apuradora atual, os
fiscais só vêem disquestes entrando em gretas e luzinhas piscando. A velocidade
do computador tende a tornar o processo opaco, rompendo o equilíbrio visado pelo
convite cívico no espírito da lei eleitoral. Por que o TSE não permite que os
fiscais examininem os softwares nas urnas por amostragem, ao invés daquele
pisca-pisca? As respostas até hoje dadas não fazem sentido para eleitores que se
sentem como carneiros diante do bafo do leão, dono do software inauditável na
urna.
Se este dono quiser abusar de sua posição
privilegiada para trafegar influência por atacado, poderíamos desconfiar de uma
eventual discrepância entre pesquisas e resultados eleitorais, mas nunca provar
que houve fraude, a ponto e a tempo de impedir seu efeito. Isso é muito
diferente dos erros intencionais de varejo na totalização em papel, impostos no
grito em juntas apuradoras nos antigos currais eleitorais. O curral eleitoral
agora é cercado pelo software.
Segurança é uma busca por equilíbrio, pois
uma proteção contra um risco traz outros. É controle de riscos. Controle de
proteção contra os inaceitáveis e de convivência com os toleráveis. Com a
informatização do sistema eleitoral, precisamos redesenhar coletivamente a linha
divisória da tolerância a riscos, para buscar um novo equilíbrio. O eleitor deve
ficar alerta porque a dificuldade está em se avaliar esse equilíbrio, com riscos
novos e tão pouco conhecidos.
2) SF: É possível elencar os principais
pontos frágeis do nosso sistema do voto eletrônico?
PR: Nas várias formas de se conceber e
implantar sistemas de votação eletrônica, os pontos frágeis serão sempre os
riscos decorrentes de desequilíbrios entre transparências e opacidades, julgados
necessários por distintos pontos de vista. Para o eleitor, não interessa
discutir se o dono do software eleitoral é ou não é honesto. Interessa saber de
que forma ele, eleitor, pode se certificar da resposta. Os principais pontos
frágeis estarão onde esta certificação é obscurecida, negada ou inviabilizada.
O nosso sistema é propenso ao
desequilíbrio porque, em seu desenho, prevalece sempre a opinião do dono da
urna. Um dono que, infelizmente, tem agido de forma que nos deixa a impressão de
estar considerando a segurança da sua imagem mais importante do que a verdade
eleitoral. Para ele, criticam o sistema porque não o conhecem. Trata-se de
julgamento precipitado. Criticam porque não lhes é dado conhecer.
Não lhes é dado conhecer o porquê dos
votos totalizados não serem tabulados por seção eleitoral, mas apenas por
região. Se a tecnologia é usada para facilitar a votação e acelerar a apuração,
por que não perimitir o mesmo para a fiscalização, onde nasce a segurança da
verdade eleitoral? Como por exemplo, permitir o cruzamento da versão impressa do
boletim de urna com a versão que é transportada em disquete para a junta de
apuração, através do parcelamento dos mapas de apuração por seção eleitoral, ao
invés de depender totalmente de um software de criptografia que ninguém pode
inspecionar? Como saber se a intenção nesta escolha é a dificultar a
fiscalização? Aceitar requisitos de transparência, exigidos na lei eleitoral de
1997, não é sucumbir à devassidão ou ao jogo político, nem é admitir tentações
ou intenções íntimas escusas. É aceitar a necessidade do equilíbrio entre riscos
e responsabilidades na missão da justiça eleitoral, equilíbrio que constitui a
segurança da verdade eleitoral.
Porém, mais grave que as fragilidades
técnicas parece ser a posição do poder legislativo. Por algum acidente
histórico, as leis eleitorais em vigor resultam fantasiosas em sua severidade e
contexto, prejudicando sua eficácia. Candidatos fingem obedece-las, sabendo que
podem se ver alvos do seu rigor, caso fujam do comportamento esperado. É como se
os legisladores se sentissem reféns ou dependentes dela, hora impotentes para
mudá-la, hora atraídos para tirar proveito disso.
