Para o professor, a adoção do voto impresso é positiva como ferramenta para neutralizar rapidamente discursos de "alegações vazias de fraude" como o de Bolsonaro ou o adotado pelo ex-presidente americano Donald Trump, após perder a eleição para Joe Biden no ano passado.
Ele ressalta, porém, que jamais defendeu que todos os registros sejam contados um a um pelo Brasil, como propõem os bolsonaristas. Além disso, Aranha reforça que a implementação do voto impresso teria que ser gradual, começando com testes em poucas urnas, sendo impossível sua adoção segura para a eleição presidencial de 2022.
Quando era professor da Universidade de Brasília (UnB) e da Universidade Estadual de Campinas (Unicamp), Aranha participou de testes de segurança das urnas eletrônicas promovidos pelo Tribunal Superior Eleitoral (TSE) em 2012 e 2017. Na ocasião, equipes coordenadas por ele identificaram vulnerabilidades no sistema, posteriormente corrigidas pela Corte.
Foi essa experiência que o tornou defensor do voto impresso, recurso que é usado em outros países com sistema eletrônico, como Índia e parte dos Estados Unidos. Já o TSE afirma que o sistema brasileiro tem inúmeras etapas de segurança e auditagem, que asseguram a integridade das eleições.
Além de criticar os bolsonaristas, Aranha também faz ressalvas à atuação da Corte Eleitoral, como a postura de negar as evidências técnicas de vulnerabilidade produzidas nos testes.
A proposta do voto impresso se tornou nas últimas semanas o epicentro de uma crise institucional, com Bolsonaro atacando ministros do TSE e do Supremo Tribunal Federal. Em reação, as duas Cortes abriram investigações contra ele, uma delas com potencial de barrar o presidente da eleição de 2022.
Nesta terça-feira (10/08), uma proposta de emenda à Constituição (PEC) deve ser votada na Câmara dos Deputados para tentar implementar o voto impresso no próximo pleito, mas a expectativa é que será rejeitada.
BBC News Brasil - O senhor é um antigo defensor do voto impresso, mas tem criticado a forma como a pauta é defendida por Bolsonaro e seus apoiadores. Gostaria que explicasse o que é o voto impresso que defende e por que considera que essa mudança seria positiva.
Diego Aranha - Essa é uma questão que foi discutida por um bom tempo na comunidade técnico-científica, e aí eu incluo tanto a prática internacional do voto eletrônico, mas também pesquisadores de outros países que trabalham no tema, e nós adotamos uma definição chamada princípio de independência do software.
Então, o sistema de votação é considerado transparente e seguro se os resultados produzidos por aquele sistema podem ser verificados de maneira independente do software. A justificativa para se fazer isso é que se você utiliza registros eletrônicos que são produzidos por um software, de repente se esse software foi adulterado pra se comportar de maneira maliciosa, pode ser que os registros produzidos por ele não sejam mais íntegros. Então, não faria sentido utilizar esses registros para auditá-los.
Essa noção determina a prática de voto eletrônico em todos os países do mundo que utilizam máquinas de votar, em particular para eleições nacionais, e é o que tem sido proposto desde os anos 1990 para adoção no caso brasileiro. E o debate foi evoluindo na medida em que houve tentativas (preliminares em 2002) de implementação desse registro pelo próprio TSE. Houve a aprovação de leis que determinavam a implantação desse registro ao longo do tempo em múltiplas ocasiões (não foi adotado porque o STF declarou essas leis inconstitucionais), e ultimamente esse debate ganhou contornos, de certa forma, político-partidários, que distorceram a versão original do debate.
Então, a versão que pesquisadores defendem é que sistemas de votação devem ter um registro físico para que uma vulnerabilidade não detectada na tecnologia que dá suporte a esse sistema de votação não possa produzir erros ou falhas indetectáveis nos resultados.
