
Recentemente, tivemos eleições nos Estados Unidos e também do Brasil. Enquanto nos EUA a votação foi feita utilizando o papel como principal meio para registrar o desejo do povo, no Brasil há mais de 20 anos usamos as urnas eletrônicas. Nos EUA, a apuração demorou dias. No Brasil, mesmo com atraso de algumas horas, o resultado saiu praticamente no mesmo dia.
Qual o melhor sistema de votação para garantir que o voto seja registrado de acordo com a vontade do eleitor?
Em um artigo recente publicado por pesquisadores do Massachusetts Institute of Technology (MIT) (PARK; SPECTER; NARULA; RIVEST, 2020)[1], foi analisado o uso de uma solução para votação online, via internet, usando a tecnologia de blockchain[2]. Cabe destacar que esta é uma solução diferente da usada atualmente no Brasil, que se utiliza de uma rede privada e exclusiva para a transmissão dos dados de votação.
Nesse artigo, os pesquisadores argumentam que as eleições devem ser baseadas em evidências, ou seja, as eleições devem não somente definir o vencedor, mas também convencer o eleitorado com evidências da vitória. Assim, o sistema eleitoral deve ser auditável, criando evidências que possam ser verificadas, e, mais, que cada eleição deve ser auditada, ou seja, que as evidências sejam realmente verificadas após as eleições.
Para cumprir essa condição de auditável + auditada, os pesquisadores elencaram cinco requisitos mínimos e não suficientes para uma eleição segura baseada em evidências: (i) garantia de voto secreto; (ii) independência de software (ou seja, uma mudança não detectada ou erro no software não pode causar uma mudança indetectável no resultado da eleição); (iii) possibilidade de verificação do registro do voto pelo eleitor (o eleitor deve ser capaz de certificar-se que sua vontade foi corretamente registrada no meio de registro do voto); (iv) contestabilidade (fornecer evidências publicamente verificáveis de que o resultado da eleição não é confiável, sempre que um erro é detectado) e (v) auditoria (certificar-se de que as evidências são confiáveis e consistentes para validação do resultado da eleição).
- +JOTA: Tudo sobre eleições
Pois bem, os pesquisadores do MIT concluem que o uso de cédulas de papel, sejam em votação presencial ou as enviadas pelo correio, são menos suscetíveis a ataques em grande escala em comparação com a votação eletrônica, onde a exploração de uma única vulnerabilidade pode afetar todas as cédulas de uma só vez. E que o uso da tecnologia de blockchain aumentaria ainda mais a vulnerabilidade, uma vez que o requisito de independência de software seria o mais afetado.
Ou seja, uma falha ou um ataque poderia alterar o voto de um ou muitos eleitores, de forma indetectável, alterando o resultado da eleição. Com a cédula em papel, o eleitor teria a evidência física de que sua vontade foi corretamente registrada. Para os pesquisadores, os sistemas de votação online são vulneráveis a falhas graves – ataques em maior escala, mais difíceis de detectar e de execução menos complexa – do que ataques contra sistemas de votação baseados em cédulas de papel. A tabela a seguir ilustra a conclusão da análise, classificando em quatro categorias os sistemas de votação:
Tabela 1 – Categorias dos sistemas de votação
Votação Presencial | Votação Remota | |
Cédulas de papel verificáveis pelo eleitor | Em locais de votação | Por correio |
Cédulas não verificáveis ou votação eletrônica | Equipamentos de votação (urnas eletrônicas) | Internet/mobile/blockchain |
Fonte: Adaptado de Park, Specter, Narula e Rivest (2020)
A tabela é autoexplicativa – a linha superior é independente de software e menos vulnerável a falhas graves do que a linha inferior. E a votação presencial é ainda mais confiável do que a votação remota.
Trazendo para o sistema de votação brasileiro, que usa votação presencial em urnas eletrônicas, segundo o artigo dos pesquisadores do MIT, estaríamos no segundo pior cenário. E com a divulgação de que o Tribunal Superior Eleitoral (TSE) foi alvo de ataques cibernéticos, a desconfiança, que existe desde que a urna eletrônica foi introduzida mesmo sem que nenhuma fraude tenha sido comprovada, aumentou ainda mais. Contudo, isso não reflete a realidade do sistema de votação eletrônica do Brasil, pelas razões que discorrerei a seguir.