Se alguém propusesse ao congresso uma urna
eleitoral feita de uma novo tipo de tecido, uma urna que impedisse as fraudes no
papel mas que, uma vez derramadas as cédulas sobre a mesa de apuração, não fosse
permitido a ninguém examinar o fundo da urna, esta proposta seria aceita? Por
que então é aceita ingenua e docilmente, quando o tecido é feito de bits? Não é
preciso ser jurista para saber que um sistema de escrutínio inescrutável é um
contra-senso. Ocorre aqui uma hábil exploração do fascínio contemporâneo com a
tecnologia, vista como panacéia para os males humanos. Como dizia meu avô em sua
sabedoria mineira, "quem morre por gosto, o diabo faz o enterro".
3) SF: Quais são, no aspecto operacional,
as fraudes possíveis?
PR: Algumas fraudes antigas não foram
eliminadas pela desmaterialização dos votos. Como a dos eleitores fantasmas, na
qual o mesário libera o voto de vários títulos eleitorais numa mesma visita de
seu comparsa à cabine. Ironicamente a tecnologia mais primitiva, o carimbo com
tinta indelével na mão limpa que recebe a cédula de papel, ainda é a salvaguarda
mais eficaz contra este tipo de fraude. Dentre as novas fraudes, as principais
são as várias formas de embuste através do software instalado na urna, ou do uso
indevido de urnas. Nesta última, o boletim enviado ao tribunal em disquete pode
ser, por exemplo, gerado numa urna clonada, uma urna reserva que funcionou
escondida na mão do mesário, como um videogame, no lugar do boletim gerado na
seção eleitoral. Para uma eleição presidencial, por exemplo, que partido
conseguiria conferir manualmente, em quarenta e oito horas, quatrocentos mil
boletins de urna impressos nas seções, para conferir o resultado com os mapas de
totalização dos tribunais? Muitas vezes umcópia impressa do boletim de urna nem
mesmo é entregue aos fiscais de partido, bastando que uns poucos não sejam
entregues no prazo para inviabilizar a possibilidade de verificação da
totalização independente do TSE. E mesmo que todos os boletins de urna sejam
entregues e tal conferência manual consiga ser feita no prazo, que juiz
eleitoral acataria o argumento de que o erro está no software de totalização, e
não na apressada conferência manual, quando os juízes têm invariavelmente
denegado pedidos de impugnação com o argumento de que a urna não erra?
Entretanto, as fraudes mais perigosas são
as que podem ser montadas dentro da urna, pela insersão de lógica embusteira em
qualquer um dos seus sofwares. Se o embuste for inserido no software antes de
ser entregue pelo TSE aos tribunais regionais, o alcance da fraude pode ser
nacional. Se for inserido num tribunal regional, antes da replicação nos
dispositivos de armazenamento inseridos na urna na semana anterior à votação, os
chamados flashcards, a fraude será regional. Este tipo de embuste pode ser
feito, por exemplo, inserindo-se uma clásula condicional no trecho do programa
que registra a contagem dos votos. Numa eleição majoritária em segundo turno,
por exemplo, este condicional somaria um voto ao total de um candidato sempre
que este total atinja um determinado múltiplo, subtraindo-o do outro candidato.
Um voto desviado a cada quarenta, por exemplo, distorceria o resultado em cinco
por cento, como se o voto de um candidato fosse contado como 1,2 votos, e para o
outro candidato como 0,8. Uma tal inserção ocuparia apenas cerca de tres linhas
do programa.
Este exato exemplo foi inserido no
software da Proconsult, usado na totalização da eleição de governador no Rio de
Janeiro, em 1982. A fraude da Proconsult, apelidada então de "diferencial
delta", só foi descoberta porque um jornalista resolver fazer apuração paralela,
a partir dos boletins de urna divulgados nas sessões, ainda manualmente
preenchidos. Só que, agora, a urna não permite recontagem e o boletim com os
totais da urna pode ser emitido, quer na forma eletrônica, quer nas formas
eletrônica e impressa, já com fraude. Fraude que não estaria evidente na
totalização, pois os totais de uma urna nas versões eletrônicas dos boletim não
são tabulados nas juntas de apuração, mas apenas somados. Perguntado sobre a
possibilidade deste tipo de fraude, um técnico do TSE disse em uma palestra que
ela não seria possível, pois quem faz o software da urna não saberia de antemão
os números dos candidatos. Acontece que esses números sempre começam com o
número do partido, que nunca mudou desde o início da informatização das
eleições, e os candidatos em eleições majoritárias tem recebido sempre este
mesmo número. Alguém adivinha qual será o número do Lula na próxima eleição? La
segurança soy yo!
