As autoridades eleitorais concentram seus esforços na divulgação da segurança da urna eletrônica do TSE. Afirmam que é segura, impossível de fraudar, investem milhões em propaganda no horário nobre da TV para divulgar essa idéia. Dizem, ao final de suas propagandas, que a urna Brasileira é referência em todo o mundo.

Acontece que estão omitindo a parte mais importante do sistema: o processo completo de votação é seguro?

A urna é apenas o componente mais vistoso de um complexo processo logístico. E o processo de votação conduzido no Brasil é inseguro, principalmente porque não existe cópia impressa dos votos, portanto a recontagem e auditoria externa são impossíveis.

É como dizer que a Boeing é referência mundial em aviões – mas isso não protege os passageiros contra falhas do piloto. Ou seja, um Boeing é muito seguro, mas não é 100% seguro porque o avião faz parte de um sistema complicado que pode falhar em diversos estágios diferentes. Claro, o avião é o componente mais importante do processo de transporte seguro de viajantes. Mas não é capaz de garantir a segurança de vôo por sí só. A missão dos engenheiros, pilotos, e controladores de vôo é tornar esse processo o mais seguro possível – mas você nunca verá um profissional da área afirmar que voar é 100% seguro.

Por que, então, aceitamos que autoridades eleitorais afirmem, e repitam incontáveis vezes na imprensa, que nosso processo eletrônico de votação é “100% seguro”?

Essencialmente o que o Governo Brasileiro pede é que confiemos neles. Não há cópia impressa dos votos, e não existe a possibilidade de haver recontagem dos votos por outra via. É um processo que não oferece qualquer possibilidade de auditoria exterior. O máximo que o TSE pode nos oferecer é repetir o processo de contagem eletrônica que, salvo se Jon Von Neumann estiver errado, deve gerar sempre o mesmo resultado.

As autoridades eleitorais pedem que o eleitor tenha fé na urna eletrônica. O Ministro Carlos Ayres Britto, quando era Presidente do TSE, chegou a afirmar que a urna eletrônica era 100% segura. Deve saber algo que a NASA não sabe, visto que até suas naves falham de forma catastrófica com uma frequência de aproximadamente 2% (segundo o Físico Richard Feynman após sua investigação do desastre da Challenger em 1986).

As propagandas do TSE pedem que “confiemos na urna eletrônica”. O único motivo para essa campanha é o fato de especialistas em segurança provavelmente já terem avisado o TSE que o processo de voto eletrônico é inseguro quando o voto não é impresso. Seria desnecessário pedir a confiança do público em algo que, teoricamente, não tem falhas. Você já viu alguma propaganda pedindo para você confiar nas Leis de Newton? Não precisa, porque as leis de Newton colocaram o homem na lua – elas funcionam.

A teoria por trás da insegurança do voto eletrônico é simples, e o anonimato é o culpado.

Deve haver uma relação biunívoca entre eleitor e voto. Deve haver um, e somente um, voto por eleitor. Por isso, deve haver uma relação de um para um entre o conjunto de eleitores e o conjunto de votos. Como garantir essa relação e ainda preservar o anonimato do eleitor? Estritamente falando, não existe uma forma de garantir anonimato absoluto. O processo de votação exige a identificação do eleitor, para garantir que possa votar apenas uma vez.

O que temos, na realidade, é um nível “satisfatório” de anonimato. Temos um “certo anonimato”, e este garante uma alta probabilidade de garantir que o eleitor irá votar, e votar apenas uma vez, sendo bem difícil saber em quem exatamente ele votou. O anonimato garantido em nosso sistema é, portanto, relativo. Para testar a teoria, basta pensar em um caso fictício, e extremo: se, para evitar uma explosão nuclear em São Paulo, o governo precisar saber em quem exatamente um terrorista votou, eles provavelmente saberão. (Cenários ridículos como esse são úteis para testar “virtualmente” a segurança de um sistema. Ou seja, você apostaria todas as vidas de São Paulo em que a urna do TSE é mesmo 100% segura? )

Então, como tornar o processo mais seguro? É simples.

Deve haver um registro físico do voto. O processo 100% eletrônico é inseguro.

Cada eleitor, ao completar o voto, deve receber uma notinha impressa com seu voto. Esta notinha deve conter o voto sem qualquer identificação do eleitor. A notinha seria então inserida em outra urna, que efetuaria a leitura e registraria o voto.

A urna que lê o voto impresso e aquela onde o voto foi impresso não devem ter qualquer ligação física ou lógica. Só assim o registro de votos pode ser considerado relativamente anônimo. A ordem de chegada dos eleitores à seção eleitoral e as autorizações para votar formam um registro de sua identidade, mesmo que o armazenamento seja aleatório esse tipo de sistema costuma possuir vícios, “assinaturas” e imprevistos que podem identificar os eleitores.

Voto Eletrônico Sugerido

1. O eleitor se dirige à urna em compartimento visualmente isolado como é feito atualmente.
2. Escolhe os candidatos em urna eletrônica exatamente como é feito hoje. Mas esta urna não registra o voto.
3. O eleitor recebe uma cópia impressa do voto. Confere se está correto.
4. Concordando com o voto impresso, o eleitor insere este cartão em uma outra máquina, que lê o voto e o registra.
5. O voto impresso é depositado em urna segura e permanece à disposição do TSE para eventuais recontagens.

Impressão do Voto: Sem ela o atual processo é falho.
Sem impressão dos votos não existe processo seguro de votação anônima. Qualquer pessoa que possua conhecimento suficiente pode gerar uma cópia dos votos, adulterar os votos, criar disquetes falsificados com votos, desaparecer com disquetes, e por aí vai. Não existe forma de assinar digitalmente os disquetes sem que a chave privada do TSE seja distribuida aos postos de votação, e aí já abre uma brecha. Enfim, o processo 100% seguro não existe, e por isso precisamos do voto impresso.

