Artigo Destaque dos editores

Avaliação da segurança do eleitor com a urna eletrônica brasileira

Exibindo página 1 de 3
01/10/2000 às 00:00
Leia nesta página:

Resumo

          O presente relatório foi elaborado atendendo a decisão da Reunião Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, realizada no dia 01 de Junho de 2000, no Plenário do Senado, onde ficou estabelecido que duas equipes de técnicos em informática, uma formada pelos técnicos do TSE e a outra sob a orientação do Senador Roberto Requião formada pelo Eng. Amílcar Brunazo Filho, autor deste relatório, e pelo Eng. Márcio Coelho Teixeira, se reuniriam para procurar encontrar um consenso sobre as propostas de alteração na Urna Eletrônica sugeridas pelo Projeto de Lei PLS 194/99.

As alterações propostas por este Projeto de Lei são basicamente duas: 1) que se desvincule a identificação do eleitor da máquina de votação; e 2) que seja permitida a conferência da apuração por meio da impressão do voto que será usado em conferência estatística.

Após os encontros entre as duas equipes ocorridos durante o mês de Junho de 2000, apresenta-se este relatório cuja conclusão, justificada ao longo do seu corpo, diz que o processo de fiscalização externa da produção da Urna Eletrônica é bastante falho de forma que as garantias de segurança de tal equipamento não são satisfatórias.

Desta forma, o autor, após conhecer e avaliar o processo de desenvolvimento, produção e, principalmente, da fiscalização da produção da Urna Eletrônica Brasileira, e levando em conta o argumento de natureza jurídica de que eleitor brasileiro tem o direito de compreender, por si mesmo, o processo que garante a integridade a confiabilidade do seu voto, mantêm sua posição favorável ao projeto PLS 194/99 e as suas duas propostas de alteração da urna eletrônica atual, mas sugere-se, no entanto, pequenas alterações no seu texto com a finalidade de atenuar possíveis ambigüidades na sua interpretação.


Sumário: 1. Introdução. 1.1 Documentação e Bibliografia. 1.2 Nomenclatura e Abreviaturas. 1.3 Histórico e Objetivo. 1.4 As Reuniões entre os Técnicos. 2. Análise dos argumentos do TSE. 2.1 Sobre a desvinculação da identificação do eleitor. 2.1.1 Argumentação básica. 2.1,2 Argumentos corretos. 2.1.3 Argumentos falhos. 2.1.4 Comparação de Riscos e Benefícios. 2.2 Sobre a auditoria da apuração eletrônica. 2.2.1 Contradições. 2.2.2 Argumentação básica. 2.3.3 Argumentos corretos. 2.4.4 Argumentos falhos. 2.4.5 Comparação de Riscos e Benefícios. 2.4.6 Um contra-argumento jurídico. 2.3 A norma ISO 15.508. 2.4 A fiscalização dos Partidos. 3. Conclusão


1. Introdução

1.1 Documentação e Bibliografia

O presente relatório foi elaborado baseado nos dados e informações constantes nos seguintes documentos:

  1. Projeto de Lei do Senado PLS 194/99 (anexo 1).
  2. Livro " O Voto Informatizado: Legitimidade Democrática", de Paulo César Bhering Camarão, Ed. Empresa das Artes, 1997.
  3. Ata da 22ª Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, do dia 01 de Junho de 2000 (anexo 3).
  4. Anotações do autor durante a apresentação no Auditório do TSE(1), no dia 15 de Junho de 2000.
  5. Fitas de Áudio do Debate Público promovido pela Comissão de Constituição e Justiça da Assembléia Estadual de Minas Gerais(2), do dia 30 de Junho de 2000.
  6. Ofício n.º 2.400/00 da Diretoria Geral do TSE, de 29 de Junho de 2000, em resposta à Petição do anexo 5 (anexo 6).
  7. Ofício n.º 547/AssEL-98 do Comandante da Polícia Fazendária – RS, ao Juiz da 33ª Zona Eleitoral do Rio Grande do Sul, de 09 de outubro de 98 (anexo 7).
  8. Carta do Exmo. Sr. Procurador da República, Dr. Celso Antônio Três, dirigida ao Sen. Roberto Requião, em junho de 2000 (anexo 8).
  9. Lei 4.737-65 - Código Eleitoral Brasileiro
  10. Lei 9.504-97 – Normas para o Voto Eletrônico
  11. Resolução 20.506 de 11/1999 do TSE – Calendário Eleitoral – Eleições de 2000
  12. Resolução 20.563 de 03/2000 do TSE – Garantias Eleitorais
  13. Resolução 20.565 de 03/2000 do TSE – Apuração e Totalização de votos
  14. Norma Técnica Internacional ISO/IEC 15.408 de 12/1999 – Critérios de Avaliação da Segurança de Sistemas Informatizados