4) SF: Que medidas seriam necessárias nestas eleições para minimizar ou sepultar os riscos de fraude? PR: Por ser um processo que visa equilibriar riscos, a segurança só pode
ser 100% para quem já está morto. O que se pode fazer para minimizar os riscos
de fraude com a urna eletrônica é buscar garantias relativas de transparência e
integridade dos softwares, que dificultem o risco de fraudes de origem interna e
externa de forma equilibrada. Este equilíbrio é atingido quando o potencial
fraudador de um lado é o fiscal ideal do outro lado. Porém, só as fraudes de
origem externa parecem ocupar a tela do radar do TSE, apesar do acesso aos
botões de uma urna não dar acesso para alteração no seu software. A urna não é
programável pelo teclado. Só quem pode alterar software é quem tem acesso a eles
através de flashcards ou disquetes, acesso esse controlado pelos tribunais
eleitorais. Assim, como é que um hacker na internet vai invadir e contaminar a
urna, se a urna nunca é conectada à internet? Não sabemos. Mas, por um despacho
de Ministro do TSE, sabemos que os fiscais não podem ver o código fonte de
certos programas da urna pela razão de que "quanto menos pessoas conhecerem o
software, menor o risco de vulneração do sistema". Ao dizer isso, o ministro
infere que só os riscos externos são relevantes, uma falácia muito perigosa.
Para obter garantias da verdade eleitoral o eleitor precisaria saber que os
programas que entram na urna ou totalizam votos são idênticos aos que foram
examinados pelos seus representantes. Pela lei esses seriam os fiscais de
partido, incumbidos de verificar se a lógica desses programas pode ou não
subverter a aritmética que conhecemos. Para isso, os fiscais precisam das duas
coisas que constituem uma auditoria decente de software. Precisam examinar esses
programas na forma em que são escritos pelos programadores, isto é, em código
fonte, antes que sejam compilados para a linguagem em que irão executar, a
linguagem da máquina. E precisam proceder ao cálculo de um autenticador de cada
programa, uma espécie de impressão digital da versão compilada em sua presença,
para poderem comparar com o resultado do mesmo cálculo efetuado com cópias do
mesmo, amostradas quando em operação, para validar sua integridade.
No caso da urna, a amostragem ideal para validação seria quando o conteúdo
do flashcard é carregado em memória, no início da votação. Este cálculo poderia
ser efetuado por um dispositivo de hardware no computador da urna chamado BIOS,
mas este recurso não consta de especificação desta BIOS. Em nenhuma de suas
versões, ao que me consta. A solução paliativa seria amostrar os programas para
validação quando estiverem sendo gravados nos flashcards, nas máquinas
replicadoras dos tribunais regionais, na semana que antecede as eleições. Mas os
juízes eleitorais nunca permitiram a nenhum fiscal sequer por a mão num desses
flashcards, muito menos instalá-los em suas próprias máquinas para cálculo de
autenticadores de validação.
O que o TSE chama de auditoria aos programas da urna, é apenas um
simulacro. Os fiscais só podem ver o código fonte de um dos tres programas que
vão na urna, o aplicativo que contabiliza votos. Mas mesmo que este programa
esteja limpo, tanto quando é inspecionado e quando é instalado na urna, os
outros programas também podem promover embustes sobre o boletim de urna, por
intermediar a sua gravação. Na eleição anterior, as condições e normas para
participação dos fiscais nessa "auditoria" só foram divulgadas na véspera da
data marcada para sua ocorrência, dois meses antes da eleição e mais de um mês
antes da carga dos programas nas urnas. Não foi feito nem o acompanhamento da
compilação dos programas, nem o cálculo de nenhum autenticador, nem foi
permitido o acesso ao código fonte da biblioteca criptográfica nem do sistema
operacional. Para a próxima eleição, mesmo que este simulacro contemple, como se
cogita, uma cerimônia pública na qual o aplicativo de escrutínio será compilado,
o cálculo de autenticadores durante esta cerimônia, e quem sabe até durante a
inseminação dos programas na urna, a lei eleitoral aprovada no congresso em
Janeiro deste ano contém linguagem específica, introduzida por solicitação do
ministro Jobim, que permite ao TSE manter inauditáveis o sistema operacional e a
biblioteca criptográfica da urna.