Na maioria dos países que também utilizem voto eletrônico e têm uma população grande e alguns desafios como o caso brasileiro, essa implantação também demorou muito tempo. Você observa o caso da Índia e o caso dos Estados Unidos, há processos da ordem de uma década para se migrar de sistemas de votação eletrônicos que não tinham registro físico do voto para sistemas com algum tipo de registro físico do voto.
E, nesse processo, evidentemente, (teve que) resolver questões de usabilidade, determinar quais são os protocolos de auditoria para se utilizar essa evidência física para se confirmar resultados eletrônicos de eleição e assim por diante. Isso é algo muito importante e não faz sentido se considerar uma experiência de uma eleição para outra, (que) num período muito curto essa alteração fosse realizada.
A ideia é o eleitor, ao votar, poder observar a produção de um registro físico com as suas escolhas que seja verificável de maneira independente e que permaneça na seção eleitoral. Obviamente, o eleitor não leva esse registro físico consigo porque isso violaria o sigilo do voto. Esse registro permanece na seção eleitoral para uma eventual auditoria, uma conferência com o registro eletrônico, muitas vezes por amostragem, para que esse procedimento de auditoria seja eficiente.
BBC News Brasil - Qual é a sua divergência com o discurso bolsonarista de defesa do voto impresso hoje?
Aranha - O voto impresso, ou qualquer registro físico implementado num sistema de votação, é implementado para transparência, para que seja possível uma auditoria do resultado eletrônico de maneira acessível, por auditores, inclusive sem especialização.
O que é muito complicado nessa última proposta do voto impresso no Brasil é que foi introduzida e vem sendo discutida sob a justificativa de que há fraude. E o país acompanhou na última semana (no dia 29 de julho) uma apresentação (do presidente Bolsonaro) onde a ideia era apresentar evidências de fraude.
Há dois grandes problemas aí (na argumentação de Bolsonaro): a questão de serem evidências de fraude ou não, e serem evidências de fraude num ponto do processo de votação em que o voto impresso faria alguma diferença (como a fase de contabilização dos votos).
Esse procedimento (o voto impresso) faz sentido para auditoria do procedimento de coleta dos votos. A ideia é auditar o comportamento do software de votação quando o eleitor deposita seu voto numa máquina de votar, numa urna eletrônica no caso brasileiro. Então, desse ponto em diante, após a máquina de votar produzir um conjunto de resultados parciais para aquela seção eleitoral, que no caso do Brasil é chamado boletim de urna, o voto impresso já não faz mais sentido.
O procedimento de transmissão da versão eletrônica do boletim de urna e de totalização desses boletins de urna do país inteiro, das parciais do país inteiro para produzir o resultado oficial, esse é um procedimento posterior que já é auditado no Brasil, exatamente usando essa mesma ideia da comparação do boletim de urna físico com o boletim de urna digital, um impresso pela urna no dia da eleição com outro recebido pelo TSE após a eleição.
Essa confrontação é um processo de auditoria independente. Se a gente olha para o processo eleitoral, há duas fases em que os resultados são produzidos: a fase de votação, onde o voto impresso funciona com um mecanismo de auditoria, e a fase de transmissão e totalização que é posterior, onde a confrontação do boletim de urna impresso com o boletim de urna digital funciona com um mecanismo de auditoria.
Não faz sentido, primeiro, sugerir um mecanismo com discurso de fraude, porque isso contamina a origem do debate. E, em segundo lugar, sugerir o voto impresso como maneira de coibir fraudes na transmissão e na totalização, onde já existe um procedimento de auditoria que funciona no mesmo princípio.
Então esses dois pontos comprometem o debate como ele vem sendo discutido hoje.
BBC News Brasil - Como o sr. destacou, um dos argumentos do presidente Bolsonaro para defender o voto impresso é dizer que há indícios de fraudes na contabilização dos votos. Ele cita, por exemplo, uma pretensa análise matemática que indicaria manipulação na contagem dos votos do segundo turno de 2014, em que Dilma Rousseff foi reeleita. Como o boletim de urna já permite fazer uma auditoria da contagem, essa suposta fraude na contabilização que o presidente aponta é um argumento que não se sustenta?