          1.2 Nomenclatura e Abreviaturas

Como este relatório não se destina à leitura exclusiva por técnicos em informática e especialistas de segurança de dados e sistemas, apresenta-se a seguir uma sucinta explicação de termos e abreviaturas utilizados:

          Apuração dos Votos – É o processo de contagem dos votos de cada urna. No caso da urna eletrônica a apuração é feita na própria Seção Eleitoral onde se deu a votação. No caso de urnas tradicionais, a apuração se dá nas Zonas de Apuração.

          Totalização dos Votos – É o processo de contagem dos votos de todas as urnas de todas as seções eleitorais. É feita por programas contidos na Rede de Totalização do TSE, a qual tem terminais de acesso em todos os TRE estaduais e nas sedes das Zonas Eleitorais municipais.

          Boletim de Urna (BU) – É o documento que contém o resultado da apuração de cada urna eletrônica. Por lei, deve ser impresso, publicado na própria seção eleitoral e distribuído aos partidos políticos. Uma versão digitalizada do BU é gravada num disquete magnético para servir de transporte do BU para os terminais de entrada da Rede de Totalização.

          Lista de Votação – É aquela lista impressa com os nomes e números dos eleitores, que há em todas as seções eleitorais. Nela o eleitor coloca sua assinatura e dela é destacado o comprovante de voto.

          CPU ou UCP – Unidade Central de Processamento. É o componente do computador responsável pelo controle dos fluxos de dados entre todas os demais componentes. Todos os dados que trafegam de um componente do computador para outro passam, normalmente, pelo controle da CPU, com poucas exceções.

          Periféricos – São todos os demais componentes ou equipamentos que constituem o computador, fora a CPU. Exemplos de equipamentos periféricos são: o teclado, o monitor de vídeo, as memórias temporárias (RAM) ou permanentes (Disquetes e Flash-Cards), a impressora.

          Programa Básico – Trata-se do conjunto autônomo de programas da urna eletrônica posto para funcionar logo que este é ligado. É destinado a servir de base de apoio para outros programas comuns, chamados de Programas Aplicativos, os quais serão iniciados posteriormente. O Programa Básico é composto por: Sistema Básico de Entrada e Saída (BIOS), Sistemas Operacional (VirtuOS) e Gerenciadores de Dispositivos (Device Drivers). O Programa Básico é o responsável pelo acesso aos equipamentos periféricos, transferindo dados entes estes e os Programas Aplicativos.

          Programa Aplicativo – Trata-se de programa de computador, não autônomo (precisa que um Sistema Operacional esteja instalado e funcionando), que é o responsável pela recepção e ordenação dos dados originados ou destinados aos equipamentos periféricos. Por exemplo, o Aplicativo recebe do Sistema Operacional os dados digitados no teclado pelo eleitor, ordena-os para comporem uma tela e os remete de volta para o Sistema Operacional escrevê-los no vídeo propriamente dito.

          BIOS - Sistema Básico de Entrada e Saída. Programa componente do Programa Básico, normalmente gravado em memória permanente fixa (EPROM) e, por isto, é as vezes chamado de "Firmware". É o primeiro programa a ser executado quando se liga o computador e é o encarregado de preparar o Sistema Operacional para carga.

          Sistema Operacional (OS) – é o componente principal do Programa Básico, e as vezes é confundido com este. Detêm o controle geral de todos os processos (programas e sub-programas) e é o responsável por coordenar toda a troca de dados entre tais processos.