5) SF: Podemos imaginar a possibilidade de fraudes sofisticadas?
PR: O sistema de votação eletrônica do TSE deposita um enorme poder sobre
simples operações de soma e tabulação implementadas em software. Certamente
haverão grandes benefícios inconfessáveis para quem se ponha a explorar, para
fins escusos, qualquer opacidade na execução dessas instruções. O crime
organizado certamente não está alheio a estas possibilidades, e irá encontrar os
pontos mais frágeis do sistema para nele tentar se infiltrar. Quase sempre os
pontos mais frágeis de um sistema informatizado tão sensível como este, são seus
elos humanos. A possiblidade dessas explorações será inversamente proporcional à
probabilidade de sua descoberta. O eleitor só pode contribuir para diminuir esta
possibidade exigindo transparência e participando ativamente na fiscalização do
processo. Porém, os que estão atentos vem encontrando dificuldades para
identificar aliados entre os que gravitam na órbita do poder, controlando a
marcha deste processo.
As fraudes mais sofisiticadas são as que distribuem com mais capilaridade
os benefícios dessa opacidade. Seriam aquelas onde instruções mais complexas
para manipulação a varejo são introduzidas nos programas nos tribunais
regionais, tanto na urna quanto nos programas de totalização, através das quais
desvios de voto em eleições proporcionais podem garantir fatias pré-negociadas
de bancadas municipais ou estaduais, dentre candidatos corrompidos ou corruptos.
Estes programas podem até ser projetados para apagarem, após a eleição, suas
instruções de desvios de votos. Entretanto, rastros de fraudes sofisticadas
podem ainda assim ser medidos por discrepâncias nas distribuições estatísticas
de densidade eleitoral, em distritos geográficos ou em sessões. Alguns sinais
discrepantes tem ocorrido. Como por exemplo, variação estreita de diferenças
(entre 100 e 110 votos em todas as sessões) entre dois candidatos da última
eleição para prefeito em Camaçari, e variações pequenas entre as votações de
alguns deputados federais governistas dentre os municípios paulistas. A
visibilidade de tais rastros seria uma boa razão para se evitar a tabulação por
seção nos mapas de totalização dos tribunais, caso haja propensão para fraude
interna.
Assim, mesmo acuado pela opacidade do sistema, é importante para o eleitor
ficar atento ao bafo do leão. Quem leva o negócio da fraude a sério estará
tentando se posicionar sempre um passo à frente dos mecanismos de proteção, na
medida em que estes vão sendo aprimorados, impostos ou negociados por pressão da
opinião pública. Mesmo que o TSE aceite implementar uma verificação eficaz de
integridade do software da urna, se a totalização não tabular os resultados
apurados por seção a detecção de fraude continua sendo praticamente impossível,
devido à opacidade da totalização. E se a auditoria eficaz vier a ser permitida
tanto na urna quanto nos softwares de totalização, a questão sobre o qual a
inteligência da fraude irá se debruçar passa a ser de quem serão os programas
permitidos a compilar e calcular os autenticadores dos programas do sistema
eleitoral? Como podemos ver, em termos de sofisticação o crime organizado já
ganhou a oportunidade de livrar uma boa vantagem nessa corrida.
