Verificabilidade do Voto Eletrônico

Testes públicos de segurança das urnas eletrônicas brasileiras, com vistas ao pleito municipal de outubro, foram realizados no Tribunal Superior Eleitoral nos dias 20, 21 e 22 de março de 2012, com a participação de 24 especialistas em informática, divididos em nove grupos, que atuaram como se fossem hackers, segundo informações do TSE.

Conforme amplamente veiculado na imprensa, um grupo da Universidade de Brasília (UnB) conseguiu quebrar a segurança da urna eletrônica. A quebra consistiu essencialmente em recuperar a sequência dos votos, o que permite violar o sigilo das opções de cada eleitor desde que eles tenham acesso à lista de eleitores que votaram na seção.

“Conseguimos recuperar 474 de 475 votos de uma eleição na ordem em que foram inseridos na urna”, revela o coordenador do grupo, Diego Freitas Aranha, professor de Ciência da Computação da UnB, que fez doutorado em criptografia pela Universidade de Campinas (Unicamp).

Originalmente o plano de teste previa a recuperação de 20 votos, mas o próprio TSE desafiou o grupo a resgatar 82% dos votos de uma fictícia sessão eleitoral com 580 inscritos – percentual que equivale à média de comparecimento nas eleições brasileiras.

A exemplo das edições anteriores dos testes, o tempo limitado de acesso à urna eletrônica, três dias, impede avanços ainda mais significativos na quebra da segurança do sistema eletrônico de votação.

O número de acusações de fraudes nas eleições em volta do nosso país cresce a cada ano, mas o STE nunca viu tais acusações como fraudes comprovadas. O problema de termos um sistema eleitoral com a responsabilidade de administrar, regular e fiscalizar o próprio sistema eleitoral complica a confiança no sistema, afinal é difícil acreditar que alguém vai admitir perante os seus superiores que cometeu um erro e pra correr o risco de perder o emprego e colocar em cheque o “cem por cento seguro”.

Em busca de melhorar a segurança e a confiabilidade dos seus sistemas eleitorais de votação (SEV), muitos países têm apostado em dois requisitos essenciais.

Princípio da publicidade: ser capaz de demonstrar que o resultado eleitoral foi correto. Isso significa que o conteúdo do voto tem de ser público e conferível pelo eleitor no local de votação e pelo fiscal de partido durante a apuração.

Princípio do sigilo do voto: não possibilitar a identificação do autor do voto. É fundamental para se evitar a coação de eleitores, que é uma fraude com poder muito forte de distorcer o resultado eleitoral.

Sistemas de votação com verificabilidade fim-a-fim permitem que os eleitores auditem se seus votos são expressos como destinados, coletados como elencados, e contabilizados como recolhidos, ou seja, proporcionam uma apuração capaz de ser conferida pela sociedade civil. Essencialmente, os sistemas de votação com verificabilidade prestam a garantia aos eleitores de que cada etapa da eleição funcionou corretamente. Ao mesmo tempo, os sistemas de votação devem proteger a privacidade do eleitor e evitar a possibilidade de influência e coação eleitoral dos eleitores. Vários sistemas de votação com verificabilidade fim-a-fim têm sido propostos, variando em usabilidade e praticidade.

Normalmente, os sistemas de votação de criptografia usam um quadro de avisos públicos onde os funcionários eleitorais publicam informações que os eleitores e outros agentes envolvidos usam para o processo de verificação. No momento da votação, os eleitores podem, opcionalmente, receber um comprovante de preservação da privacidade de seu voto. Após os votos serem contados, os resultados e a verificação da informação são exibidos no quadro de avisos. Os eleitores podem então utilizar os seus comprovantes para verificar se os seus votos foram recolhidos, conforme esperado, e qualquer partido pode verificar se o registro está correto em relação aos votos recolhidos. Se algum eleitor encontra uma discrepância, ele tem algum tempo para um registro de litígio, antes de o resultado ser certificado.

Mais formalmente, o que tem sido variavelmente chamado E2E (em inglês, “End-to-End” ou Fim-a-Fim), votos codificados, criptografia, ou auditoria de sistemas abertos de voto, são os sistemas que preservam o sigilo eleitoral, proporcionando:

Verificabilidade do eleitor: algum tempo depois de lançar o seu voto, cada eleitor pode confirmar que seu voto foi "recolhido como elencado", verificando a preservação da privacidade da recepção da informação contra um registro público de recibos postados pelos funcionários eleitorais.

Verificabilidade universal: qualquer pessoa pode verificar que os votos foram "contados como recolhidos", ou seja, a correspondência postada é correta com relação ao registro público dos recibos postados.