Aranha - Não, não há evidência (de fraude na contabilização) e esse procedimento, como eu argumentei, já é auditável e já foi auditado. No último pedido de auditoria, após as eleições de 2014, o relatório dos auditores naquela ocasião é conclusivo, ele é bem claro nesse ponto do sistema, em que a transmissão e a totalização permitem, por amostragem, coletar evidência verificável de que os resultados foram transmitidos e totalizados de maneira correta.
A experiência de auditoria dessa eleição (de 2014, realizada pelo PSDB) encontrou problemas e dificuldades para auditoria do software de votação. E naquela ocasião os auditores também recomendaram a implantação de registro físico, novamente seguindo o que é consenso científico atual e prática internacional em voto eletrônico.
BBC News Brasil - Embora parte da comunidade científica defenda o voto impresso para auditoria da parte de votação do software, o sr. concorda que, de fato, não há evidências em larga escala de fraudes nas últimas eleições?
Aranha - Concordo com essa afirmação. Evidentemente, a comunidade técnica sempre fez reclamações do ponto de vista de transparência, mas não há um conjunto de evidências, que possa ser analisado, que indique fraude em eleições anteriores. E, novamente, o discurso técnico sempre foi na direção de aumentar a transparência do sistema, para que, exatamente quando esse tipo de alegação seja produzida, que seja rápido determinar se ela é verdadeira ou não com base em um conjunto de evidências que seja verificável e acessível até para um auditor sem especialização.
Então, um ponto que vem sendo discutido na comunidade técnica, especialmente após as eleições nos Estados Unidos, onde processo semelhante apareceu, onde candidatos antes da eleição alegaram fraude em resultados anteriores e resultados futuros, é que é importante ter um procedimento de auditoria que rapidamente invalide alegações vazias de fraude, que não se arraste, não se delongue, porque tudo isso corrói a confiança do eleitorado no processo.
A possibilidade de você contar uma amostra estatisticamente significativa dos votos, dependendo da vantagem do primeiro candidato para o segundo candidato, e rapidamente esvaziar essas alegações, é algo importante porque evita esse processo de corrosão de fato aconteça.
BBC News Brasil - Se não há indícios de fraudes, por que mexer num sistema, digamos, que está ganhando? Os defensores da urna eletrônica dizem que fraudes que existiam no tempo do voto em cédula ficaram para trás, e o sistema se mostrou exitoso para a democracia, com alternância de poder no Brasil nos últimos anos.
Aranha - Por uma questão de transparência. Realizar uma auditoria conclusiva no sistema atual brasileiro é um procedimento difícil. Há dificuldades claras. Para dar um exemplo, o software de votação que é instalado nas urnas é um componente de software bastante complexo. Nos testes públicos de segurança a gente observou que a quantidade de código que faz parte desse sistema tem é da ordem de dezenas de milhões de linhas. É muito difícil para um auditor externo, até pra um auditor interno, da equipe de desenvolvimento, ter completo controle sobre toda essa base a ponto de você conseguir determinar que não há presença de nenhum defeito malicioso ou não, proposital ou não, naquele conjunto de código-fonte.
Os procedimentos de auditoria ou de transparência que existem hoje têm certa cobertura do que a gente chama de superfície de ataque, das possibilidades que um fraudador teria de provocar um comportamento malicioso no sistema, mas eles também têm as suas limitações.
