Caro Marcos Rogério Santiago, É com muita honra que recebo sua mensagem com ponderações críticas ao que dizemos e escrevemos sobre o voto eletrônico no Brasil.
Agradeço principalmente pelo fato de você ter se apresentado devidamente como membro da Justiça e Autoridade Eleitoral brasileira, pois é muito comum seus colegas de trabalho, que querem criticar nossos argumentos, optarem por esconder seus verdadeiros vínculos. Estou enviando cópia desta minha resposta aos fóruns de debate sobre voto-E e aos autores do CMind. Eu gostaria muito que o Sr. desse continuidade e este nosso debate, treplicando a minha longa réplica que segue abaixo. Como é de meu costume, incluo atalhos na Internet para exemplificar o que afirmo e sugiro que o Sr. faça o mesmo sempre que apresentar algum argumento baseado em dados externos. Em Seg, 2010-11-22 às 15:46 -0200, Marcos Rogerio Santiago escreveu: > Olá, > Meu nome é Marcos Rogerio e faço parte das fileiras da Justiça > Eleitoral. Andei lendo documentos dos senhores e da CMInd e cheguei a > algumas conclusões. > > 1 - Um dos principais problemas à segurança reside no fato de que não se > pode "contar um a um" os votos nominais das urnas, impossibilitando a > conferência: Na minha opinião, este é o principal problema técnico do sistema eleitoral eletrônico brasileiro que, por sua vez, é consequência do principal problema sócio-estrutural do sistema que é o acúmulo de poderes da chamada Justiça Eleitoral. > > R - Vi seus currículos e por isso me impressionei com seus argumentos. > Principalmente com os do professor Pedro A. D. Rezende, que também é > criptógrafo. A menos que ele me prove que é possível alterar um software > que foi assinado digitalmente com uso de criptografia assimétrica RSA e > conferido por todas as autoridades (partidos, OAB, fiscais, MP, etc), > mantendo a mesma chave utilizada na cifragem, a qual pode ser conferida > a qualquer tempo, em qualquer cópia instalada em qualquer urna do > território nacional. Já tem um bocado de coisa errada no que você escreveu logo no primeiro parágrafo. Vamos passo a passo: 1) Em 2006 pedimos formalmente ao TSE que nos permitisse demonstrar que era possível adulterar o software da urna para que desviasse votos e que, ainda assim, passaria por todos os controles internos do sistema que incluem todas as auto-verificações de assinaturas digitais e todas as simulações de votação (na carga e paralela). Em nossa proposta de demonstração exigíamos apenas: regras e controle do teste estabelecidos por professores universitários independentes indicados pelos partidos políticos e acesso completo à urna eletrônica e aos cartões flash de carga (obviamente, o teste poderia ser integralmente assistido e acompanhado pelos técnicos de TI do TSE). Os técnicos que iriamos indicar para fazer a demonstração e os professores para participar da comissão deliberativa são todos membros do CMind. Mas nossa proposta não foi aceita pelo TSE, que quis impor regras limitadoras de acesso e não aceitou a presença de nenhum professor independente indicado pelos partidos entre os avaliadores do teste. E foi assim que o próprio TSE nos impediu de fazer a demonstração que você pede, Santiago. Dessa forma, seu repto ao prof. Resende é pura retórica de membros da autoridade eleitoral, que faz esse tipo de desafio mas não nos permite fazer a demonstração em condições propícias. Não vou entrar em detalhes mas é bom você saber que: 1) não é necessário quebrar a assinatura RSA dos programas para adulterá-los e fazer tudo funcionar como se fosse correto. Basta burlar o programa auto-verificador das assinaturas e usar o próprio programa original para fazer as assinaturas dos resultados adulterados. Certamente você não sabe como se faz isso, mas muito sabem. Veja o ataque nas urnas Diebold feito por professores de Princeton em 2006 em: http://citp.princeton.edu/voting/ http://www.youtube.com/watch?v=0AKR-Lo-700 A arquitetura de segurança da urna-e que eles atacaram era exatamente idêntica as do TSE em 2006. 