Com relação a eleições de auditoria aberta, há apenas um pequeno número de implementações relevantes, entre elas citaremos alguns casos de eleições realizadas atualmente que proporcionaram a verificabilidade do voto e alguns sistemas que proporcionam este funcionamento.

O sistema Helios é o primeiro sistema de eleição de auditoria aberta baseado na web, ele está disponível ao público, qualquer pessoa pode acessá-lo, criar e proceder uma eleição e qualquer pessoa pode auditar todo ou qualquer parte do processo. Devido ao voto ser feito pela web, o Helios ainda é um sistema que pode ser atacado por um coercivo, ficando o sistema ainda dependente de muita confiança nas eleições. Não obstante, tem sido utilizado em clubes sociais, entidades estudantis e outros cenários fora do embate político partidário público.

O eleitor pode sofrer algum tipo de coerção em votações on-line, como é o caso do Helios, um coercivo pode ficar fiscalizando por trás do seu ombro se ele realmente está votando em quem prometeu, ou até mesmo um coercivo poderia sair por aí com um notebook coletando pessoas que queiram comercializar os seus votos. Já buscando uma solução para este tipo de ataque, alguns protocolos de segurança procuram reduzir o risco de coerção, permitindo que os eleitores anulem o seu voto coagido posteriormente e habilitando uma nova votação, mesmo assim ainda não é uma solução definitiva, pois o eleitor mal intencionado, poderia usar este artifício para vender seu voto várias vezes a coercivos diferentes.

O sistema Scantegrity, assim como o Helios, trata-se de sistema de votação eletrônico que também objetiva a verificabilidade do voto. Inicialmente ele foi testado por eleitores de Takoma Park, no estado de Maryland - EUA, como forma de permitir que os eleitores acompanhassem o boletim de voto através da Internet e verificassem se seus votos realmente haviam sido registrados conforme depositados.

O Scantegrity é um projeto desenvolvido por um especialista em criptografia em conjunto com investigadores acadêmicos, de diversas universidades e atualmente encontra-se na sua 2º versão. Baseado em técnicas de criptografia, o sistema pode ser introduzido nos leitores ópticos das urnas, onde os eleitores depositam o seu voto preenchido com uma caneta de tinta especial.

Após votar, é visto no boletim de voto um código com três dígitos, de fácil assimilação, escrito com tinta invisível e que apenas é visível quando o eleitor seleciona o seu candidato. Este código então poderá num segundo momento ser utilizado para verificar, através de um site pertencente à instituição responsável pela eleição, se o voto foi ou não corretamente contabilizado.

Em Israel o recurso de criptografia visual está sendo implantado para ajudar a fortalecer a segurança das urnas. A votação para a liderança do Partido Meretz no mês passado  se deu através do sistema Wombat de votação eletrônica, que faz uso da criptofia visual, e que foi desenvolvido pelo Centro Interdisciplinar Herzliya e a Universidade de Tel Aviv usando o código escrito pelo especialista em criptografia Douglas Wikstrom do Royal Institute of Technology (KTH) em Estocolmo.

O método de criptografia visual consiste em criptografar uma informação visual (imagens, texto, etc) de tal maneira que, para a decriptação, dispensa a ajuda de equipamentos. No sistema usado nas eleições israelenses o eleitor escolhe o candidato desejado na urna, recebe uma cédula impressa que consiste de duas informações: uma corresponde ao voto desejado e a outra uma informação encriptada com criptografia visual. O eleitor digitaliza a parte criptografada com a ajuda de uma espécie de leitor de código de barra, que copia o código para a internet para uma consulta posterior do próprio eleitor, em seguida ele corta o voto, separando-o da informação criptograda e o cobre com um lado do papel que já está inserido na cédula, de forma a esconder a sua escolha e o deposita na urna.

Em 2011, a Argentina iniciou a implantação de equipamentos eletrônicos denominados Vot-Ar de 2ª geração, com registros simultâneos impresso e digital do voto. Na Província de Salta, 33% dos eleitores votaram nas novas urnas com voto impresso e a previsão é de ampliar para 66% em 2013 e 100% dos eleitores em 2015.

No Brasil as urnas eletrônicas ainda são de 1º geração, e não permitem a verificabilidade do voto. Resta indagar: até quando?