Fala-se muito do teste de integridade, que é aquela eleição simulada que o TSE organiza para determinar que o sistema conta os votos de maneira correta. Mas tem algumas premissas embutidas aí: esse procedimento faz uma eleição simulada utilizando equipamento real, selecionado de seções eleitorais na véspera (da votação). Isso faz sentido se, primeiro, o número de equipamentos analisados é significativo. Tem que ser uma amostra, novamente, que seja estatisticamente significativa, e esse é um número bastante grande para um Estado, por exemplo, como São Paulo, que tem um parque de urnas muito grande. Cobrir essa amostra é desafiador.
E, além disso, se o objetivo desse procedimento é determinar se o software se comporta de maneira honesta, não pode haver nenhuma diferença nessa eleição simulada da eleição real, que permitiria a um software adulterado malicioso detectar que ele está funcionando numa eleição simulada.
Mas há várias características dessa eleição simulada que são bastante diferentes de uma eleição real. Um exemplo muito simples é que nessa eleição simulada os eleitores não têm biometria, até porque são auditores que estão simulando esses eleitores. Isso é uma questão hipotética, obviamente não estou argumentando que isso acontece ou vai acontecer, mas é simplesmente uma premissa que está embutida no procedimento, mas é difícil de satisfazer. Se o software de votação fosse adulterado para ser malicioso, se ele verifica que os eleitores não têm biometria cadastrada, muito provavelmente (ele identifica que) aquela urna está numa simulação. Fazendo essa distinção, o software poderia se comportar de uma maneira honesta numa eleição simulada, e de maneira desonesta numa eleição real. Então, é uma limitação que o teste de integridade, como ele está concebido, não consegue satisfazer.
Além disso, tem uma simples questão de acessibilidade, como eu argumentei anteriormente. A ideia de ter um registro físico permite um auditor que não entende de tecnologia, de programação, de como o software de votação é organizado, poder observar com uma evidência tangível que o resultado está correto.
A principal propriedade de segurança de um sistema de votação nem é exatamente entregar o resultado. Mais importante que entregar o resultado correto é convencer o perdedor que de fato ele perdeu, que há um conjunto de evidências que possa ser analisado de maneira independente para que um perdedor simplesmente chegue à conclusão de que a eleição foi honesta, o resultado está correto e ele perdeu. E é isso que geralmente gera confiança no eleitorado.
BBC News Brasil - Então, o voto impresso seria uma barreira para discursos como o de Bolsonaro, para dissuadir pessoas que levantem dúvidas sobre a integridade da eleição?
Aranha - Exatamente. E pelo menos esse fenômeno foi observado nos Estados Unidos: alegações similares foram colocadas por lá e, nos Estados que adotavam algum procedimento de verificação do registro físico com registro eletrônico por amostragem, rapidamente terminaram seus procedimentos e confirmaram o resultado.
Aqueles Estados (sem voto impresso) onde se fez perícia na máquina, verificação no software, onde as regras de auditoria foram mudando ao longo do tempo, com interações entre pedidos de evidências e respostas das autoridades responsáveis por coordenar o processo, aqueles se arrastaram por muito mais tempo. Exatamente porque as condições de auditoria não ficam claras e o procedimento termina sendo contaminado. Então, na experiência americana, ter um procedimento de auditoria por amostragem sobre um registro físico permitiu invalidar essas alegações de fraude de maneira mais rápida.
Uma experiência interessante do ponto de vista de auditoria também é na Índia, que adota um registro físico nas suas máquinas de votação. A Índia também foi um país pioneiro em implementar voto eletrônico. Após uma análise de segurança em 2009 encontrar uma série de problemas na concepção e na implementação desses equipamentos, uma trilha física em papel foi implementada como mecanismo de transparência. Num processo de dez anos, esse mecanismo atingiu todas as sessões eleitorais, e lá é feito uma verificação por amostragem por precaução.
Então, assim que o resultado é publicado, já se sorteia uma fração de, se não me engano, 1,5% das sessões eleitorais para se confrontar o registro físico e o registro eletrônico, se confirmar o resultado eletrônico e aí já esvaziar qualquer pedido desnecessário de auditoria por ter um procedimento que, por precaução, invalida alguma alegação que seja feita para fins político-partidários.