2) Não é verdade que "a cifragem, ... pode ser conferida a qualquer tempo, em qualquer cópia instalada em qualquer urna do território nacional". Como um exemplo recente disso tem a decisão do TRE-MA que não permitiu que fosse feita a verificação das assinaturas em 4 urnas da 1ª ZE do MA, que fora solicitado no dia seguinte à eleição do primeiro turno nos termos da resolução do TSE. Se você duvida disso, me diga que posso ir procurar (para lhe mostrar) cópia da decisão negando a verificação das assinaturas. Além do mais, o que você chama de "conferir as assinaturas digitais" nem de longe merece receber esse nome. São apenas auto-verificações feitas pelos próprio equipamentos que se quer verificar. Por exemplo, nas urnas: se coloca um disquete qualquer nelas, em seguida elas são ligadas e mostram um relatório na tela dizendo que as assinaturas estão OK. Isso não é conferência (independente do próprio software) de assinaturas nem aqui nem na China. As 6 petições que apresentamos ao TSE desde 2000 para que fosse permitido verificações verdadeiras nunca foram aceitas. Esse assunto está explicado com mais detalhes no anexo 4 do relatório CMind, inclusive mostrando que nem a sugestão de Unicamp, do modo de verificação das assinaturas, foi aceita pelo TSE. Com essas observações, Santiago, refuto praticamente tudo que você disse no seu primeiro parágrafo. 1- é possivel se adulterar o software das urnas e ainda assim passar incólume pela auto-verificação das assinaturas digitais. 2- é falso seu desafio para que demonstremos isso, pois quando pedimos autorização para demonstrar, vocês não aceitaram. 3- não é verdade que se permite conferir assinaturas a qualquer tempo. 4- nem mesmo é permitida alguma forma de verificação verdadeira de assinaturas. > Além disso, todos os códigos dos sistemas são > auditados, "vistos" por técnicos que entendem o que estão vendo e que > foram contratados pelos partidos para isso. Esta é mais uma absoluta mentira sua, Santiago. Você não deveria se referir aos técnicos dos partidos sem ter ouvido antes o que nós falamos. Repare que do CMind fazem parte TODOS os (chefes dos) técnicos de partidos e da OAB que foram ao TSE desde 2000 para acompanhar a apresentação dos sistemas e que TODOS nós dizemos que essa análise de código simplesmente não é possível na prática dentro das condições que nos são oferecidas. Eu sei, Santiago, que você repete essa mentira sem ter ido conferir antes se seria verdade que os códigos são auditados. Não são. São muitos (35 mil arquivos e 17 milhões de linhas de código). São alterados até o último dia do prazo de análise e por vezes, depois disso. Veja o Relatório COPPE em: http://www.brunazo.eng.br/voto-e/textos/relcoppetec1.htm As condições de avaliação são demais restritivas. O TSE só permite leitura do código na tela. Não permite testes, simulações e nem impressão de relatórios de análise. E já que você você apresentou o método RSA como referência de qualidade das urnas, sugiro você conhecer a opinião do inventor desse método, o PhD. Ronald Rivest (ele é o R do RSA). Leia o que ele fala sobre a dificuldade prática de se validar um software de sistemas eleitorais complexos em seu artigo onde propôs o Princípio de Independência do Software em Sistemas Eleitorais. O artigo está em: Rivest R.R. , Wack, J.P. - On the notion of "software independence" in voting systems.EUA : National Institute of Standards and Technology (NIST), 28/07/2006 - http://vote.nist.gov/SI-in-voting.pdf e lá ele diz que: “2 – Problema: A Complexidade do Software de Sistemas Eleitorais Sistemas eletrônicos de votação são complexos e estão ficando cada vez mais, conforme se tornam mais complexas as eleições e a interface com o eleitor. Os requisitos para um sistema eleitoral também são exigentes: precisão da apuração final, inviolabilidade do voto e segurança contra ataques e mantêm graves conflitos entre si... Encontrar todos os erros em sistemas amplos beira o impossível ou é muitíssimo caro. Nossa habilidade de desenvolver software complexo de longe excede nossa habilidade de provar sua exatidão ou de testá-lo satisfatoriamente a custos razoáveis. ”(tradução do CMind) Você entendeu o que isso significa, Santiago? É o inventor do método RSA, que você afirma garantir integridade do software das urnas, que diz que essa forma de garantia é impossível ou muitíssimo caro. Se, na prática, a garantia de integridade do software é impossível de ser obtida, como fica a garantia de justa apuração????? Eu gostaria muito que você respondesse a essa minha indagação, Santiago, porque todos os outros funcionários da administração eleitoral fogem do debate quando chega a esse ponto. Eu garanto que o prof. Ronald Rivest entende de assinatura digital (e de sua verificação) muitíssimo mais que os técnicos do TSE que até agora nem sequer conseguiram bolar um protocolo de verificação de assinaturas minimamente confiável. Santiago, você poderia citar algum artigo de nível acadêmico, escrito por seus colegas de trabalho do TSE, onde eles expliquem