          Gerenciadores de Dispositivos (Device Drivers) – São os componentes do Programa Básico destinados exclusivamente a estabelecer o contato do Sistema Operacional com um equipamento periférico. Normalmente são produzidos pelos fabricantes dos próprios periféricos.

          Criptografia – São técnicas matemáticas de se embaralhar (cifrar) um conjunto de dados ou textos, com a finalidade de esconder ou tornar incompreensível as informações ali contidas, ou seja, a Criptografia normalmente é utilizada para defender a confidencialidade dos dados. As técnicas de criptografia normalmente utilizam dois elementos no seu processo: 1) a fórmula ou algoritmo de ciframento; 2) uma seqüência de números, chamados "chave". Para se reconstruir o texto ou dados originais necessita-se conhecer a chave inversa (ou de "deciframento") mais a fórmula ou algoritmo inverso (ou de "deciframento") ao utilizado no ciframento.

          Assinatura Digital – São técnicas matemáticas utilizadas para que se possa saber quem ou que equipamento gerou certo documento e se tal documento não foi adulterado, ou seja, a Assinatura Digital é utilizada para se garantir a integridade dos dados. Estas técnicas normalmente utilizam algumas fórmulas peculiares de criptografia, chamadas de "assimétricas" ou de "Chaves Públicas", onde tanto a fórmula de ciframento, quanto a chave e a fórmula de deciframento são divulgadas para conhecimento público. Apenas a chave usada para ciframento é mantida secreta por aquele que vai fazer a assinatura digital. Assim, qualquer pessoa que conheça os dados públicos pode verificar que tal documento, assinado digitalmente, proveio de determinada pessoa ou equipamento.

          Sistemas Fechados – Diz-se de um sistema criptográfico onde tanto as chaves quanto as fórmulas de criptografia e de deciframento são mantidas em segredo. Um ataque externo à um sistema fechado é dificultado pois não se conhece a fórmula de deciframento. Porém sistemas fechados tem pouca resistência ao ataque de elementos internos (que tiveram acesso à suas fórmulas). Outro problema é que sistemas fechados não podem ser provados como matematicamente seguros. Utilizar um Sistema Fechado de Criptografia implica diretamente em confiar cegamente no fornecedor.

          Sistemas Abertos – Diz-se de um sistema criptográfico onde as fórmulas de criptografia e de deciframento são divulgadas publicamente e apenas as chaves são mantidas em segredo. A vantagem de Sistemas Abertos é que se pode calcular e provar qual o tempo médio que um atacante, que não conheça a chave secreta, terá que gastar para reconstruir o texto original por tentativa e erro. Se este tempo médio for maior (bem maior) que o tempo em que a informação deve permanecer protegida, considera-se o sistema seguro. Um sistema de Assinatura Digital é sempre um Sistema Aberto, por sua própria concepção.

          Ataque – Ação de algum agente, interno ou externo à corporação, com o objetivo de deturpar o funcionamento esperado de um equipamento, programa ou sistema.

          Ataque Destrutivo – Um ataque cujo objetivo é paralisar ou atrasar o funcionamento regular do sistema-alvo, visando reduzir sua disponibilidade para uso (availability) sem, no entanto, construir algum resultado falso.

          Ataque Dirigido ou Construtivo – Um ataque que visa construir, de forma escamoteada, um resultado falso durante o funcionamento do sistema atacado, tentando fazer o resultado falso ser aceito como verdadeiro.

          Ataque de Força Bruta – É o ataque a um sistema de criptografia ou de bloqueio de acesso no qual que tenta descobrir a senha ou a chave por tentativa e erro de todas as combinações possíveis. Quando se fala que existe "prova matemática" que um dado sistema informatizado resiste a um ataque por tanto tempo, normalmente está se referindo a Ataque de Força Bruta. Assim, esta "prova matemática" não garante a inviolabilidade do sistema pois outras formas de ataque, que se valham de características particulares dos sistemas ou do vazamento de informações podem, eventualmente, obter sucesso em tempo menor.

          Vício em programa – refere-se a modificações espúrias introduzidas em programas de computador com a finalidade de provocar um funcionamento diferente do objetivo do projeto.