BBC News Brasil - O sr. aponta que o voto impresso seria mais um mecanismo de segurança para termos mais certeza de que o software dentro da urna está funcionando adequadamente. Outro acadêmico defensor do voto impresso, o professor Paulo Matias, do Departamento de Computação da Universidade Federal de São Carlos, reconhece que não seria algo trivial fazer isso: invadir a urna e adulterar o software. O sr. concorda que, dados os mecanismos de segurança que o TSE adota hoje, como criptografia e assinatura digital, é difícil corromper a urna eletrônica e fazer uma fraude em larga escala que afete os resultados das eleições?
Aranha - Eu gosto de analisar a possibilidade de intervenção no sistema sob dois diferentes prismas. Existe o que a gente chama de um atacante externo, alguém que não tem acesso privilegiado e está fora da infraestrutura da Justiça Eleitoral e das próprias eleições. Você pode pensar em alguém alterando ou tentando alterar resultados remotamente ou, de repente, no dia da eleição tentar sabotar a urna eletrônica da sua própria seção eleitoral. Então, a gente observa que o sistema é projetado para resistir (a ataques desse tipo). Nos testes de segurança (que participei em 2012 e 2017), a gente pôde encontrar problemas de segurança que inicialmente permitiam esse tipo de ataque e foram sendo corrigidos ou aprimorados ao longo do tempo.
Então, atualmente esse tipo de ataque, eu diria que é bem difícil de ser implementado com sucesso, especialmente sem permitir detecção. Entretanto, do ponto de vista de um atacante interno, alguém que tem acesso privilegiado ao sistema, ao software de votação, eu entendo que ainda há lacunas de segurança na concepção e implementação do sistema que poderiam fragilizar o processo.
E é importante em eleições considerar esses dois atacantes porque a gente também observa que em outros tipos de sistemas, em sistemas bancários, em sistemas de órgãos de inteligência em outros países, os ataques com maior sucesso e que provocaram maior estrago tinham a colaboração e a participação de um atacante interno. Evidentemente, eu não estou alegando que funcionários da Justiça Eleitoral sejam mal-intencionados ou tenham esse objetivo. Eu estou pensando friamente do ponto de vista de análise de risco, que é a tarefa que a gente faz como pesquisador na área de segurança.
E no caso de eleições, o risco, de certa forma, é amplificado, porque acontecem em um dia e precisam produzir o resultado correto dentro daquela janela de tempo. Qualquer desvio — seja acidental, seja causado por uma tentativa de fraude — do esperado para o processo eleitoral, isso gera desconfiança e termina minando aí talvez o principal recurso de um sistema de votação que tenha sucesso. A gente observou esse fenômeno, por exemplo, acontecendo com simples atrasos na totalização em eleições anteriores, que geram teoria de conspiração, geram desinformação e geram, novamente, alegações vazias de fraude.
Nesse ponto, eleições são muito mais críticas do que sistemas bancários ou até órgãos de inteligência, porque um banco pode ter sua segurança comprometida, mas no dia seguinte ele pode restaurar seus sistemas e voltar a operar. Então, ele pode perder clientes, talvez, ele possa até ir a falência, mas não há um dano social, ao tecido social, que seja talvez até permanente e permita inspirações pouco democráticas por quem concorre nas eleições.
BBC News Brasil - Segundo o TSE, o que evita ataques internos é que apenas uma equipe pequena tem acesso ao sistema da urna eletrônica e tudo que elas fazem fica registrado no sistema. Isso não seria suficiente para afastar esses riscos?
Aranha - Eu diria que não, observando também eventos de outros tipos de sistema em outros contextos. A gente tem relatos de precedentes de outras organizações que também adotavam sistema de controle e versão, processos de desenvolvimento rigorosos e que também conseguiram ser atacados com sucesso. Há exemplos documentados.