6) SF: A análise da Unicamp será suficiente para afastar as suspeitas contra o risco de manipulação maldosa de programas? PR: Supondo que esta análise venha a público sem censura, e que seu conteúdo conclua nesta direção, sim. Porém, pela seriedade e competência já demostrados pela equipe no caso do painel do senado, meu palpite é de que sua conclusão não irá apontar nesta direção, por um motivo muito simples. Se quem tem direito de examinar pelo menos um dos programas da urna são os mesmos que o confeccionam e instalam, como é o caso, um possível conluio entre esses para a manipulação maldosa significaria impunidade. A impunidade pode até estar presente sem conluio, bastando que o controle do mecanismo que controla alterações nesse programa esteja nas mãos de apenas uma pessoa. Não creio que a equipe da Unicamp desconsideraria estas possibilidades, ou consideraria tolerável o risco de fraudes inimputáveis. 7) SF: O general Alberto Cardoso compara o Cepesc ao fabricante de um cofre que perde o controle sobre o produto depois que o cliente cria o segredo para abri-lo. Tecnicamente, como a participação indireta da Abin pode ser uma ameaça de manipulação dos programas pelo Palácio do Planalto? PR: Nenhum criítico sério do nosso sistema eleitoral condena a participação
da Abin simplesmente por se tratar da Abin. Como diz um ditado americano, o
diabo mora nos detalhes. Neste caso, em dois detalhes. O primeiro detalhe é que
o uso do tipo de criptografia que o TSE teria encomendado ao Cepesc ainda não
foi satisfatoriamente justificado na urna. O segundo detalhe é que há um jogo
estranho sobre quem responde pela necessidade deste programa não ser auditável
na urna. Em relação ao porquê do programa do Cepesc não ser auditável na urna,
hora o TSE faz referência a exigências da Abin em seus despachos, enquanto o
Gereral Alberto Cardoso da Abin hora argumenta que o conhecimento público
enfraqueceria a eficácia do programa, e hora faz referência à segurança
nacional. Só não ouvimos o próprio autor do programa, que certamente não é o
General Cardoso, dizer isso.
A comparação do general está correta, mas não para o contexto onde ela é
sucitada. A questão que merece atenção não é com quem estará o controle do cofre
quando em uso. Mas a de que a ninguém, alem dos envolvidos no negócio, é
permitido saber como foi construído este cofre, ou que tipo de coisa se instala
na urna como se fora esse cofre. E se este cofre for na verdade uma caixa de
mágico que imita um cofre? Como saber? Quem está de fora sabe apenas que algo
ali não pode ser examinado, algo que quem está de dentro diz ser um cofre.
Não fossem por esses detalhes, que ofuscam a relação entre a segurança
nacional a que se refere o General e a segurança da verdade eleitoral a que
aspira o eleitor, não se daria importância aos riscos na participação indireta
da Abin. Num mundo onde informação e programas se alastram pela internet, apenas
as chaves -- e não as fechaduras digitais -- precisam ser mantidas em sigilo. A
fechadura provará sua robustez pela capacidade de se expor publicamente, sem
permitir acesso ao que ela protege na ausência da chave, gerada e guardada por
quem precisa desta proteção. Como o autor do programa do Cepesc é certamente um
criptógrafo competente, cuja competência espera-se não ter estacionado no
cenário teconológico da segunda guerra mundial, dele nunca ouviremos tais
argumentos se sua agenda não for oculta.
Mas suponha, por um momento, que tudo aquilo que os críticos desejam em
relação à auditoria dos programas seja finalmente concedido pelo TSE, exceto a
auditoria do programa criptográfico do Cepesc. Os cenários de riscos daí
decorrentes seriam ainda graves e variados. Num desses cenários, o programa
entregue pelo Cepesc ao TSE, além das funções criptográficas que usam as chaves
geradas pelo próprio TSE, pode conter também instruções sorrateiras para operar
fraude sobre o boletim de urna. Para isso, o programador precisa apenas de
algumas informações sobre o formato do boletim, tais como os números dos
candidatos e a posição dos totais de votos, e um pequeno empurrão do ambiente
onde irá operar, se a fraude se destina a ambas versões, impressa e eletrônica.
Este empurrão pode ser uma chamada à memória pelo aplicativo de escrutínio antes
da impressão do boletim. Ou então uma vulnerabilidade do sistema operacional que
pode ser explorada para, através de um módulo de instalação, infiltrar nele o
embuste, à moda de um vírus, para ficar vigiando chamadas ao processo de
impressão, quando então seria dado o bote do embuste no boletim. O sistema
operacional poderia também carregar embustes tendo como alvo os processos de
coleta de dados do teclado e visualização na tela da máquina.
Por falar nisso, não está claro por que o TSE escolheu o Windows CE como
sistema operacional, e BIOS gravável por software, para suas novas urnas. Um dos
possíveis efeitos motivadores da escolha poderia ser o de oferecer ao TSE uma
álibi para manter opacidades da urna. Noutro cenário mais ameno, mesmo que todos
os programas opacos sejam encomendados e entregues honestos e robustos, esta
opacidade dá ao TSE a liberdade de instalar na urna, em seu lugar, uma versão
embusteira de qualquer desses programas. A argumento da necessidade de se manter
na urna um só programa inauditável que seja, como o do Cepesc, pode servir como
álibi para a ocultação de embustes por trás de toda a transparência no resto.