 

Wagner Medeiros dos Santos, Mestrando, Centro de Informática da UFPE

Gleudson Varejão Júnior, Mestrando, Centro de Informática da UFPE

Carlos Eduardo Rodrigues Saraiva, Mestrando, Centro de Informática da UFPE

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

Testes públicos de segurança das urnas eletrônicas brasileiras, com vistas ao pleito municipal de outubro, foram realizados no Tribunal Superior Eleitoral nos dias 20, 21 e 22 de março de 2012, com a participação de 24 especialistas em informática, divididos em nove grupos, que atuaram como se fossem hackers, segundo informações do TSE.

Conforme amplamente veiculado na imprensa, um grupo da Universidade de Brasília (UnB) conseguiu quebrar a segurança da urna eletrônica. A quebra consistiu essencialmente em recuperar a sequência dos votos, o que permite violar o sigilo das opções de cada eleitor desde que eles tenham acesso à lista de eleitores que votaram na seção.

“Conseguimos recuperar 474 de 475 votos de uma eleição na ordem em que foram inseridos na urna”, revela o coordenador do grupo, Diego Freitas Aranha, professor de Ciência da Computação da UnB, que fez doutorado em criptografia pela Universidade de Campinas (Unicamp).

Originalmente o plano de teste previa a recuperação de 20 votos, mas o próprio TSE desafiou o grupo a resgatar 82% dos votos de uma fictícia sessão eleitoral com 580 inscritos – percentual que equivale à média de comparecimento nas eleições brasileiras.

A exemplo das edições anteriores dos testes, o tempo limitado de acesso à urna eletrônica, três dias, impede avanços ainda mais significativos na quebra da segurança do sistema eletrônico de votação.

O número de acusações de fraudes nas eleições em volta do nosso país cresce a cada ano, mas o STE nunca viu tais acusações como fraudes comprovadas. O problema de termos um sistema eleitoral com a responsabilidade de administrar, regular e fiscalizar o próprio sistema eleitoral complica a confiança no sistema, afinal é difícil acreditar que alguém vai admitir perante os seus superiores que cometeu um erro e pra correr o risco de perder o emprego e colocar em cheque o “cem por cento seguro”.

Em busca de melhorar a segurança e a confiabilidade dos seus sistemas eleitorais de votação (SEV), muitos países têm apostado em dois requisitos essenciais.

Princípio da publicidade: ser capaz de demonstrar que o resultado eleitoral foi correto. Isso significa que o conteúdo do voto tem de ser público e conferível pelo eleitor no local de votação e pelo fiscal de partido durante a apuração.

Princípio do sigilo do voto: não possibilitar a identificação do autor do voto. É fundamental para se evitar a coação de eleitores, que é uma fraude com poder muito forte de distorcer o resultado eleitoral.

Sistemas de votação com verificabilidade fim-a-fim permitem que os eleitores auditem se seus votos são expressos como destinados, coletados como elencados, e contabilizados como recolhidos, ou seja, proporcionam uma apuração capaz de ser conferida pela sociedade civil. Essencialmente, os sistemas de votação com verificabilidade prestam a garantia aos eleitores de que cada etapa da eleição funcionou corretamente. Ao mesmo tempo, os sistemas de votação devem proteger a privacidade do eleitor e evitar a possibilidade de influência e coação eleitoral dos eleitores. Vários sistemas de votação com verificabilidade fim-a-fim têm sido propostos, variando em usabilidade e praticidade.

Normalmente, os sistemas de votação de criptografia usam um quadro de avisos públicos onde os funcionários eleitorais publicam informações que os eleitores e outros agentes envolvidos usam para o processo de verificação. No momento da votação, os eleitores podem, opcionalmente, receber um comprovante de preservação da privacidade de seu voto. Após os votos serem contados, os resultados e a verificação da informação são exibidos no quadro de avisos. Os eleitores podem então utilizar os seus comprovantes para verificar se os seus votos foram recolhidos, conforme esperado, e qualquer partido pode verificar se o registro está correto em relação aos votos recolhidos. Se algum eleitor encontra uma discrepância, ele tem algum tempo para um registro de litígio, antes de o resultado ser certificado.

Mais formalmente, o que tem sido variavelmente chamado E2E (em inglês, “End-to-End” ou Fim-a-Fim), votos codificados, criptografia, ou auditoria de sistemas abertos de voto, são os sistemas que preservam o sigilo eleitoral, proporcionando:

Verificabilidade do eleitor: algum tempo depois de lançar o seu voto, cada eleitor pode confirmar que seu voto foi “recolhido como elencado”, verificando a preservação da privacidade da recepção da informação contra um registro público de recibos postados pelos funcionários eleitorais.

Verificabilidade universal: qualquer pessoa pode verificar que os votos foram “contados como recolhidos”, ou seja, a correspondência postada é correta com relação ao registro público dos recibos postados.