Um procedimento, por exemplo, que é extremamente crítico e que poderia, se atacado, causar um estrago ou um impacto importante, é o procedimento de compilação (do software). Então, existe um procedimento na geração do software de votação onde todo código escrito pelos programadores do TSE é extraído para uma máquina e lá ele é transformado nos (códigos) binários que vão ser instalados na urna.
Esse procedimento ocorre após o desenvolvimento e ele não gera rastros que ficam visíveis no sistema de controle e versão do software, por exemplo. Então, uma intervenção neste ponto em particular poderia, em tese, novamente estou fazendo análise de risco e não alegando que isso aconteça, tenha acontecido ou vá acontecer, mas uma intervenção naquele ponto poderia contaminar o software de votação que sai do TSE na origem com algum tipo de de código malicioso que permitiria violar sigilo ou a integridade de resultados.
Uma outra possibilidade também é um simples erro acidental ou proposital que venha da equipe de desenvolvimento. Escrever código seguro é difícil, é uma área de pesquisa bem estabelecida, mas que ainda tem muito a evoluir. Nenhum software é 100% seguro, 100% perfeito. Então, uma intervenção maliciosa ou um erro de programação acidental no sistema, no software de votação no TSE, poderia de repente introduzir uma vulnerabilidade que é explorada pelo técnico que está na outra ponta, às vezes é de uma empresa contratada para receber o software que o TSE emite para os TREs (tribunais regionais eleitorais) e gravar esse software em cartões de memória que vão instalar o software nas urnas.
Nos testes públicos de segurança de 2017, a gente observou uma lacuna na verificação de integridade do software de votação, naquele procedimento em que a urna verifica se os programas lá instalados estão íntegros, que permitiria a alguém que está gerando os cartões de memória que instalam software na urna injetar código intruso nesses cartões antes do software ser instalado. E como esses cartões instalavam 50 urnas cada, existia um fator de escala que funciona a favor do fraudador. Se ele consegue a possibilidade de adulterar o software armazenado em um destes cartões, esse cartão contaminaria 50 urnas posteriormente com software (malicioso).
A gente, nos testes, mostrou algumas formas de introduzir comportamento malicioso, como alterar mensagens na tela pra deixar claro que o software não mais seguiria sua programação original. A gente tinha código intruso, mas, que do ponto de vista do operador do sistema, o sistema se comportou de maneira indistinguível ao sistema real. Conseguimos instalar o software, executar as rotinas de autoteste, começar uma eleição, simular uma eleição, e o sistema funcionou como esperado do ponto de vista do operador. Então, por mais que esses problemas tenham sido corrigidos ou mitigados após os testes públicos de segurança, eu não consigo ignorar o risco disso de repente acontecer.
Mas a minha justificativa principal para implantação do registro físico do voto é, novamente, para um mecanismo de transparência, para que haja uma maneira acessível e eficiente de se confirmar que os resultados da eleição estão corretos sem necessitar de especialização técnica, que sejam auditores com treinamento na tecnologia eleitoral ou em segurança da informação, que permitam rapidamente esvaziar alegações de fraude.
BBC News Brasil - Um dos principais argumentos contra o voto impresso que o presidente do TSE, Luiz Roberto Barroso, adota é o risco ao sigilo do voto. Ele já disse, por exemplo, que num país onde há áreas dominadas por milícias, pelo tráfico de drogas, isso seria perigoso. Por que, na sua visão, isso não é uma vulnerabilidade?
Aranha - A implantação de um registro físico eventualmente seria feita, em primeiro lugar, gradualmente. A implementação gradual permitiria iniciar essa implementação por regiões menos sensíveis, onde a população não é vulnerável e há democracia plena no sentido de não haver intervenção de um poder local paralelo, alheio às instituições democráticas.
Você pode começar o processo por seções eleitorais onde a população não é tão vulnerável, observar como a população interage com aquele mecanismo novo. Até porque a população teria que ser instruída a verificar o registro físico que é apresentado durante a eleição, os protocolos para se comparar esse registro físico com o resultado eletrônico precisariam ser aprimorados também. Eles não iriam funcionar 100% da primeira vez. É importante lembrar que a própria implantação da urna eletrônica do Brasil não foi uma etapa única. Foi dividida em três eleições consecutivas, de 1996 ao ano 2000, exatamente porque é preciso haver uma salvaguarda caso alguma parte do sistema não funcione como esperado.
A implantação gradual permitiria, em primeiro lugar, projetar e validar um mecanismo que de repente pudesse ser mais confiável e funcionar melhor, de maneira mais robusta no dia da eleição. Essa é uma etapa importante do processo.
Além disso, é possível implementar um registro físico do voto que preserve o anonimato e o sigilo do voto como um requisito constitucional. Então, no que se propõe para ser implementado no Brasil, esse exame do registro físico do voto acontece dentro da cabine indevassável de votação e seria apresentado ao lado da tela da urna eletrônica, em uma impressora acoplada à urna eletrônica, dentro da cabine.
Eu vejo bastante esse argumento nas redes sociais: "Ah, mas seria possível fotografar, seria possível coletar algum tipo de evidência". Mas estes mesmos argumentos se aplicam à tela da urna. Seria possível para um eleitor que foi coagido entrar na sessão de votação e filmar sua interação inteira com o equipamento. Esse comportamento (filmar sua votação) é ilegal segundo o Código Eleitoral no Brasil, mas o risco de violação do sigilo (do voto impresso) é o mesmo que se aplica à tela da urna. Esse é o primeiro ponto.
Com esses registros físicos coletados na sessão eleitoral e armazenados numa urna física convencional, precisa-se projetar um protocolo que preserve a integridade dessa evidência até o ponto da auditoria, e uma forma simples, antiga, para se desvincular a ordem que esses papéis foram impressos da ordem de votação é você misturar essa urna física.
Um outro ponto importante na proposta do registro físico é que o TSE construiu um protótipo que satisfaz os requisitos desse mecanismo. Ele foi inclusive publicado num evento nacional de tecnologia eleitoral, um evento científico, foi revisado por pares, é um bom projeto inicial para se tentar um esforço, novamente, com implementação gradual, estudos de usabilidade, num esforço de longa duração. E nesse protótipo do TSE, há uma característica muito interessante que a urna eletrônica autentica esses registros físicos. Então, ela produz uma assinatura digital provando que aquele registro foi produzido durante a eleição especificamente por aquela urna.
[...] Evidentemente não seria possível uma pessoa imprimir um monte de votos a mais em casa e introduzir estes votos a mais nas urnas físicas porque não teriam essa autenticação produzida pela urna eletrônica durante a eleição. Ao mesmo tempo, outros tipos de intervenção nestes registros físicos seriam detectados pela falta ou pela validade deste autenticador que a urna produz. Então, a trilha física aqui seria verificável pelo eleitor, porque é um pedaço de papel observado dentro da cabine indevassável, mas também autenticado pela urna para que a sua integridade possa ser verificada também.
Um último ponto, que também vem sendo discutido, seria a necessidade de se contar todos esses registros físicos do país inteiro. Essa não é a prática internacional e não é também o que se propõe na literatura científica. A ideia sempre é fazer uma auditoria, uma verificação por amostragem, exatamente para que não seja possível, com custo muito baixo (para o fraudador), se invalidar o resultado de uma sessão eleitoral.
Uma preocupação, por exemplo, seria se alguém com acesso a essa trilha física faz desaparecer um dos registros físicos para poder alegar que houve fraude. Se a contagem é por amostragem, a quantidade de registros físicos que teriam que desaparecer ou ter sua integridade comprometida para poder se anular o resultado da eleição seria muito grande o que tornaria inviável um esforço dessa magnitude para um fraudador até bem equipado.