Inicialmente, cabe ponderar sobre a segurança das urnas eletrônicas brasileiras. O TSE organiza um evento chamado Teste Público de Segurança (TPS) desde 2009, um ano antes das eleições.
No TPS, investigadores e especialistas verificam os mecanismos de segurança implementados no sistema de votação, com o objetivo de encontrar vulnerabilidades e sugerir correções. O último TPS foi realizado em 2019 e teve os seguintes achados e o tratamento proposto pelo TSE ((BRASIL, 2019):
Tabela 2 – Problemas detectados no TPS de 2019
Item | Achado | Ação de mitigação realizada pelo TSE |
A. | Chaves do disco criptografado do SIS (Subsistema de Instalação e Segurança) disponível no ambiente de inspeção de código | 1. Segregação das chaves contidas no código-fonte em headers (arquivos) separados (C[3]). 2. Retirada das chaves contidas no código-fonte (M). |
B. | Execução do SIS em máquina virtual | 1. Detecção e bloqueio via driver em espaço de kernel (M). |
C. | Criação de dumps de memória[4] | 1. Impedir dumps de hibernação (M). 2. Impedir dumps de crash (M). 3. Analisar paginação de memória (L) |
D. | Superação dos controles de acesso do SIS | 1. Montagem da unidade criptografada sob demanda (M). 2. Autenticação entre SIS e sistema Gerenciador de Dados, Aplicativos e Interface com a Urna Eletrônica (Gedai-UE). (M) |
E. | Modificação de dados no sistema Gerenciador de Dados, Aplicativos e Interface com a Urna Eletrônica (Gedai-UE), para a urna | 1. Redução do conjunto de dados gravados em arquivos pelo Gedai-UE – uso de dados previamente assinados sempre que possível (M). 2. Assinatura do banco de dados SQLite do Gedai-UE (C). |
F. | Execução do Gedai-UE em máquina virtual | 1. Detecção e bloqueio de execução na aplicação (M). |
G. | Execução do Gedai-UE sob debugger[5] | 1. Detecção e bloqueio de execução na aplicação (M). |
H. | Acesso a chaves criptográficas do Gedai-UE | 1. Mecanismo de proteção por software (M). 2. Mecanismo de proteção por hardware (P). |
I. | Perda de comunicação com o teclado do terminal do eleitor | 1. Detecção e alerta ao operador (M). |
J. | Sinal sonoro do fim de votação usado para outros fins | 1. Substituição dos sinais sonoros coincidentes com o fim de votação (C). |
Fonte: Adaptado de Brasil (2019).
Após a realização do TPS, o TSE iniciou a implementação das melhorias e correções elencadas na tabela anterior e fez um novo evento para confirmação das melhorias pelos investigadores responsáveis pela identificação dos problemas. O Relatório Final da Comissão Avaliadora confirmou que as alterações efetuadas pela equipe técnica do TSE “atenderam plenamente a melhoria dos quesitos de vulnerabilidade de segurança apontados pelos investigadores”[6].
Após o TPS, aproximadamente um mês antes da votação, os softwares são instalados na urna eletrônica e ela é lacrada matematicamente, utilizando assinatura digital que garante a autenticidade dos softwares, e também é gerado um resumo digital (hash), que possibilita que qualquer alteração possa ser identificada, pois esse resumo gerado é único[7].
E será que a urna eletrônica brasileira cumpre os cinco requisitos mínimos para eleição segura baseada em evidências, listados pelos pesquisadores do MIT (PARK; SPECTER; NARULA; RIVEST, 2020)?
O primeiro requisito listado é a garantia de voto secreto. Para isso, a urna possui um software que embaralha a ordem de votação, evitando que se identifique em quem cada eleitor votou. Esse software teve uma falha identificada no TPS de 2012 e foi aperfeiçoado e corrigido, sendo testado novamente dos TPS seguintes, que comprovaram sua robustez e segurança[8].
