Uma abordagem sobre o ScantegrityYuri do Amaral Nobre Maia Instituto de Cincias Exatas Universidade de Braslia (UnB) Departamento de Cincia da Computaomaiayuri@hotmail.com

Resumo. Abordagem em cima do Scantegrity I, mostrando como utiliz-lo de maneira simples e de baixo custo. Trata-se de um sistema de votao que permite a verificao pelo eleitor do seu voto. O sigilo da identificao do leitor mantido, assim como a integridade do seu voto. So apresentados dados relativos s eleies norte-americanas. Inicialmente so tratados outros sistemas menos evoludos por assim dizer.

1. IntroduoPara muitos, temos, nas eleies, o pice da democracia. esse o momento em que se v a democracia sendo exercida. A eleio do representante escolhido pelo povo. No entrando no mrito da discusso, as fraudes nas eleies so constantes e sabidas, porm so ignoradas como um todo. Considere apenas o caso do Brasil. No incio da democracia, tinha-se o voto em papel, em que tal voto era depositado em uma urna. O eleitor possua controle sobre o voto, no sentido que o voto depositado expressava sua inteno de voto (desconsiderando, aqui, a compra do voto ou at mesmo a coero). Terminado esse primeiro momento, os votos eram apurados, fazendo-se a contagem do que se estava marcado ou escrito no papel. O total decidia quem era o mais eleito. Os votos, ento, expressavam a exata inteno do povo? No. H um vcuo entre a deposio da cdula e a contabilizao que pode sair do controle. Urnas furtadas, cartelas fraudadas, inseridas ou removidas so alguns exemplos de fraudes que invalidam a primeira afirmao. no meio desse incrdulo cenrio que apareceu a tecnologia como panacia. Uma vez informatizado o sistema de votao, parecia impossvel as fraudes quem antes ocorriam. A malandragem, porm, tomou outra face. No mais feita descaradamente, mas encontra-se no imaterial. Encontra-se nos bits da urna eletrnica. A falta de auditoria dos softwares permite manipulao em massa dos votos. Urge a necessidade de uma verificao dos votos.

2. Sistemas de 1 e 2 geraoA informatizao do processo eleitoral trs muitas vantagens indiscutveis. Vantagens essas que trazem consigo reveses. A agilidade permite a apurao do voto em menos de 24 horas. Essa rapidez s existe em trs pases. Alm do mais, assegurado que a urna inviolvel, e, logo, o eleitor pode relaxar e confiar que o voto dele no ser alterado depois de realizado. Os sistemas de 1 gerao se encaixam perfeitamente no caso descrito. Os sistemas de 1 gerao atuam da seguinte forma. O eleitor vai ao seu local de votao. Com

seus documentos, confirma sua identificao e habilitado a votar. De frente urna, digita seu voto para o candidato escolhido. Finalizada a votao, recebe seu recibo de voto (apenas garantindo de que foi o voto foi realizado). Em seguida, aps terminada a votao, a urna faz a apurao, imprimindo o boletim da urna. A totalizao dos votos feita sobre os boletins de urna, gerando o resultado. Essa a urna conhecida como DRE (Direct-Recording Machines).

Figura 1. Custdia do voto em um sistema de 1 gerao.