Assim como um mágico que mostra todas as faces de sua caixinha de supresas,
exceto uma. "La segurança soy yo".
8) SF: Que alternativas técnicas o TSE teria para excluir o Cepesc? PR: A alternativa mais simples seria programar a apuração de forma a tabular e publicar eletronicamente todos os boletins de urna recebidos. Qualquer fiscal de seção no Brasil se tornaria também um fiscal de apuração, com uma cópia do boletim de urna e do acesso à inrternet. Uma proteção redundante à transparência de fiscalização seria o uso de criptografia para assinatura digital dos boletins de urna. Ela serviria para detectar trocas de disquete durante o transporte de boletins emitidos por urnas idôneas. Para entendermos porque esta solução seria simples e eficaz, precisamos primeiro entender o problema que trouxe o Cepesc à urna. Os boletins de urna eletrônicos precisam ser protegidos durante o
transporte, isto é, da urna urna onde é gerado até a junta de apuração a que se
destina. Mas protegidos contra o que? Esta pergunta é o início do problema, pois
os possíveis modos de uso da criptografia protegem eficazmente o dado contra
apenas um tipo de ataque. Ou contra acesso indevido, ou contra adulteração do
conteúdo. No primeiro modo, a criptografia irá procurar embaralhar, da melhor
forma possível, a sequência de bits a ser protegida, de sorte que só o emissor e
o receptor poderão desfazer esta codificação, mediante a posse e o uso da chave
criptográfica. Tal chave é o que o General Cardoso compara com o segredo de um
cofre. Neste modo de uso a criptografia implementa o que se chama cifra de
sigilo. Cifras de sigilo, entretanto, não são boas protetoras contra
adulteração, devido a um detalhe quem precisa acessar o dado no destino poderá
também alterar esse dado e sustentar, perante terceiros sob demanda judicial,
que a versão alterada foi a recebida.
Já no segundo modo, a criptografia procura fixar, da melhor forma possível,
a sequência de bits a ser protegida, de sorte que qualquer adulteração nessa
sequência durante o transporte possa ser detectada no destino. Neste modo de uso
a criptografia implementa o que se chama de autenticador ou assinatura digital.
E novamente, autenticadores não são bons protetores contra acesso indevido já
que os bits protegidos, por estarem fixos em suas posições, nada ocultam
enquanto estiverem fixos. É claro que estas limitações não impedem o uso
combinado dos dois modos de criptografia, mas possibilitam que a criptografia se
torne inócua por erro de avaliação, quando o projeto do sistema demandar um modo
de proteção e sua especificação escolher outro.
E quanto ao nosso sistema eleitoral? Como o boletim de urna se destina a
ser impresso e tornado público na seção eleitoral antes de ser gravado e
transportado em disquete, em cujo destino será tabulado em mapas de totalização
também públicos, seu conteúdo deveria ser público tanto na origem como no
destino. Portanto, neste caso, não há razão direta para a demanda de proteção
contra acesso ao conteúdo, enquanto há razões de sobra para a demanda de
proteção contra adulteração. Acontece que a versão eletrônica do boletim de
urna, por motivos ainda inexplicados, não é divulgada pelo tribunal. Não é desse
sigilo de voto de que fala a Constituição Federal. Apenas sua versão impressa é
transportada junto com o disquete, para ser lá divulgado como se as duas versões
fossem sempre idênticas. Assim, não há como os fiscais coferirem nada sobre a
versão eletrônica dos boletins de urna. Nem se esta versão do boletim que chega
no tribunal é a mesma que saiu da urna da seção em disquete, nem se as versões
eletrônica e impressa do mesmo boletim coincidem, nem se as versões eletrônicas
dos diversos boletins de uma região foram corretamente somados na totalização,
este última pelos motivos práticos já abordados.