          Potencial de dano – Numa análise da segurança de um sistema deve-se atribuir um valor ao "potencial de dano" de cada risco de falha ou fraude que existir. Este valor deve refletir a grandeza e a importância dos danos provocados se tal fraude ocorrer. Por ex., uma fraude que possa eleger um governador, como ocorrido no Rio de Janeiro em 1982, que ficou conhecida como "Caso Proconsult" (anexo 10), deve ter um valor de "Potencial de Dano" bem maior que uma fraude que só possa eleger um vereador, como a compra de votos de alguns eleitores.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

          Valor do Risco – O Valor do Risco de uma fraude é calculado como o produto do seu Potencial de Dano versus sua Probabilidade de Ocorrência. É um valor que os auditores de segurança procuram obter para que seja possível comparar sistemas e riscos diferentes entre si.

          Sistemas de Alto Risco – Diz-se de sistemas informatizados cujo Potencial de Dano é muito elevado e a Probabilidade de Ocorrência não é desprezível. Normalmente, sistemas que envolvam risco de vida ou de grandes danos ambientais, como um sistema de controle de aeronaves ou usinas nucleares, são classificados como de alto risco. O Processo Eleitoral Informatizado tem as características de Sistema de Alto Risco pois a Probabilidade de Ocorrência de Fraudes é grande e o Potencial de Dano, que é entregar o poder político a um eleito ilegítimo, é incomensurável.

          Validação – refere-se ao processo de análise de um projeto de equipamento ou de um programa de computador, com a finalidade de se determinar se atende ao objetivo desejado. A validação se dá antes da produção final do equipamento ou programa.

          Certificação – refere-se ao processo de acompanhamento da produção de um equipamento ou da carga de um programa em computador de forma a se verificar se o produto final corresponde ao projeto ou programa que foi validado anteriormente. A certificação se dá ao final do processo de implantação ou fabricação do sistema e antes da sua operação.

1.3 Histórico e Objetivo

Em 31 de Março de 1999, o Senador Roberto Requião apresentou ao Senado o Projeto de Lei PLS 194/99 (anexo 1) a fim de ampliar a segurança e a fiscalização do voto eletrônico. Este projeto altera a Lei n.º 9.504, de 30 de setembro de 1997, a qual estabelece normas para as eleições.

As alterações na Urna Eletrônica propostas pelo PLS 194/99 são essencialmente duas:

  1. que se desvincule a identificação do eleitor da máquina de votação, para impossibilitar a identificação do voto, o que dá uma solução 100% segura para a inviolabilidade do voto;
  2. que se proceda a conferência da apuração eletrônica em 3% das urnas eletrônicas, escolhidas a posteriori, por meio da recontagem dos votos impressos, os quais deverão ser conferidos pelo eleitor antes de serem depositados numa urna convencional. No caso de divergência entre a contagem eletrônica e a recontagem dos votos impressos, outras urnas seriam conferidas dentro de um processo judicial aberto para determinar a origem da diferença.

Este Projeto de Lei foi aprovado pela Comissão de Constituição, Justiça e Cidadania do Senado Federal em 15 de setembro de 1999, e foi colocado na pauta de votação do Plenário do Senado do dia 03 de Maio de 2000. Desde então a votação do PLS 194/99 foi adiada e remarcada três vezes atendendo a pedidos partidos pelo Exmo. Sr. Presidente do TSE, Ministro José Néri da Silveira, dirigidos ao Exmo. Sen. Roberto Requião e encaminhados ao Presidente do Senado, Exmo. Sen. Antônio Carlos Magalhães.

No dia 01 de Junho de 2000, data da última votação adiada, o Ministro do TSE, Exmo. Sr. Nelson Jobim, apresentou as críticas oficiais do TSE sobre o PLS 194/99, durante uma Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, especialmente convocada para este fim. O autor do presente relatório esteve presente a esta apresentação, a convite da Mesa do Senado, na qualidade de Assessor Técnico, como se vê no Resultado CCJ: 01/02/2000 (anexo 2) e na própria ata da reunião (anexo 3)

Conforme consta na ata desta da 22ª reunião extraordinária da CCJ do Senado (anexo 3) o Sen. Roberto Requião apresentou uma série de perguntas sobre a segurança da Urna Eletrônica, que não foram respondidas pelo Min. Jobim, tendo este alegado:

          "Quero dizer mais: vim preparado para debater o Projeto n.º 194, e não examinar com detalhes a questão relativa ao sistema informatizado. Só responderia a algumas das questões feitas por V. Exª, visto que, quanto às demais, não me encontro habilitado para tanto."