As falhas desse tipo de urna so gritantes. Uma vez os votos digitalizados, no h como verificar a correo dos mesmos. No h sequer como pedir recontagem dos votos. tudo dependente do software. O software dentro da urna possui o controle total sobre o voto. Ao eleitor, no dada nenhuma contra-argumentao da possvel invalidez do seu voto. A auditoria do software no permitida para no ser injusto, permitida sobre duras condies garantindo isso. Para que fosse verdade inviolabilidade do voto, ter-se-ia que existirem programadores incorruptveis. O software deveria ser produzido por pessoas impassveis de influncia do processo. O que no verdade. Assim, cria-se uma forma sistematizada de conturbao dos votos. Chega o momento que o voto precisa ser rastreado pelo eleitor. Tendo em visto o cenrio anterior, os sistemas de 2 gerao trazem uma proposta de eliminao do problema da no verificabilidade. Possibilita-se, por meio fsico, a verificabilidade do voto. O eleitor pode, ento, certificar-se de que o voto feito foi realmente aquele que foi contabilizado pela mquina. Uma fraude eleitoral pode ser detectada. Caso seja pedida uma recontagem e a totalizao dos votos pelo papel difira do resultado do boletim da urna, verifica-se a fraude. A introduo do papel permite a interpretao direta do voto pela pessoa. uma maneira legvel para qualquer pessoa. Diferentemente do voto armazenado na memria do computador. Nesse sistema, todavia, voltam s velhas fraudes existentes no antigo voto de papel, que possibilita a troca da urna ou mesmo o extravio dela. Os votos so coletados, mas ainda no se h a garantia de que os votos contados so os mesmos dos coletados. A informatizao acrescenta apenas um empecilho extra. A constatao da fraude tambm no permite verificar qual das vias foi fraudada, se a urna eletrnica ou os comprovantes de papel. As urnas VVPT (Voter-Verifiable Paper Trail) so desse tipo. o tipo de urna recomendada pelo Voluntary Voting System Guidelines da Election Assistance Commission desde 2005. adotada nos Estados Unidos da Amrica, na maioria dos estados, valendo-se de leitores pticos para a leitura das cdulas. A eficincia do sistema mostra seu valor por todas as votaes j realizadas com esse sistema.

Figura 2. Custdia do voto em um sistema de 2 gerao.

A 2 gerao j um avano importante sobre a 1 gerao. O fato de existir o voto tangvel ao eleitor para posterior verificao do voto mostra essa evoluo. No h ainda, entretanto, a garantia de que os votos coletados so os mesmos dos contados, pois h uma parte de pouco controle no processo, que aquela que envolve a manipulao das urnas. Um novo esquema precisa ser elaborado de forma a garantir o mesmo. A informatizao vem como meio para acelerar o processo e agora tambm para garantir esse esquema. Apesar de o esquema poder ser implementado totalmente com papel e caneta, a agilidade um ponto crucial e o preo a ser pago, talvez, compense.

3. Sistemas de 3 geraoTambm conhecidos por E2E (End-to-End voter verifiable), so os sistemas de votao com propriedades de integridade e sigilo. Da forma como so construdos, permitem a verificao pelos votantes de que os votos no foram modificados sem revelar quais foram os candidatos votados. Assim como as urnas VVPT, possuem duas vias o software e a cdula de verificao. Apresenta a diferena de o eleitor receber um recibo de seu voto. Com tal, pode ser feita a verificao de fim-a-fim do voto, garantindo que o voto marcado o voto contado. O recibo adiciona outra propriedade importante, que a possibilidade de se identificar em uma auditoria qual das duas vias que foi modificada, o que no possvel nos sistemas de 2 gerao. A principal diferena encontra-se na cdula. O sistema E2E emprega uma cdula que possuir cdigo de verificao. Esse cdigo de verificao ser dado ao eleitor como recibo. O recibo permite ao usurio verificar se o seu voto est de acordo com a sua inteno, sem, entretanto, ligar diretamente a inteno do voto ao candidato. Assim qualquer pessoa pode verificar os votos, porm no saber em quem foi votado, assegurando o sigilo. As caractersticas do sistema permite a implementao de diversas formas, muitas delas de baixo custo. A votao pode ser feita inteiramente com papel e caneta, sem valer de qualquer artifcio criptogrfico, por conseguinte, matemtico e talvez obscuro para um leigo. O uso da criptografia, todavia, recomendado, tendo em vista que a automao agiliza o processo ao custo de reduo muito pequena da confiabilidade do processo como um todo. A seguir, apresentada uma implementao de um sistema E2E. Esse sistema feito sobre a votao norte-americana. O sistema foi projeto de maneira tal que o sistema de votao no se precisasse ser modificado. Algumas adies so feitas cdula utilizada. A partir dos dados, feito o uso de criptografia para garantir o sigilo. A verificao disponibilizada online. As implementaes utilizam a linguagem Java,

softwares livres e protocolos abertos, o que permite a qualquer pessoa poder fazer uma implementao para a verificao. Os custos, tanto de implementao quanto operacionais, so baixos quando dividido por todos os contribuintes, ficando abaixo de U$1,00. Vale ressaltar que tal sistema pode ser empregado no Brasil. A resistncia quanto mudana no processo de votao talvez causasse desconforto nos eleitores. A tecnologia, contudo, j disponvel no pas, no sendo, por exemplo, necessrio um leitor ptico diferente dos utilizados para a maioria dos concursos pblicos aplicados atualmente.