Sobre a impressão dos votos, o TSE cita as seguintes falhas do voto impresso:

• Demora para votar. (Que demore 10 dias, o importante é a contagem certa dos votos.)
• Desinteresse pela recontagem de votos (Eu me interesso. Mais alguém?)
• Pane nas impressoras. (As urnas eletrônicas não dão pane? Isso nem a NASA explica.)
• Alto custo para implementação.(O TSE foi economizar logo no dia da eleição?)
• Possibilidade de fraude.(Há “possibilidade” de fraude especialmente sem o voto impresso.)

Nenhum desses itens oferece uma razão convincente para evitar o voto impresso juntamente com o voto eletrônico. Espero que outros se manifestem à favor dessa idéia. A leitura do voto impresso pode, inclusive, ser automatizada, como o cartão de respostas em concursos publicos e vestibulares.

O processo de votação Brasileiro, da forma como está, é falho. É preciso corrigi-lo urgentemente. O TSE tenta, de todas as formas, evitar um investimento absolutamente necessário. Em vez de gastar milhões em propaganda para tentar convencer o eleitor de que a urna é 100% segura, por que não investir esse mesmo dinheiro em impressoras de votos? Eu teria muito mais confiança no voto eletrônico se houvesse um comprovante impresso.

(Olha, eu confio que seu processo é 100% seguro, viu TSE! Mas imprime aí só por via das dúvidas.)

Atualização 23:23 hs: Link Relacionado: Especialistas questionam possibilidade de auditoria nas urnas eletrônicas.

Voto seguro é voto impresso.

Segundo esta página do TSE,

“O Tribunal Superior Eleitoral usa algoritmos de cifração simétrica e assimétrica proprietários, de conhecimento exclusivo do TSE. “

Algoritmos proprietários do TSE ou proprietários de empresas terceirizadas?

O TSE desenvolveu um algoritmo criptográfico novo? Essa é uma tarefa muito difícil, custosa e todo algoritmo criptográfico deve ser testado abertamente pela comunidade, por que o TSE não o divulga?

Segundo o TSE, as urnas produzem os seguintes arquivos:
a) Boletim de urna
b) Registro digital do voto
c) Eleitores faltosos
d) Justificativas eleitorais
e) Registro de eventos (Log)

Os partidos recebem cópia de tudo isso no ato do fechamento das urnas? Ou só recebem cópia do boletim de urna? Cada partido deveria receber também uma cópia dos votos, isso ocorre?

Os votos que serão de fato contados estão contidos no Registro Digital do Voto, não no boletim. Depois que o produto da urna partir rumo a Brasília ninguém mais verá o arquivo contendo os votos, ele será totalizado da forma que chegar ao TSE.

O que garante que o arquivo de votos e o boletim de urna contém os mesmos dados ao chegar a Brasília?

Assistindo à propaganda do TSE para “depositarmos nossa confiança na urna eletrônica”, lembrei-me de um dos episódios mais conhecidos na Ciência da Computação.

Toda vez que vejo o TSE alardeando sobre compilar programas na frente de advogados e fazendo carnaval em torno da segurança de suas “assinaturas digitais”, eu sinto um certo incômodo por estar calado diante de tamanho equívoco.

Lá vai; a história é verídica.

Ken Thompson embutiu um código oculto em seu compilador de linguagem C. O código oculto inseria a sí mesmo, automaticamente, como um vírus, em todos os programas que ele compilava, inclusive em novos compiladores. O código se auto-perpetuava, sendo impossível saber de sua existência sem análise de todos os programas binários compilados usando seu compilador. O programa era inserido em forma binária, não em código fonte. A fonte permanecia intacta. Contrastando com as medidas de segurança do TSE, seria irrelevante toda a auditoria do código fonte que é efetuada nos 6 meses que antecedem a lacração das urnas.

Ken Thompson é um dos mais respeitados cientistas da computação do mundo, e enganou outros grandes cientistas durante anos com seu experimento inusitado. O programa “login” do UNIX chegou a ser compilado com seu compilador, existindo nele uma porta alternativa para acessar qualquer sistema que tenha usado seu compilador. Reza a lenda que esse UNIX chegou a ser enviado a clientes da AT&T….

O nome do paper onde Ken Thompson relata sua experiência é “Reflexões sobre confiar na confiança“. E conclui: “a única forma de ter certeza absoluta sobre a segurança de um sistema é implementá-lo por inteiro.” Por inteiro, significa desde o sistema operacional, até os compiladores e os programas finais. Isso, obviamente, o TSE não fez. Portanto é preciso considerar os sistemas nas urnas como sendo inseguros, mesmo que tenham sido auditados, revisados e verificados incontáveis vezes.

Se alguém mal intencionado adulterou o compilador usado nas urnas eletrônicas, nenhum programa gerado com esses compiladores, nem os compiladores compilados por eles, devem ser considerados seguros(muito menos se o assunto é de segurança nacional, como uma eleição geral).

A segurança é um processo recursivo – a segurança de um passo só é garantida até onde forem garantidos todos os passos anteriores. A corrente é tão forte quanto seu elo mais fraco, diz o velho cliché. E o procedimento do TSE “na frente de representantes da OAB, MP e partidos” não garante nada, é só uma espécie de teatro para assegurar ao homem “vulgo” que há segurança nas urnas.

Roteiro para filme sugerido: Com o atual processo do TSE, sem votos impressos para verificação física do voto, e posterior recontagem, um ente estrangeiro suficientemente capacitado pode alterar o curso das eleições no Brasil com relativa facilidade.

Voto seguro é voto impresso!