E, mais adiante, respondendo a pergunta se os partidos políticos tinham tido acesso para análise ao Programa Básico da urna, sugeriu:

          "Quero confessar a V. Exª que não tenho condições de informar-lhe melhor… V. Exª terá que se fazer acompanhar de um técnico que conheça o assunto."

O Sen. Requião em resposta propôs:

"…quero propor aos técnicos que acompanham o Ministro Nelson Jobim e os Ministros do Tribunal que, posteriormente ao encerramento desta reunião da CCJ, tenhamos uma conversa com os técnicos que me assessoram, o Amílcar Brunazo e o Márcio Teixeira."

Esta proposta foi aceita pelos presentes e o Exmo. Sr. Presidente da CCJ, Sen. José Agripino, marcou a primeira reunião entre os técnicos imediatamente, nas próprias dependências da CCJ:

          "…E ofereço o espaço físico da Comissão de Constituição, Justiça e Cidadania, a fim de que os técnicos sob a orientação do Senador Roberto Requião e os técnicos do Tribunal Superior Eleitoral se reunam e encontrem uma forma consensual de encaminhamento da questão. As dependências da Comissão estão, desde já, à disposição dos técnicos para que aquilo que já julgo ser possível seja efetivado: o consenso e o encaminhamento de uma proposta que conste do interesse nacional."

Desta forma, a votação do PLS 194/99 está suspensa, aguardando o parecer dos técnicos, a resultar das reuniões entre eles.

Assim, é com o objetivo de subsidiar os Srs. Senadores de informações e esclarecimentos que os auxiliem na votação do PLS 194/99 que o presente relatório, resultante destas reuniões técnicas, foi elaborado.

          1.4 As Reuniões entre os Técnicos

A primeira reunião entre os técnicos representantes do Senado, sob coordenação do Sen. Requião, e os técnicos do TSE ocorreu no próprio dia 01 de Junho de 2000, e serviu apenas para que os envolvidos apresentassem suas qualificações e intenções. Nesta oportunidade, o Dr. Paulo César Bhering Camarão, Secretário de Informática do TSE, apresentou também o Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE, como "exemplo de a ser seguido pelos fiscais técnicos dos demais Partidos". Foi marcada uma nova reunião de trabalho para o dia 15 de Junho nas dependências do TSE. Não foi elaborada ata desta primeira reunião.

A segunda reunião ocorreu no Auditório do TSE, em Brasília, no dia 15 de Junho de 2000. Sua duração foi de 6 horas, das 14:30 h até as 20:30 h, tendo o TSE gravado em vídeo e tomado notas taquigráficas do evento.

Compareceram a esta reunião, por parte do TSE, seu corpo técnico, dos quais destacam-se os Dr. Paulo César Bhering Camarão, Secretário de Informática do TSE, e mais os Srs. Eng. Paulo Seiji Nakaya, Eng. Guizeppe Janino, Eng. Antonio Ézio Marcondes Salgado e Eng. Oswaldo Catsumi Imamura, que apresentaram palestras ilustradas com recursos audiovisuais.

Compareceram a esta reunião, por parte do Senado, o Eng. Amílcar Brunazo Filho, o Eng. Márcio Coelho Teixeira e o Sr. Christiano de Oliveira Emery, Assessor Administrativo do Sen. Requião.

Ainda compareceram a esta segunda reunião em torno de 20 convidados do TSE, porém nem todos se apresentaram, mas destacamos a presença do Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE, Sr. Fernando Nery, Presidente do Conselho da Módulo, fornecedora de programa (SIS) de controle de acesso da rede do TSE, Sr. Marcos Lallo, Gerente da Procomp, fabricante das urnas e dos programas aplicativos desta, e de um representante do CEPESC, órgão governamental fornecedor do programa denominado "biblioteca de criptografia" utilizada na proteção dos dados contidos no disquete de transmissão dos Boletins de Urna.

A reunião iniciou-se com uma apresentação de 4 (quatro) horas de duração, por parte dos Técnicos do TSE acima citados, onde foram descritas as características de projeto, produção e distribuição da Urna Eletrônica e da Rede de Computadores do TSE, a qual é utilizada no momento da Totalização dos Votos. Após esta apresentação, a maior parte dos convidados do TSE se retiraram, mas destaque-se que o Sr. Marcos Lallo e o representante do CEPESC continuaram presentes à fase de perguntas e respostas que se seguiu.

Nesta segunda fase da reunião, que durou em torno de duas horas, foram elaboradas perguntas pelos representantes do Senado, as quais foram respondidas, todas, pelos Técnicos do TSE.

Como ainda restavam dúvidas e perguntas em aberto, os técnicos do TSE ofereceram-se para esclarecê-las por outras vias, como o contato por telefone ou por mensagens eletrônicas na Internet. Porém esta forma alternativa de contato não prosperou. No dia 20 de Junho de 2000, foi enviada uma consulta por mensagem eletrônica (anexo 9) ao corpo técnico do TSE. Esta consulta não foi respondida até o momento da elaboração deste relatório, por nenhum dos membros consultados, embora no encontro pessoal que ocorreu no dia 30 de Junho seguinte, o recebimento da mensagem foi reconhecido, sendo argumentado que a resposta ainda estava sendo elaborada.

Houve um terceiro encontro entre os dois grupos técnicos, do Senado e do TSE, no Debate Público promovido pela Comissão de Constituição e Justiça da Assembléia Estadual de Minas Gerais, ocorrido no dia 30 de Junho de 2000, no Plenário da Assembléia, coordenado pelo Exmo. Sr. Deputado Rogério Correia (anexo 4).

Compareceram a este debate o Eng. Amílcar Brunazo Filho e Eng. Márcio Coelho Teixeira, assessores do Sen. Requião e, por parte do TSE/TRE-MG, o Dr. Paulo César Bhering Camarão, o Eng. Paulo Seiji Nakaya, o Eng. Antonio Ézio Marcondes Salgado, o Eng. Oswaldo Catsumi Imamura e a Dra. Elizabeth Rezende, Diretora Geral do TRE/MG.

Apresentaram-se também neste debate o Dr. Evandro Luiz de Oliveira, Assessor de Assuntos de Segurança de Informática da Presidência da Empresa de Informática e Informação do Município de Belo Horizonte – PRODABEL, Dra. Maria Luiza de Oliveira, Presidente da Companhia de Processamento de Dados do Estado de Minas Gerais – PRODEMGE e o Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE. Na platéia estiveram presentes o Sr. Frederico Gregório, Diretor da Microbase, e também o Sr. Marcos Lallo, Gerente da Procomp. Ambas empresas são as fornecedoras dos programas denominados Programa Básico e Aplicativo da urna eletrônica.

Este Debate Público durou em torno de 3 (três) horas e foi transmitido ao vivo pela TV Assembléia de Minas Gerais. Constou de apresentações e réplicas de todos os convidados seguido de manifestações de alguns presentes na platéia e de perguntas da platéia e de telespectadores dirigidas aos apresentadores.

Assuntos relacionados
Sobre o autor
Amilcar Brunazo Filho

Engenheiro em Santos (SP), programador de computadores especializado em segurança de dados, moderador do Fórum do Voto Eletrônico, membro do Comitê Multidisciplinar Independente - CMind.

Como citar este texto (NBR 6023:2018 ABNT)

BRUNAZO FILHO, Amilcar. Avaliação da segurança do eleitor com a urna eletrônica brasileira. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 5, n. 46, 1 out. 2000. Disponível em: https://jus.com.br/artigos/1541. Acesso em: 28 mar. 2024.

Mais informações

Relatório elaborado para a Comissão de Constituição, Justiça e Cidadania do Senado Federal, sob pedido do Senador Roberto Requião

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Publique seus artigos