Como eu já disse, ainda pretendo estudar melhor o Scantegrity para verificar se há insegurança ainda não percebida. E concordo com o Stolfi que, se existir, a fragilidade deverá ser relativa a inviolabilidade do voto.
Eu já pensei no seguinte ataque: O cidadão baixa o arquivão dos votos e verifica, pelo código anotado, se seu voto está lá dentro. Depois extrai uma cópia deste voto e cria um outro arquivão-2 só com cópias idênticas do seu próprio voto. Roda, então, o programa totalizador sobre este arquivão-2 e verifica o resultado que deverá ter todos os votos para um único candidato (pois os votos são idênticos). Assim, o resultado da totalização do arquivão-2 revelará o voto do eleitor. O Leamartine pensou em outro ataque: Adulterar o programa de decodificação e totalização para não esconder o voto de forma a revelar o conteúdo de todos eles. Não sei ainda se estes ataques podem funcionar, mas aos poucos vou descobrir, e, como disse o Stolfi, por enquanto é mais prudente migrar primeiro para a 2ª geração de máquinas de votar antes de pular para a 3ª geração. Amilcar Em Sáb, 2010-08-28 às 19:41 -0300, Jorge Stolfi escreveu: > > [Amilcar:] Já a há algum tempo que eu estou querendo escrever aqui > > no fórum sobre onova geração de máquinas de votar [...] > > Scantegrity II > > Caros, > > O site www.scantegrity.com parece estar fora do ar no momento. > Mas há também uma descrição do Scantegrity na Wikipedia (en): > > http://en.wikipedia.org/wiki/Scantegrity > > (Não preciso avisar que a Wikipedia não é 100% confiável, preciso? > Mas ela geralmente é útil.) > > Pelo que entendi desse artigo, o Scantegrity é para ser usado > em sistemas de leitura ótica, e não substitui a recontagem manual > das cédulas materiais como proteção contra fraudes internas. > Portanto a 3ª geração não nos > > O sistema parece engenhoso, mas é um tanto complicado. > Não duvido que ele permita a verifiação independente > da totalização. A questão é se ele de fato garante o sigilo. > > Assim de cara, acho que o método tem um ponto fraco: ele exige que a > correspondência entre os candidatos e os códigos "invisíveis" > seja mantida em segredo. Parece-me que esse segredo pode ser > quebrado tanto depois da eleição (o funcionário eleitoral > empresta a urna ao "coronel", que escaneia as cédulas) quanto > antes dela (com certeza existe algum meio de visualizar a tinta > "invisível" --- ultravioleta, luz rasante, microscópio...). > > De posse dessa tabela, o "coronel" pode exigir que o "peão" revele > seu código; e, pelo que entendo, o "peão" não vai poder mentir. > > Como sempre, para possibilitar a coação do eleitor > não é necessário que o "coronel" obtenha de fato a > tabela código-candidato; basta que ele convença os "peões" > de que ele pode obter. > > Mas pode ser que eu não tenha entendido direito.... > > Saudações, > > --stolfi > > PS. Além disso, suponho que na etapa de totalização "cega" > o Scantegrity depende da existência de funções "alçapão" que > são fáceis de calcular mas difíceis de inverter. Mas ninguém > ainda conseguiu provar que essas funções existem. (Multiplicação, > o candidato mais popular, é ainda apenas uma conjetura; que eu > saiba, ninguém conseguiu ainda provar que fatorar é mais difícil > que multiplicar.) > > -- > Jorge Stolfi > Full Professor/Professor Titular > Instituto de Computação/Institute of Computing > UNICAMP > > -- __________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________ Você recebeu esta mensagem porque está inscrito no Grupo "VotoEletronico" em Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected] Para cancelar a sua inscrição neste grupo, envie um e-mail para [email protected] Para ver mais opções, visite este grupo em http://groups.google.com/group/votoeletronico?hl=pt-