como conseguem usar o sistema RSA onde nem o seu inventor consegue ou recomenda? > Aqui surge uma questão que > gostaria de colocar a favor também do TSE. No material de vocês - não me > lembro bem onde - existe a menção da impossibilidade de uma pessoa leiga > conferir os votos. Da mesma forma que é necessário chamarmos um advogado > para "traduzir" o português contido em tantos documentos e Leis que nos > cercam, da mesma forma que precisamos de assessoramento em algo do qual > não conhecemos o protocolo, assim precisamos de técnicos que compreendam > informações que saem das urnas. O local onde você viu falarmos sobre a conferência do voto pelo próprio eleitor é no cap. 4.1.1 do Relatório CMind que trata do Direito do Eleitor de Conferir o Destino do seu Voto Leia com mais atenção, Santiago. Se trata de um direito diretamente decorrente do direito de votar, ou seja, o direito de verificar a eficácia do seu voto. De que adiantaria poder votar se não se puder conferir a justeza na apuração do voto. Por se tratar de um direito, ele deve ser garantido ao "cidadão médio" sem que ele tenha que recorrer a recursos ou conhecimentos especiais. O cidadão pode contratar um advogado se quiser, Santiago, mas não pode ser obrigado a isso para poder exercer sua cidadania. E foi exatamente esse ponto que levou a Tribunal Constitucional Alemão (o STF de lá) a declarar inconstitucional o modelo de urna eletrônica que não permite o eleitor ver o conteúdo do seu voto. (por ver o conteúdo, eu estou dizendo ver MEEEESMO. O que se vê na tela da urnas-e é um voto em potencial. Seu voto digital só será gravado DEPOIS que o eleitor o confirmar e o que for gravado, e depois apurado, não pode ser visto pelo eleitor) Acho que aqui cabe lembrar a diferença fundamental do tribunal alemão e do brasileiro. Na Alemanha ele é apenas tribunal independente e só julga as demandas eleitorais. Aqui no Brasil, o tribunal eleitoral também é o administrador, o projetista, o operador, o regulamentador (é ele que me diz o que e como posso fiscalizar) e ainda é o fiscalizado (que manda no fiscal). Por isso, os funcionários públicos da "Justiça Eleitoral" (incluindo você, Santiago, e todos os juizes) não são isentos para avaliar o contencioso o processo eleitoral eletrônico. Vocês são sempre parte do processo. Vocês estão sempre num dos polos, nunca equidistante deles. E é só por causa desse acúmulo de poderes que você acha natural que o eleitor tenha que confiar num técnico para saber se seu voto foi computado direito. Nos resto do mundo, quem decide isso sempre é alguém independente, nunca é o próprio operador/regulamentador do sistema. E lá eles decidem que é inconstitucional sistemas eleitorais onde o eleitor não possa conferir o resultado por si só. Enfim, no Brasil, a falta de transparência eleitoral é o fruto do autoritarismo. > Como disse, faço parte das fileiras da > JE. Na cerimônia de carga e lacre das urnas temos um momento de > auditoria, que é obrigatório e imposto pelos TRE's, onde pegamos uma > urna que fora dada carga oficial, utilizamos o sistema de auditoria para > permitir que seja manipulada antes da data prevista e votamos em > candidatos, assinalando os votos e conferindo ao final. Vocês podem > dizer: - "Ah, mas o sistema de auditoria pode também alterar a situação > funcional da urna, fazendo com que esta compute corretamente!", digo: > Existe também a votação paralela, onde a urna é sorteada em algum lugar > do Estado e passa pela mesma operação. Acho que tanto para mim quanto > para um leigo é mais que suficiente ler um BU e encontrar informações > como quantidade votos em branco, nulos, legenda, nominais, abstenções e > justificativas e confiar nelas. O que vem antes disso já foi e pode ser > conferido tranquilamente. O que você (operador do sistema) acha suficiente é irrelevante para mim. Para mim importa poder conferir o destino do meu voto de uma forma que eu entenda e confie, e você, mesmo sendo funcionário eleitoral, não tem o mínimo direito de retirar, diminuir ou relativizar o meu direito. Mais uma coisa que você não parece saber: - o artigo da lei que obriga o TSE a fazer o Teste de Votação Paralela foi escrito por dois membros do CMind (eu e o Marcio Teixeira) quando éramos assessores na Sub-comissão do Voto Eletrônico do Senado em 2001. Então, Santiago, conhecemos as vantagens e as fraquezas desse tipo de teste muito antes mesmo de você pensar nele. Nossa proposta (não aceita pelo TSE) de demonstrar como burlar o software das urnas incluía fazer