4. ScantegrityO Scantegrity foi um sistema proposto por David Chaum, Aleks Essex, Richard Carback, Alan Sherman, Jeremy Clark, Stefan Popoveniuc e Poorvi Vora. Consiste de um aperfeioamento do sistema de votao por escaneamento ptico para auditabilidade da custdia do voto. O incremento concede ao sistema de votao a propriedade dos sistemas E2E. Ele usa cdigos de confirmao que permitem ao votante testar se a cdula no foi modificada na totalizao dos votos. Os cdigos so escolhidos de forma a no se poder revelar o candidato a partir do cdigo. O recibo, ento, pode ser mostrado sem comprometer o sigilo do voto. O Scantegrity j possui duas implementaes. A primeira, aqui abordada, utiliza um nmero de srie para cada cdula. A segunda (Scantegrity II) baseada em um cdigo de verificao escrito com tinta invisvel, que reage com uma tinta especial. Esse cdigo revelado apenas quando marcada a cdula. 4.1. Scantegrity I: End-to-End Voter Verifiable Optical-Scan Voting Essa foi a primeira implementao do Scantegrity. A primeira parte relevante consiste na cdula. Cada cdula possui em um dos cantos um cdigo de barras destacvel. O destaque feito tal que parte do cdigo permanea na cdula e parte possa ser levada pelo votante, como na figura 3. A marcao feita para que cada candidato possua uma regio a ser preenchida e uma letra que corresponder quele candidato naquela cdula. A escolha da letra deve se aleatria, de forma que no se possa estabelecer uma relao entre letra e candidato. O recibo consistir no destaque da cdula somado letra do candidato votado. Para posterior verificao, a letra correta para um cdigo indica que o voto foi corretamente escaneado. Caso a letra difira, o votante pode contestar os registros, iniciando assim um processo.

Figura 3. Cdula de votao do Scantegrity I. esquerda, a cdula no preenchida. direita, a cdula com o voto, destacando o recibo e a letra.

A segunda parte do processo ser a verificao independente. Qualquer pessoa pode usar os registros pblicos dos votos para avaliar a contagem dos votos. Essa

verificao no deve ligar uma letra a um candidato, de modo que o sigilo do voto seja mantido. Para garantir que no haja essa relao, o Scantegrity utiliza uma permutao secreta das marcaes. O esquema funciona como embaralhar um baralho de cartas. Um quadro de distribuies uma coleo de circuitos estabelecidos entre a regio de marcao da cdula e um candidato. O responsvel passar cada cdula pela tabela de distribuies para obter os votos correspondentes a cada candidato para obter o resultado.

Figura 4. Exemplo do quadro de distribuies.

A auditabilidade desse quadro pode ser feita da seguinte maneira. Inicialmente, so criadas as cdulas e o quadro de distribuies. Os dados so secretos, porm so publicados um compromisso sobre eles. Esse compromisso pode ser, por um exemplo, o hash do quadro utilizando uma funo confivel de conhecimento pblico. Assim, qualquer entidade pode verificar a corretude do quadro. O segredo publicado de duas maneiras: revelao completa do segredo seguida do descarte da informao para a eleio; e revelao parcial da informao, suficiente para verificao, mas insuficiente para revelar o segredo. A primeira forma serve para verificar que a letra est sendo corretamente associada ao candidato. Escolhem-se aleatoriamente metade das cdulas, juntamente com seus cdigos verificadores e conexes no quadro de distribuies. Isso permite observar se o quadro est realizando corretamente a rota para as cdulas, se escolhidas randomicamente. Essas cdulas so descartadas para a votao. Esse teste deve ser aplicado antes das eleies. Aps a contagem, a segunda tcnica aplicada para fazer auditoria no quadro de distribuies. Nela, o quadro deve ser divido em duas redes aleatrias, de forma que a primeira faa a ligao entre um nmero de srie de uma cdula e a sua marcao e a segunda faa a ligao entre uma marcao e o resultado do voto. revelada, ento, apenas uma das duas rotas para marcao. Os dois no podem ser revelados, pois quebraria o sigilo do voto. Escolhidas randomicamente, qualquer ente pode verificar se a marcao permaneceu inalterada em uma das redes. Somadas as duas tcnicas, temos como resultado a integridade do voto garantida na totalizao dos votos. Os testes funcionam no mesmo intuito de um mtodo de