Assim, qualquer garantia oferecida pelo sistema acerca da integridade da
versão eletrônica dos boletins de urna repousa única e exclusivamente no uso da
criptografia. Repousa, entretanto, sobre o modo errado, já que este uso se dá
através de programa encomendado ao Cepesc para proteger o boletim de urna contra
acesso indevido ao conteúdo. Até onde nos é dado saber, o Cepesc entregou o que
lhe foi encomendado, isto é, um programa que implementa o que chamamos de cifra
para sigilo. Decorre daí que tal uso protege a versão eletrônica dos boletins, a
que realmente conta para a eleição no nosso sistema, contra duas coisas ao mesmo
tempo. Contra fraudes praticáveis por quem não tem acesso à devida chave, e
contra acesso ao conteúdo de fraudes praticáveis por quem tenha tal chave. Se é
para se buscar apenas a primeira proteção, não basta usar criptografia nessas
condições, por melhor que seja sua qualidade. Carece também que se neutralizar
seu segundo efeito, que podemos chamar de colateral caso não seja intencional.
Três medidas são possíveis para neutralizar este efeito. A especificação do modo
de uso da criptografia adequada à situação, ou seja, a assinatura digital, a
auditoria decente em todos os programas, especicialmente nos programas de
criptografia e de totalização, e a publicação das versões eletrônicas dos
boletins de urna nos mapas de totalização das juntas de apuração e nos
tribunais.
Em outras palavras, se o TSE quiser proteger a verdade eleitoral, sem no
processo destruí-la com mecanismos de proteção a possíveis fraudadores agindo
nos programas de totalização e/ou de votação, deveria encomendar o modo
criptográfico adequado, que é a assinatura digital, associado à publicação da
versão eletrônica dos boletins no processo de totalização e à auditabilidade dos
softwares, não só pelos partidos como também pelo próprio TSE. Não importa se a
biblioteca criptográfica para assinatura digital seja encomendada ao Cepesc ou a
outra instituição ou empresa. O detalhe de quem faz o software passa a ser
irrelevante quando o software é transparente, isto é, auditável, pois a intenção
e a compentência do programador se fazem assim mensuráveis. Doutra parte, como
as poucas fórmulas conhecidas para se implementar mecanismos de assinatura
digital são de domínio público e relativamente simples, até mesmo os
programadores do TSE poderiam implementá-la. Alguns de meus ex-alunos, a quem
ensinei como fazê-lo e lá trabalham, me desapontariam se corressem desta
responsabilidade.
Porém, nos seis anos de existência do sistema, o que vemos em relação a
estas medidas é uma tenaz resistência do TSE em acatá-las ou mesmo
considerá-las. Esta postura só é admissível sob a premissa de que o risco de
fraude de origem interna é desprezível, irrelevante ou tolerável. Podemos ver
esta avaliação explicitada em despachos de juízes eleitorais contra pedidos de
impugnação "Indeferido, pois a urna eletrônica não erra". Cada um que julgue por
si, e morra por gosto ou de desgosto, paranóico ou delirante sobre conspirações
ou conspiradores.
9) SF: Como cidadão e eleitor, o sr. acredita que a disputa acirrada entre os principais candidatos e o risco de derrota do candidato governista aumentam a possibilidade de fraudes? PR: Com relação à disputa acirrada, se me permite, prefiro responder como analista de segurança computacional. O risco de fraude certamente aumenta com o acirramento, pois um percentual de desvio próximo à margem de erro das pesquisas, implantado sob medida poucos dias antes da eleição, pode se camuflar como flutuação estatística normal, encorajando potenciais fraudadores. Doutra feita, um desvio exagerado para alcançar a inversão do resultado eleitoral forçaria os institutos de pesquisa a uma de duas alternativas desconfortáveis. Ou a percepção pública de sua improbidade, ou os riscos de um conluio com a fraude. Com relação ao risco de derrota governista, há uma conjugação de fatores que contribuem pelo menos para uma primeira impressão nesse sentido. O do atual presidente do TSE ser considerado defensor dos interesses governistas na mais alta corte de justiça, sua atuação política no congresso em relação às leis eleitorais, aliados à atual opacidade do processo e à sua disposição em mantê-lo assim. Assim, o que o ministro vem chamando na imprensa de "síndrome da conspiração" não pode ser creditado apenas à paranóia de palpiteiros, já que ele mesmo vem contribuindo para agravá-la com sua postura. 10) SF: O presidente do TSE, ministro Nelson Jobim, criou algum obstáculo
para o controle do sistema eletrônico de votação? É possível dar um exemplo?