Com relação a eleições de auditoria aberta, há apenas um pequeno número de implementações relevantes, entre elas citaremos alguns casos de eleições realizadas atualmente que proporcionaram a verificabilidade do voto e alguns sistemas que proporcionam este funcionamento.

O sistema Helios é o primeiro sistema de eleição de auditoria aberta baseado na web, ele está disponível ao público, qualquer pessoa pode acessá-lo, criar e proceder uma eleição e qualquer pessoa pode auditar todo ou qualquer parte do processo. Devido ao voto ser feito pela web, o Helios ainda é um sistema que pode ser atacado por um coercivo, ficando o sistema ainda dependente de muita confiança nas eleições. Não obstante, tem sido utilizado em clubes sociais, entidades estudantis e outros cenários fora do embate político partidário público.

O eleitor pode sofrer algum tipo de coerção em votações on-line, como é o caso do Helios, um coercivo pode ficar fiscalizando por trás do seu ombro se ele realmente está votando em quem prometeu, ou até mesmo um coercivo poderia sair por aí com um notebook coletando pessoas que queiram comercializar os seus votos. Já buscando uma solução para este tipo de ataque, alguns protocolos de segurança procuram reduzir o risco de coerção, permitindo que os eleitores anulem o seu voto coagido posteriormente e habilitando uma nova votação, mesmo assim ainda não é uma solução definitiva, pois o eleitor mal intencionado, poderia usar este artifício para vender seu voto várias vezes a coercivos diferentes.

O sistema Scantegrity, assim como o Helios, trata-se de sistema de votação eletrônico que também objetiva a verificabilidade do voto. Inicialmente ele foi testado por eleitores de Takoma Park, no estado de Maryland – EUA, como forma de permitir que os eleitores acompanhassem o boletim de voto através da Internet e verificassem se seus votos realmente haviam sido registrados conforme depositados.

O Scantegrity é um projeto desenvolvido por um especialista em criptografia em conjunto com investigadores acadêmicos, de diversas universidades e atualmente encontra-se na sua 2º versão. Baseado em técnicas de criptografia, o sistema pode ser introduzido nos leitores ópticos das urnas, onde os eleitores depositam o seu voto preenchido com uma caneta de tinta especial.

Após votar, é visto no boletim de voto um código com três dígitos, de fácil assimilação, escrito com tinta invisível e que apenas é visível quando o eleitor seleciona o seu candidato. Este código então poderá num segundo momento ser utilizado para verificar, através de um site pertencente à instituição responsável pela eleição, se o voto foi ou não corretamente contabilizado.

Em Israel o recurso de criptografia visual está sendo implantado para ajudar a fortalecer a segurança das urnas. A votação para a liderança do Partido Meretz no mês passado  se deu através do sistema Wombat de votação eletrônica, que faz uso da criptofia visual, e que foi desenvolvido pelo Centro Interdisciplinar Herzliya e a Universidade de Tel Aviv usando o código escrito pelo especialista em criptografia Douglas Wikstrom do Royal Institute of Technology (KTH) em Estocolmo.

O método de criptografia visual consiste em criptografar uma informação visual (imagens, texto, etc) de tal maneira que, para a decriptação, dispensa a ajuda de equipamentos. No sistema usado nas eleições israelenses o eleitor escolhe o candidato desejado na urna, recebe uma cédula impressa que consiste de duas informações: uma corresponde ao voto desejado e a outra uma informação encriptada com criptografia visual. O eleitor digitaliza a parte criptografada com a ajuda de uma espécie de leitor de código de barra, que copia o código para a internet para uma consulta posterior do próprio eleitor, em seguida ele corta o voto, separando-o da informação criptograda e o cobre com um lado do papel que já está inserido na cédula, de forma a esconder a sua escolha e o deposita na urna.

Em 2011, a Argentina iniciou a implantação de equipamentos eletrônicos denominados Vot-Ar de 2ª geração, com registros simultâneos impresso e digital do voto. Na Província de Salta, 33% dos eleitores votaram nas novas urnas com voto impresso e a previsão é de ampliar para 66% em 2013 e 100% dos eleitores em 2015.

No Brasil as urnas eletrônicas ainda são de 1º geração, e não permitem a verificabilidade do voto. Resta indagar: até quando?

 

Wagner Medeiros dos Santos, Mestrando, Centro de Informática da UFPE

Gleudson Varejão Júnior, Mestrando, Centro de Informática da UFPE

Carlos Eduardo Rodrigues Saraiva, Mestrando, Centro de Informática da UFPE

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE