Fórum Nacional de Segurança em Urnas Eletrônicas

34

description

Apresentando duas palestras e uma mesa redonda com especialistas, esse evento tratou-se do mais atualizado relato nacional sobre as condições tecnológicas de segurança de nosso sistema eleitoral, com foco nas urnas eletrônicas, sendo a visualização desse vídeo praticamente obrigatória para qualquer cidadão com senso de dever cívico. A primeira palestra, de Amilcar Brunazo Filho, apresentou os princípios básicos de um sistema eleitoral (tradicional e eletrônico), como o "sigilo do autor" e a "publicidade do conteúdo do voto", assim como o "princípio da independência do software" - uma nova abordagem específica para o processo de votação eletrônica - além de questionar a real efetividade do sistema de biometria em instalação atualmente no país. Amilcar apresentou ainda o trâmite polêmico do projeto de lei que regulamentaria o avanço da segurança das urnas brasileiras para a chamada segunda geração, permitindo a auditoria dos resultados (com a impressão da cédula do voto, como já é feito no resto do mundo), e sua suspensão sumária pelo TSE logo após a sanção da lei, com alegações de ordem técnica e jurídicas baseadas em puras falácias (erros de lógica nos argumentos). Por fim, Amilcar emocionou-se ao finalizar sua apresentação ao ver que a nova geração está tomando parte na luta que há tanto tempo tem travado, até hoje com pouco apoio. Na segunda palestra, o prof. Diego Aranha, da Universidade de Brasilia, apresentou os detalhes de seu relatório técnico sobre o estudo que participou a respeito da segurança das urnas eletrônicas, em edital do TSE em 2012. Praticamente sua equipe conseguiu, com sucesso, atingir o nível de fraude do sistema, pois recuperou a lista de votação completamente (475 votos) durante o tempo de análise da urna, e mais surpreendentemente, descobriram que um número muito importante para decodificar todo o registro de voto era justamente a hora de inicio de operação da urna, informação pública, impressa nos boletins de urna que são enviados aos partidos. Os membros técnicos da banca concordaram plenamente com o feito técnico da equipe da UnB e entenderam o ataque como um sucesso na execução de fraude, demonstrando a fragilidade do sistema de segurança das urnas. Além disso, diversas más práticas de segurança foram praticadas no projeto das urnas eletrônicas, sendo que ao menos uma escolha particular de algoritmo foi classificada como obsoleta há pelo menos 6 anos. Um relatório técnico foi apresentado pela equipe do prof. Diego ao TSE para adequação de todas as irregularidades nas urnas. O TSE respondeu dizendo que tais requisitos haviam sido atendidos, porém, não divulgou um boletim informando quais detalhes e procedimentos haviam sido tomados, de forma que não podemos confirmar se agora as urnas estão realmente seguras.

Transcript of Fórum Nacional de Segurança em Urnas Eletrônicas

Page 1: Fórum Nacional de Segurança em Urnas Eletrônicas
Page 2: Fórum Nacional de Segurança em Urnas Eletrônicas

Moderador do Fórum do Voto Eletrônico (1998)

Assessor Técnico de Partidos Políticos junto ao TSE

(2000)

Membro do Comitê Multidisciplinar Independente –

CMIND (2009)

Observador Eleitoral Internacional na Argentina (2011)

Observador Eleitoral Internacional no Equador (2012)

[email protected]

www.votoseguro.org

Eng. Amílcar Brunazo Filho

Page 3: Fórum Nacional de Segurança em Urnas Eletrônicas

1. Princípios Básicos do Voto Digitalizado

3. Biometria nas Eleições - sem maquiagem

Princípio da Inviolabilidade Absoluta

Princípio da Publicidade

Princípio da Independência do Software

Disponibilidade Absoluta

Outros Requisitos Essenciais

Outros Requisitos Desejáveis

2. As Três Gerações do Voto-E

4. A Lei do Voto Impresso, a ADI e o Projeto de Lei

ó ç ô

ã

TEMAS

Page 4: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Page 5: Fórum Nacional de Segurança em Urnas Eletrônicas

Necessário para evitar a coação de eleitores, a mais insidiosa

fraude eleitoral

Diferente do sigilo bancário e do telefônico, o sigilo do voto é

absoluto, isto é, não pode ser quebrado nem por ordem judicial

A garantia do sigilo também tem que ser absoluta, pois basta

existir uma mínima possibilidade teórica de violação do voto, que a

coação de eleitores se implanta

Consequência 1: o registro e o processamento digital do voto não

podem incluir dados de rastreamento da origem do voto

Consequência 2: é muito mais difícil processar de forma segura

um voto digital do que transferir US$ 1 milhão.

Princípio da Inviolabilidade Absoluta do Voto

ó ç ô

ã

Page 6: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Page 7: Fórum Nacional de Segurança em Urnas Eletrônicas

Jurisprudência do Tribunal Constitucional da Alemanha

- 2009 -

http://www.bundesverfassungsgericht.de/entscheidungen/cs20090303_2bvc000307.html

Cap. 4.1.1 em: http://www.brunazo.eng.br/voto-e/textos/RelatorioCMind.pdf

O eleitor comum tem direito a conferir, com recursos próprios, o registro e

o processamento do seu voto

O candidato tem o direito de acompanhar e conferir, com recursos

próprios, a contagem dos votos

Inconstitucionalidade: urna eletrônica de registro eletrônico do voto

(DRE) não atende ao Princípio da Publicidade

Princípio da Publicidade

ó ç ô

ã

Page 8: Fórum Nacional de Segurança em Urnas Eletrônicas

O aparente conflito entre

Princípio da Inviolabilidade Absoluta do Voto

Princípio da Publicidade

O autor do voto deve ser absolutamente secreto

mas o conteúdo do voto deve ser absolutamente público

- uma velha piada -

Page 9: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Page 10: Fórum Nacional de Segurança em Urnas Eletrônicas

Criado em 2006 por Ronald Rivest (MIT) e John Wack (NIST)

http://people.csail.mit.edu/rivest/pubs/RW06.pdf

Procure no Wikipédia: “Independência do Software”

“Um sistema eleitoral é independente do software se

uma modificação ou erro não-detectado no seu software

não pode causar uma modificação ou erro indetectável

no resultado da apuração, ou na inviolabilidade do voto”

“Propomos que sejam preferidos

Sistemas de Votação Independentes do Software

e que Sistemas de Votação Dependentes do Software

sejam abandonados”

ó ç ô

ã

Princípio da Independência do Software

em Sistemas Eleitorais

Page 11: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Page 12: Fórum Nacional de Segurança em Urnas Eletrônicas

Uma eleição não pode ser parcialmente adiada por

indisponibilidade do sistema. Tem que ocorrer na

data marcada em todo o território

Necessária forte resistência a ataques do tipo DoS

ó ç ô

ã

Disponibilidade Absoluta

Page 13: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Page 14: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Outros Requisitos Essenciais

De acordo com a Norma Técnica “Voluntary Voting System Guidelines” (VVSG),

capítulo 7.8 - Independent Verification Systems em:

http://www.eac.gov/assets/1/AssetManager/VVSG_Version_1-1_Volume_1_-_20090527.pd

Ao menos dois registros do voto devem ser produzidos, e um destes deverá ser

armazenado em meio que não possa ser modificado pelo sistema (eletrônico) de

votação, de modo que ambos não estejam sob controle de um processo digital

único

Antes de deixar o local de votação, o eleitor poderá conferir a equivalência entre

os dois registros do seu voto

Os processos de verificação dos registros dos votos devem ser independentes

entre si e, ao menos um deles deve ser conferível diretamente pelo eleitor

Deve haver correlação exata entre os registros do mesmo voto, por meio de

identificadores únicos

Page 15: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Page 16: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Outros Requisitos Desejáveis

Usabilidade - sistema amigável ao eleitor

Direito de Refutação (dentro do local de votação)

Velocidade – na votação e na apuração

Recuperação de erros e retomada desburocratizada

Portabilidade e logística econômicas

Treinamento sempre disponível para eleitor e mesário

Distribuição matricial de equipamentos e seções

Page 17: Fórum Nacional de Segurança em Urnas Eletrônicas

AS TRÊS GERAÇÕES DO VOTO-E – exemplos

ó ç ô

ã

Primeira Geração – Holanda, 1991 DRE- Direct Recording Electronic voting machine

Segunda Geração – Venezuela, 2004 IVVR - Independent Voter-Verifiable Record

VVPAT - Voter-Verifiable Paper Audit Trail

Terceira Geração E2E – End to End – Scantregrity, EUA, 2009

WS – Witness Systems – Previsto na VVSG, 2009

BVE – Boleta de Voto Electrónico – Argentina, 2010

Page 18: Fórum Nacional de Segurança em Urnas Eletrônicas

A confiabilidade dos resultados depende

da confiabilidade do software

Grava o voto diretamente na memória

digital (RDV) e não permite que o eleitor

veja o que foi registrado (gravado) como

sendo o seu voto

Conta os Registros Digitais do Voto (RDV)

sem possibilitar uma auditoria contábil

ó ç ô

ã

Características da Primeira Geração DRE- Direct Recording Electronic voting machine

Page 19: Fórum Nacional de Segurança em Urnas Eletrônicas

A confiabilidade dos resultados NÃO depende da

confiabilidade do software

Registra o voto em duas cópias separadas (digital

e impressa), para conferência pelo eleitor

enquanto estiver no local de votação

Possibilita uma auditoria contábil do resultado

Solução difícil se houver divergência entre o papel

e o registro digital do voto

IVVR - Independent Voter-Verifiable Record

VVPAT - Voter-Verifiable Paper Audit Trail

ó ç ô

ã

Características da Segunda Geração

Page 20: Fórum Nacional de Segurança em Urnas Eletrônicas

A confiabilidade dos resultados NÃO depende da

confiabilidade do software

Registra o voto em duas cópias interconectadas

(uma impressa e outra no chip RFID, embutido na

própria BVE), para conferência pelo eleitor

enquanto estiver no local de votação

Possibilita uma auditoria contábil do resultado

Solução simples de divergência entre o impresso

e o registro digital do voto: vale o impresso!

Características da Terceira Geração BVE – Boleta de Voto Electrónico – Argentina, 2010

ó ç ô

ã

Page 21: Fórum Nacional de Segurança em Urnas Eletrônicas

COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINA

ó ç ô

ã

Conceito / Princípio BRASIL UE2009

VENEZUELA SAES

ARGENTINA Vot-Ar

Gera voto impresso conferível pelo eleitor NÃO SIM SIM

O eleitor pode conferir o conteúdo da gravação digital do seu voto antes de sair do local de votação

NÃO

NÃO

SIM

O fiscal externo pode verificar a igualdade entre os diversos registros do voto

- NÃO SIM

O fiscal externo pode acompanhar e verificar a contagem de votos de cada seção eleitoral

NÃO SIM SIM

Garantia contra a violação do voto causada por um erro não detectado no software

NÃO SIM SIM

Garantia contra a violação do voto causada por reordenação do arquivo dos votos

NÃO NÃO SIM

Page 22: Fórum Nacional de Segurança em Urnas Eletrônicas

COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINA

ó ç ô

ã

Conceito / Princípio BRASIL UE2009

VENEZUELA SAES

ARGENTINA Vot-Ar

Uma modificação ou erro não detectado no software pode causar um erro indetectável no resultado da apuração

SIM NÃO NÃO

Conformidade com a Norma Técnica: Voluntary Voting System Guidelines, Seção 7.8

NÃO SIM SIM

Tempo para publicação na Internet dos resultados por Seção, para fiscalização da Totalização

72 h (2012)

?

2 h (2011)

Conferência da assinatura digital do software feita em equipamento sob controle do fiscal

NÃO ? SIM

Solução simples de diferenças entre o papel e o registro digital do voto

- NÃO SIM

Direito do eleitor refutar o voto impresso - NÃO SIM

Page 23: Fórum Nacional de Segurança em Urnas Eletrônicas

COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINA

ó ç ô

ã

Conceito / Princípio BRASIL UE2009

VENEZUELA SAES

ARGENTINA Vot-Ar

Distribuição matricial de Urnas-E e mesas: o eleitor pode escolher uma urna livre para votar, sem ter que esperar que um eleitor anterior complete seu voto. Menores filas.

NÃO

NÃO

SIM

O eleitor pode escolher a ordem dos cargos a votar NÃO SIM SIM

Adaptação para plebiscitos e outras consultas - disponibilidade de opções "sim", "não", ou outras mais específicas

NÃO SIM SIM

Preparação simplificada, sem introdução de dados diferentes para cada seção/máquina

NÃO NÃO SIM

Troca de equipamento defeituoso e necessidade de recuperação de dados

Lenta SIM

Lenta SIM

Rápido NÃO

Page 24: Fórum Nacional de Segurança em Urnas Eletrônicas

Características:

São capturadas as impressões digitais dos 10 dedos, mas nas urnas são

usadas apenas duas

É capturada a foto do eleitor em alta definição, mas o novo Título de

Eleitor continua sem foto e não é aceito como identificação no momento

da votação.

A identificação de um eleitor só pode ser iniciada quando o eleitor

anterior finalizou seu voto

Segundo o TSE, a expectativa esperada de falso negativo era de 1%

Biometria nas Eleições Brasileiras - sem maquiagem -

ó ç ô

ã

Objetivo: Impedir que outros possam votar no lugar do eleitor verdadeiro

Page 25: Fórum Nacional de Segurança em Urnas Eletrônicas

O que ocorreu em 2010 : os objetivos não foram atingidos

Grandes filas de votação com atrasos de até 5 horas

Taxa média de falso negativo de 7% , com picos de mais de 60%

Não foi realizado o Batimento do Cadastro de Eleitores (verificação de

duplicidades) devido ao alto custo (US$ 3,00 por eleitor)

Continua possível a “Fraude do Mesário”

ó ç ô

ã

Biometria nas Eleições Brasileiras - sem maquiagem -

Page 26: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Biometria nas Eleições Brasileiras - sem maquiagem -

Page 27: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Exemplos Reais de Biometria nas Eleições 2010

Município Seção Eleitoral Votantes Autorizados

por senha % de Falso Negativo

Fechamento da Votação

Marimbondo - AL 43/34 223 145 65% 17:42

Quebrangulo - AL 28/16 270 160 60% 19:59

Igaci - AL 45/64 281 128 47% 22:14

Paço do Lumiar - MA 93/114 263 105 40% 17:42

Paço do Lumiar - MA 93/82 330 112 34% 18:25

Piripiri - PI 11/172 303 83 27% 20:58

Biometria nas Eleições Brasileiras - sem maquiagem -

Page 28: Fórum Nacional de Segurança em Urnas Eletrônicas

A LEI DO VOTO IMPRESSO, A ADI E

O PROJETO DE LEI

ó ç ô

ã

Lei 12.034 aprovada e sancionada em out/2009

Art. 5º - Fica criado, a partir das eleições de

2014, inclusive, o voto impresso conferido

pelo eleitor, garantido o total sigilo do voto ...

Page 29: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Art. 5º Fica criado, a partir das eleições de 2014, inclusive, o voto impresso conferido

pelo eleitor, garantido o total sigilo do voto e observadas as seguintes regras:

§ 1º A máquina de votar exibirá para o eleitor, primeiramente, as telas referentes às

eleições proporcionais; em seguida, as referentes às eleições majoritárias; finalmente,

o voto completo para conferência visual do eleitor e confirmação final do voto.

§ 2º Após a confirmação final do voto pelo eleitor, a urna eletrônica imprimirá um

número único de identificação do voto associado à sua própria assinatura digital.

§ 3º O voto deverá ser depositado de forma automática, sem contato manual do

eleitor, em local previamente lacrado.

§ 4º Após o fim da votação, a Justiça Eleitoral realizará, em audiência pública,

auditoria independente do software mediante o sorteio de 2% (dois por cento) das

urnas eletrônicas de cada Zona Eleitoral, respeitado o limite mínimo de 3 (três)

máquinas por município, que deverão ter seus votos em papel contados e comparados

com os resultados apresentados pelo respectivo boletim de urna.

§ 5º É permitido o uso de identificação do eleitor por sua biometria ou pela digitação

do seu nome ou número de eleitor, desde que a máquina de identificar não tenha

nenhuma conexão com a urna eletrônica.

Lei do Voto Impresso 12.034 - out/2009

Page 30: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

Nov/10 – Presidente do TSE apresenta vídeo contra o Art. 5º da Lei

12.034/09 ao Colégio de Presidentes de Tribunais Eleitorais

Dez/10 – TSE compra mais de 300 mil UE em desacordo com a lei

Jan/11 – CPTE representa ao MP que abre a ADI 4543 tendo a

Presidente do TSE como Relatora no STF

2011 – AGU, Câmara, Senado e PDT defendem a lei

Out/11 – Ministros do STF/TSE suspendem a lei, ignorando as defesas e

até provas contrárias, tornando “legais” as 300 mil irregulares que

compraram

Abr/13 – Lei continua suspensa, aguardando julgamento do mérito

Ação Direta de Inconstitucionalidade

ADI 4543 - jan/2011

Page 31: Fórum Nacional de Segurança em Urnas Eletrônicas

Set/11 – Um Senador e um Deputado apresentam dois projeto de lei

idênticos, que receberam da Presidente do TSE, para revogar o Art. 5º da

Lei 12.034/09

Out/11 – Presidente do TSE e demais ministros do TSE/STF suspendem

“provisoriamente” a lei, mas não julgam o mérito

Mar/13 – Parecer do Relator na CCJC da Câmara pela injuridicidade do

Projeto de Lei

Abr/13 – Aguardando votação na CCJC

Projeto de Lei 2789/11 na

Câmara dos Deputados

Page 33: Fórum Nacional de Segurança em Urnas Eletrônicas

ó ç ô

ã

“É chegada a hora da sociedade civil brasileira debater o voto eletrônico, sob pena de deixarmos para nossos filhos um arremedo de democracia onde a Inviolabilidade do Voto não é garantida, o eleitor não pode verificar para quem foi dado o seu voto e não se permite fiscalizar a apuração ... como já está ocorrendo agora.” Amílcar Brunazo Filho: in Simpósio de Segurança em Informática, ITA, 1999

15 anos atrás ...

Page 34: Fórum Nacional de Segurança em Urnas Eletrônicas

BRAVA GENTE BRASILEIRA!

LONGE VÁ.... TEMOR SERVIL

DEFENDA SEUS DIREITOS.

LUTE PELA TRANSPARÊNCIA ELEITORAL.

EXIJA SABER PARA QUEM SEU VOTO FOI CONTADO.

SE VOCÊ NÃO FIZER, NINGUÉM FARÁ POR VOCÊ!

ó ç ô

ã