O segundo requisito é a independência de software, ou seja, um erro ou mudança não detectada no software não pode causar uma mudança indetectável no resultado da eleição. Aqui, como já abordamos anteriormente, entra a lacração digital dos softwares da urna, com a geração de um hash. A partir daí, qualquer alteração nos softwares instalados altera o hash e, consequentemente, permite a identificação de que o sistema pode ter sido comprometido. Se isso acontecer, a Justiça Eleitoral pode tomar as ações de contingência[9] para que a eleição transcorra normalmente.
Em relação à possibilidade de verificação do registro do voto pelo eleitor, terceiro requisito, quando o eleitor digita o número do seu candidato é exibida a foto e o nome, para que ele possa verificar e confirmar. Além disso, cada voto é gravado em um arquivo chamado Registro Digital do Voto (RDV)[10], de forma aleatório, assinado digitalmente pela urna. É com base no RDV que é emitida a zerésima no início da votação, confirmando que não há nenhum voto registrado na urna. Ao final da votação, o Boletim de Urna (BU) é gerado tendo como base o RDV, sendo o relatório com a apuração dos votos da seção.
Desta forma, o RDV gera a evidência necessária para que a eleição possa ser auditada, se necessário, pois o voto é registrado exatamente como digitado pelo eleitor. Além disso, o RDV garante o sigilo do voto, pois cada voto é registrado no RDV de forma aleatório, embaralhada e não na sequência de votação dos eleitores. Cópias do RDV podem ser fornecidas aos partidos políticos e coligações, para que eles possam realizar verificações que considerarem pertinentes. Com isso, o RDV também endereça o quarto requisito, a contestabilidade do processo, pois há evidências que podem ser utilizadas para validar o resultado do pleito.
O quinto requisito seria a possibilidade de auditoria. Além da possibilidade de auditoria eletrônica, utilizando-se dos arquivos RDVs das urnas, os Tribunais Regionais Eleitorais (TREs) de cada Estado realizam um procedimento chamado de Auditoria de Funcionamento das Urnas Eletrônicas[11] (Votação Paralela). Nesse processo, os TREs, no dia anterior à eleição, sorteiam algumas urnas já preparadas para a votação oficial para que seja feita uma votação paralela. As urnas sorteadas são levadas para o TRE.
No dia da eleição, cédulas de votação em papel preenchidas por representantes de partidos e entidades são registrados na urna eletrônica e em um sistema à parte. Após a votação, é feita uma comparação entre o resultado da urna eletrônica e da votação em papel, certificando que a votação eletrônica é fidedigna. Todo o processo é aberto ao público, gravado e com acompanhamento de uma auditoria independente.
Ademais, cabe destacar que a urna eletrônica em uso no Brasil trabalha sem conexão à Internet ou qualquer rede de computadores (off-line), praticamente eliminando a possibilidade de ataque externo durante a votação. O resultado de cada urna é transmitido por uma rede privada do TSE, de forma a minimizar qualquer risco inerente à rede mundial de computadores, como as falhas graves – ataques em maior escala, mais difíceis de detectar e de execução menos complexa – dos sistemas de votação online, citados pelos pesquisadores do MIT.
Assim, diante do exposto, podemos concluir que a urna eletrônica utilizada no Brasil é um expoente caso de sucesso, que permite que os cidadãos possam exercer seu direito de voto com segurança e contribui para que o resultado seja conhecido com a rapidez e confiabilidade que só a tecnologia permite.
O episódio 45 do podcast Sem Precedentes trata de dois julgamentos que irão começar no Supremo Tribunal Federal (STF) e que interferem diretamente nas relações da Corte com o governo Bolsonaro e o Congresso Nacional. Ouça:
————————–
Referências bibliográficas
BRASIL. Secretaria de Tecnologia da Informação. Tribunal Superior Eleitoral. Vulnerabilidades e sugestões de melhorias encontradas no Teste Público de Segurança 2019. Brasília: Justiça Eleitoral, 2019. Disponível em: https://www.justicaeleitoral.jus.br/tps/arquivos/tps_2019_relatorio_tecnico.pdf. Acesso em: 20 nov. 2020.