Montecarlo. Caso qualquer um dos testes falhe, pode-se desacreditar no sistema para aquela urna, considerando-a adulterada. A terceira parte envolve a resoluo de contestaes. Ao fazer um voto, o eleitor pode escrever outra letra, que no a que corresponde ao seu voto, equivocadamente. O Scantegrity prov um mtodo para verificao do voto para revelar se a discrepncia entre o apresentado pelos registros pblicos e a letra escrita foi do eleitor ou do escner. A verificao feita em dois passos. Primeiramente, funcionrio responsvel pegar a cdula original em um invlucro que mostra o cdigo de verificao, mas no o contedo da cdula. O destaque do eleitor comparado com a cdula. Caso necessrio, pode ser feita uma anlise forense para determinar se as fibras dos papis batem. A segunda parte deve revelar as letras das marcaes da cdula, porm sem revelar os candidatos associados. A cdula deve, ento, ser colocada em um segundo invlucro, que mostrar as marcaes e no mostrar os nmeros de srie. O responsvel anotar as posies das letras marcadas. O invlucro depositado em uma caixa. So escolhidas outras cdulas falsas com as mesmas posies de letras, porm associadas a outros candidatos, sendo todas depositadas na mesma caixa. A caixa misturada. Cada invlucro , ento, colocado a vista de todos. A cdula do eleitor estar em meio a estas. Assim, mostra-se que a marcao feita a mesma dos registros sem identificar o candidato da mesma. Assim, qualquer contestao pode ser resolvida, pois revelar se o erro est no leitor ou no eleitor. Como qualquer outro sistema, o Scantegrity no 100% protegido contra possveis fraudes e/ou ataques. A segurana contra esses por parte de um agente maior no Scantegrity do que em vrios outros sistemas de votao. Algumas das falhas so as que seguem. Um agente com determinado nvel de acesso s cdulas pode obter as cdulas e compar-la com os destaques. Assim, o agente pode coagir o eleitor a votar em determinada letra.

5. ConclusoO sistema de votao brasileiro notadamente inadequado. Sistemas de 1 gerao excluem o eleitor do processo, de forma a manipular os votos em massa. O eleitor no possui qualquer meio para verificao do seu voto. O credo na boa-f do software leva ao engano geral, causando forte deturpao da democracia. O Scantegrity um exemplo de sistema de votao que reduziria significativamente a possibilidade de fraude. A sua implementao simples. Naes com maior histria de democracia j apresentam votaes utilizando esse sistema. Os custos de implementao so baixos, como mostrados em outros artigos. Falta apenas vontade poltica para descartar o sistema obsoleto atual.

7. References1. CHAUM, D. et al. Scantegrity: End-to-End Voter Verifiable Optical-Scan Voting Junho de 2008. Disponvel em: http://www.scantegrity.org/papers/scantegrityIEEESP.pdf

2. Scantegrity. Artigo da Wikipedia. Disponvel em: http://en.wikipedia.org/wiki/Scantegrity 3. REZENDE, P. Quais as vantagens e desvantagens no uso da urna eletrnica? [1 de dezembro, 2010]Entrevista concedida a Raphael Oliveira. Disponvel em: http://www.cic.unb.br/~pedro/trabs/entrevistaIPA.html 4. REZENDE, P. Votao Eletrnica, 3 Gerao. Disponvel em: http://www.cic.unb.br/~pedro/trabs/TSE3G.pdf 5. BRUNAZO, A. Critrios para Avaliao da Segurana do Voto Eletrnico. Florianpolis. Maro. 2001. Disponvel em: http://www.cic.unb.br/~pedro/trabs/eurna.htm#topo 6. How Scantegrity Works. Vdeo. 2009. Disponvel em: http://video.google.com/videoplay?docid=7963759819804190312&hl=ptBR&emb=1 7. Scantegrity II. Vdeo. 2009. Disponvel em: http://video.google.com/videoplay?docid=8076006835879145687&hl=ptBR&emb=1 8. End-to-End auditable voting systems. Artigo da Wikipedia. Disponvel em: http://en.wikipedia.org/wiki/End-to-end_auditable_voting_systems