PR: Ele dá a impressão de desejar o aprimoramento do sistema. Mas sempre
que acolhe sugestões, seja ele ou seus antecessores na presidência do TSE
durante a vigência do voto eletrônico, seja ao negociar uma nova lei eleitoral
ou ao regulamentar leis em vigor, o TSE termina por implementá-las pelas
metades, o que acaba por reforçar a ingenuidade popular sobre a linha divisória
de tolerância aos novos riscos eleitorais, em detrimento da segurança da verdade
eleitoral.
Um exemplo foi a manobra política do ministro para a aprovação de emendas à
nova lei eleitoral, que tramitava no Senado por iniciativa dos senadores Requião
e Tuma. Esta lei previa auditoria completa nos softwares do sistema. Haveria
também conferência do boletim de urna através da apuração dos votos impressos em
uma amostragem de 3% das urnas, a serem sorteadas no dia da eleição. Poucos dias
antes da votação da matéria, o ministro Jobim enviou aos senadores da base
governista pedido para que apresentassem 15 emendas ao projeto, e que foram
apresentadas no dia da votação. Uma delas, apresentada pelo senador Bello Parga,
antecipa para a véspera da eleição o sorteio das urnas que terão conferência dos
votos através da apuração dos votos impressos. Outra, apresentada pelo senador
Francelino Pereira, restringe o direito dos partidos auditarem alguns dos
programas do sistema eleitoral e suprime condições obrigatórias para a eficácia
da auditoria restante.
O então líder do governo, senador Hugo Napoleão, diante da recusa do
relator em acatar estas emendas, pediu votação em separado para as mesmas e
instruiu seus liderados a votarem a favor. Além disso, instruiu-os contra a
emenda que retirava o último artigo do projeto de lei, estabelecendo prazo de um
ano para sua entrada em vigor, sob o argumento de que já havia acordo na Câmara
para aprová-la a tempo para sua vigência na eleição de 2002. Hugo Napoleão
conseguiu o que queria, a aprovação do projeto com essas emendas no plenário do
Senado em 2 de Outubro de 2001.
Na Câmara, onde o projeto votado no senado chegou no dia seguinte com
pedido de urgência, um acordo de lideranças retirou neste mesmo dia esta
urgência, sob o argumento de que a matéria precisava ser melhor estudada. Na
Comissão de Constituição e Justiça da Câmara, onde tramitou em 15 dias, essas
emendas foram retiradas. Porém, no dia em que foi a votação no Plenário, o
ministro Jobim pediu e conseguiu um outro acordo de lideranças, desta vez para
que o projeto fosse revertido à versão aprovada no Senado, sob o argumento de
que, se aprovada na Câmara com as modificações propostas pela CCJ, o projeto
teria que voltar para o Senado, perdendo assim o prazo de vigência para eleição
de 2002. Ocorre que este prazo já havia se esgotado no dia seguinte à sua
chegada na Câmara.
Com o sorteio de véspera das urnas a serem conferidas, seria impossível
impedir a troca sorrateira de flashcards sujos por limpos durante a madrugada,
já que os lacres assinados pelos fiscais são estocados sem controle de contagem,
durante os procedimentos de carga das urnas. E mesmo que todas as urnas estejam
limpas e nenhum truque seja necessário para que a confirmação por apuração nos
votos impressos saia incólume, não há garantias de que as versões eletrônicas
dos boletins de urna coincidem com as versões impressas, pois a totalização nos
tribunais não tabula os votos por sessão, mas apenas por região geográfica. No
plenário da Câmara, o projeto de lei foi aprovado como veio do senado. Quize
dias depois, o TSE declara o senador Hugo Napoleão governador do seu estado,
cassado o governador eleito. Com essa norma eleitoral, legada do serviço
legislativo prestado à nação pelo nobre senador-governador do Piauí, a opacidade
dos softwares no nosso sistema eleitoral se mantém, enquanto a "garantia"
oferecida pela cofirmação de votos impressos se torna mais um espelho numa
caixinha de mágico.
Certamente a síndrome da conspiração de que fala o ministro Jobim não é
causada apenas pela paranóia de palpiteiros.
|