BRASIL. TRIBUNAL DE CONTAS DA UNIÃO. . Sumário Executivo: Levantamento da tecnologia blockchain. Brasília: TCU, 2020. 46 p. Disponível em: https://portal.tcu.gov.br/data/files/59/02/40/6E/C4854710A7AE4547E18818A8/Blockchain_sumario_executivo.pdf. Acesso em: 20 nov. 2020.
COIMBRA, Rodrigo Carneiro Munhoz. Por que a urna eletrônica é segura. Revista Eletrônica EJE, Brasília, Ano 4, n. 6, out.-nov. 2014. Disponível em: https://www.tse.jus.br/o-tse/escola-judiciaria-eleitoral/publicacoes/revistas-da-eje/artigos/revista-eletronica-eje-n.-6-ano-4/por-que-a-urna-eletronica-e-segura. Acesso em: 20 nov. 2020.
PARK, Sunoo; SPECTER, Michael; NARULA, Neha; RIVEST, Ronald L.. Going from Bad to Worse: From Internet Voting to Blockchain Voting. Cambridge, 06 nov. 2020. Disponível em: https://people.csail.mit.edu/rivest/pubs/PSNR20.pdf. Acesso em: 19 nov. 2020.
[1] PARK, Sunoo; SPECTER, Michael; NARULA, Neha; RIVEST, Ronald L.. Going from Bad to Worse: From Internet Voting to Blockchain Voting. Cambridge, 06 nov. 2020. Disponível em: https://people.csail.mit.edu/rivest/pubs/PSNR20.pdf. Acesso em: 19 nov. 2020.
[2] Segundo a Organização para a Cooperação e Desenvolvimento Econômico (OCDE), a tecnologia blockchain é uma forma de tecnologia distribuída de livro-razão, a qual atua como um registro (uma lista) aberto e autenticado de transações de uma parte para outra (ou múltiplas partes), que não são armazenadas por uma autoridade central. Em vez disso, cada usuário armazena uma cópia local do livro-razão, executando um software blockchain conectado a uma rede blockchain – também conhecido como nó.
Ao invés de uma autoridade central manter exclusivamente a base de dados, todos os nós têm uma cópia do livro-razão, sendo que as atualizações do livro-razão blockchain são propagadas através da rede em minutos ou segundos. (BRASIL, 2020)
[3] Segundo a STI do TSE, os prazos para implementação das correções propostas são listados a seguir:
(C) – Curto prazo: conclusão até a primeira quinzena de janeiro/2020.
(M) – Médio prazo: conclusão até o Teste de Confirmação (final de abril/2020).
(L) – Longo prazo: conclusão até a lacração das Eleições 2020.
(P) – Pós 2020: conclusão após a lacração das Eleições 2020 (tratam-se de evoluções mais robustas sobre as ações anteriores).
[4] É quando é feito uma cópia em disco do conteúdo da memória em um determinado momento da execução do programa. Em geral isto é feito em um momento de erro.
[5] Debugger é um programa de computador usado para testar outros programas com o objetivo de encontrar os defeitos do programa.
[6] https://www.tse.jus.br/imprensa/noticias-tse/arquivos/tse-relatorio-final-comissao-avaliadora-tps/rybena_pdf?file=https://www.tse.jus.br/imprensa/noticias-tse/arquivos/tse-relatorio-final-comissao-avaliadora-tps/at_download/file
[7] https://www.tse.jus.br/eleicoes/urna-eletronica/seguranca
[8] https://www.justicaeleitoral.jus.br/arquivos/perguntas-mais-frequentes-sistema-eletronico-de-votacao/rybena_pdf?file=https://www.justicaeleitoral.jus.br/arquivos/perguntas-mais-frequentes-sistema-eletronico-de-votacao/at_download/file
[9] tse.jus.br/eleicoes/urna-eletronica/seguranca-da-urna/procedimentos-de-contingencia
[10] https://www.tse.jus.br/eleicoes/urna-eletronica/seguranca-da-urna/registro-digital-do-voto
[11] https://www.tse.jus.br/legislacao/compilada/res/2019/resolucao-no-23-603-de-12-de-dezembro-de-2019