a urna adulterada passar pela votação paralela sem ser detectada. Você parece não saber como isso pode ser feito... mas é até fácil. > 2 - Segundo a réplica ao relatório CMTSE (Portaria 192/2009), o chamado > Relatório CMInd, mais de 50 países rejeitaram o projeto das nossas urnas > eletrônicas: > > R - Quanto a isso, muitos são os fatos influenciadores para tais > rejeições. Muito jogo de interesse está por trás de projetos deste > calão. Além do mais, as democracias destes países podem não ter sentido > a necessidade deste tipo de tecnologia por vários motivos. Os povos > destes lugares não têm, provavelmente, uma estatística de corrupção > muito alta nesta área, as forças políticas destes países se policiam > mutuamente de forma que suas eleições, mesmo que demoradas, têm > credibilidade por parte da população, enfim, não se pode julgar o nosso > caso de sucesso levando-se em conta os motivos pelos quais estas nações > não confiam ou não queiram aderir a tecnologia no sistema de votação. Santiago, aqui você só apresentou palpites e e convenientes achismos. Nada de demonstrado. Você acha mesmo que que TODOS os mais de 50 países (da última vez que contei eram 61) que vieram conhecer as urnas brasileiras e a rejeitaram se enquadram nessa sua explicação pra lá de superficial da questão? Não lhe ocorre que o país que inventou o computador e toda a tecnologia de TI, inclusive as técnicas de segurança e auditoria digital, que construiu os primeiros protótipos de urnas eletrônicas das 3 gerações conhecidas (DRE, Scaners e Scantegrity), que desenvolveu toda a tecnologia e software de biometria (você sabia que o software de biometria usado em nossas urnas-e é feito pelo FBI e o NIST), que tem dois congressos acadêmicos de primeiro nível por ano sobre segurança do voto, que criou uma lei de financiamento federal para os sistema eleitorais dos Estados, enfim, os EUA, criou a primeira Norma Técnica sobre confiabilidade de Sistemas Eleitorais do mundo onde o modelo das urnas brasileiras é declarado não-conforme. O que você chama de tecnologia eleitoral (brasileira) é motivo de riso em certos meios acadêmicos mundo afora. Falar que usamos assinatura RSA para garantir a integridade do software eleitoral, que a verificação das assinaturas é feita pelo próprio software, que o biometria acaba com a fraude, que a zerésima prova que tem zero votos nas urnas, que o juiz e o administrador eleitoral são a mesma pessoa, etc, etc.... é ridículo e vocês só falam isso perante platéias pre-escolhidas ou controladas para que não possam responder ou questionar. Santiago, você que está dando um belíssimo exemplo ao participar de forma aberta desta nossa troca de mensagem, saberia me explicar porque o TRE-SP tentou impedir por 3 vezes (e conseguiu em duas delas) que eu participasse de debates com eles na Câmara e na Assembleia de São Paulo? > Senhores, é verdade que muitas coisas devem ser melhoradas, tanto na > parte tecnológica como na legislativa. Entendo também o que os senhores > reclamam quando colocam a questão na unilateralidade do TSE quanto a > estas questões, mas de forma alguma consigo vislumbrar vulnerabilidades > no sistema. A primeira vulnerabilidade, que você não enxerga por que está do lado protegido, é a possibilidade de ataque interno pelo programadores e operadores do sistema. Como disse o representante da OAB (e membro do CMind) que esteve lá no TSE tentando avaliar os programas: "caso ocorra uma infiltração criminosa nesse corpo técnico, determinada a fraudar as eleições, restou evidente que a fiscalização (dos partidos e da OAB), deste modo como é feita, será incapaz de detectá-la" > Sei que os Senhores sabem, mas vamos repassar os principais > sistemas envolvidos: > > > 1 - Sistema: ELO; Principal(is) função(ões): Cadastramento dos > eleitores, Alocação/criação de seções > 2 - Sistema: AGREG; Principal(is) função(ões): Agregação de seções > 3 - Sistema: CAND; Principal(is) função(ões): Cadastramento de > candidatos > 4 - Sistema: PREPARA; Principal(is) função(ões): Junção e preparação dos > dados das bases de eleitores, candidatos e seções > 5 - Sistema: GM; Principal(is) função(ões): Gera mídias que alimentarão > as urnas eletrônicas na cerimônia de carga e lacre > 6 - Sistema: TRANSPORTADOR; Principal(is) função(ões): Envia arquivos > gerados na urna > 7 - Sistema: GERENCIAMENTO; Principal(is) função(ões): De acordo com o > ambiente onde esteja instalado, permite fazer alterações que podem > afetar o resultado das eleições > 8 - Sistema: TOTALIZADOR; Principal(is) função(ões): Totaliza os votos > dos candidatos, brancos, nulos e abstenções > Claro que existem muitos outros sistemas e bancos de dados que dão > suporte a cada eleição, mas o que quero dizer é que não é por aqui (pela > TI) que se achará falhas. Santiago, em 2006, os arquivos de log das urnas em todo o país estavam registrando absurdos. Um muitos lugares os votos dos arquivos RDV não batiam com os do arquivo de BU. O problema foi primeiro detectado em Alagoas mas depois verifiquei que era geral. Tudo isso quer dizer que os programas das urnas não estavam funcionando de forma coerente. Sabe no que deu isso tudo (denúncia, provas, processo): - o denunciante que apresentou as primeiras provas (logs corrompidos) foi multado - os arquivos de RDV solicitados (para conferência dos BU) não foram entregues - a perícia solicitada para determinar o motivo do mal funcionamento não foi permitida. E você vem me falar que não existem falhas na área de TI !!!!! Você não tem a menor noção que que está falando. Neste ano de 2010, estou trabalhando num caso onde encontramos diferenças nos votos de legenda entre os totais publicados pelos vários sistemas do TSE. Não é o caso de candidaturas sub-judice pois estas não afetam os votos de legenda. É erro mesmo.... Quando o interessado autorizar eu divulgo o caso. Aliás, esse tal sistema TOTALIZADOR, que você citou acima, não existe. Existem vários sistema de divulgação cujos totais nem sempre batem entre si. Leia a resolução do TSE, que descreve os sistemas que podem ter sua assinatura "verificadas" e verá que não existe o tal sistema Totalizador para conferência (nem ele teve seu código mostrado aos partidos e OAB). > Não se pode quebrar dados criptografados em > tempo hábil para falsificar um disquete sequer, E quem disse que precisa quebrar a assinatura digital para poder adulterar resultados. Basta usar uma outra urna devidamente carregada com software oficial e registrada na tabela de correspondência para gerar um disquete com resultados falsos que será aceito pelo "totalizador". O seu problema, Santiago, é que você não conhece o jeito de pensar do fraudador eletrônico. Nunca se ataca o ponto forte do sistema e sim as exceções, as fraquezas. > não se pode fazer uma > alteração sequer nos níveis superiores sem que uma autoridade > responsável coloque sua senha e se esta senha for surrupiada as > alterações ficam nos logs. O que fica no log é que a senha foi usada, mas não por quem. Eu já vi caso de juiz de Zona eleitoral deixar pendurado no painel de aviso, o email que recebe com sua assinatura dos sistemas de GM e de Gerenciamento. > E olha que não sou adepto do Santo Byte. > Eu vejo em você muitos sinais de um fiel do Santo Baite. Quer ver? Você mostrou que acredita que a tecnologia de informação é capaz de resolver os problemas de segurança do sistema eleitoral. Você disse: "... de forma alguma consigo vislumbrar vulnerabilidades no sistema" "... não é por aqui (pela TI) que se achará falhas" Mas veja o que disse Bruce Schneier, criptografo premiado e escritor dos maiores best-sellers sobre segurança de TI: "Se você acredita que a tecnologia pode resolver seus problemas de segurança, então você não conhece os problemas e nem a tecnologia." Schneier, Bruce - Segurança.com (secrets and lies), Ed. Campus, 2001, Rio de Janeiro, pg. 12 > Um grande abraço a todos vocês, espero que leiam isto e se possível me > respondam. > Fiquem com Deus. > Marcos Rogerio. Marcos Rogério, mais uma vez obrigado pela oportunidade e pela consideração. Fico a disposição se você quiser aprofundar nosso debate. Até ouso propor que procuremos dar um caráter oficial a isso. Você acha que conseguiria que a alguma instância da Justiça Eleitoral aceitasse fazer ou participar de um seminário (honesto e com participação equânime entre prós e contras) sobre todas estas questões? Saudações, Eng. Amilcar Brunazo Filho membro do Comitê Multidisciplinar Independente - CMind O TSE pode fazer mais. Além da APURAÇÃO RÁPIDA DOS VOTOS, que já nos oferece, deveria propiciar uma APURAÇÃO CONFERÍVEL PELA SOCIEDADE CIVIL Conheça o Relatório do CMind -- __________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________ Você recebeu esta mensagem porque está inscrito no Grupo "VotoEletronico" em Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected] Para cancelar a sua inscrição neste grupo, envie um e-mail para [email protected] Para ver mais opções, visite este grupo em http://groups.google.com/group/votoeletronico?hl=pt-