BBC News Brasil - A proposta de voto impresso em discussão na Câmara está de acordo com o que o sr. defende?
Aranha - Eu sei que há várias versões (da proposta de voto impresso sendo discutidas na Câmara). Eu observei a versão original da proposta (da deputada Bia Kicis) e havia questões de redação. Por exemplo, ela falava em cédulas físicas. Eu acho isso complicado porque já há uma confusão enorme sobre o que é voto impresso. Não é nem difícil encontrar, por exemplo, referências ao termo voto impresso em veículos de imprensa que são de qualidade no país utilizando como sinônimo de voto em cédulas, quando são coisas diferentes.
Eu tenho inclusive utilizado o registro físico para tentar tornar mais específico o que se propõe. Utilizar a redação de cédulas físicas eu acho que cria confusão e cria facilmente argumentos contra, porque as pessoas iam associar às antigas eleições baseadas em cédulas.
Eu não sou um jurista, mas do ponto de vista técnico, o que faz sentido é fixar um conjunto de requisitos, porque especificar de maneira demasiada este mecanismo em uma emenda constitucional engessa a forma como ele pode ser evoluído ao longo do tempo. O que eu entendo que poderia ser proposto é uma cristalização de requisitos de segurança e transparência que devem ser satisfeitos pelo sistema de votação. O sigilo do voto é um destes requisitos que já existe na Constituição. A gente poderia pensar em um mecanismo de transparência, por exemplo, que capturasse essa ideia de independência do software como requisito, e a partir daí, sabendo quais são os requisitos (previstos na Constituição), trabalhar nesse espaço de soluções possíveis que satisfaçam esses requisitos da maneira mais eficiente possível.
BBC News Brasil - Como o sr. já disse, mesmo que o voto impresso venha a ser aprovado agora, não dá pra aplicá-lo para o próximo ano. Seria uma adoção gradual?
Aranha - Correto. Uma intenção sincera de se implementar o voto impresso para que ele cumpra o que se espera, que ele se torne um mecanismo transparente que aumenta a confiança da população nos resultados, ao invés de simplesmente um mecanismo que crie mais ruído, é a implementação gradual, cuidadosa com a submissão desse mecanismo novo a testes de usabilidade, a testes de segurança, como já acontece com o sistema de votação, para que ele possa de maneira controlada e cuidadosa atingir todas as sessões eleitorais, exatamente como foi a implementação da urna eletrônica nos anos 1990.
Essa é a única forma possível de se fazer uma mudança dessa natureza no sistema de votação, sem criar riscos maiores do que as vantagens que o mecanismo poderia trazer.
BBC News Brasil - O sr. vê problemas no discurso bolsonarista sobre voto impresso, mas também vê problemas historicamente na postura que o TSE adotou nesse tema. Qual sua crítica a forma como o tema foi conduzido no TSE?
Aranha - Sim. Eu gostaria de responder isso em nome da comunidade técnica porque essa não é uma reclamação apenas minha. Especialmente entre 2009 e 2014, quando as primeiras edições dos testes aconteceram, havia uma reclamação muito grande com transparência nas posturas do Tribunal Superior Eleitoral.
É importante lembrar: o sistema foi implantado no Brasil em 1996 e a primeira vez em que ele pôde ser testado com exame do código-fonte do sistema por especialistas independentes foi em 2012. E mesmo em 2012, quando eu coordenei uma equipe que naquela ocasião encontrou uma vulnerabilidade no embaralhamento dos votos que permitiria fragilizar o sigilo do voto utilizando apenas informação pública, mesmo naquela ocasião vários pesquisadores da nossa equipe em particular reclamaram das condições de trabalho dos testes. Você pega um procedimento extremamente adversarial, onde as condições dos pesquisadores nem sempre eram priorizadas, onde havia um controle muito forte da narrativa do que acontecia nos testes pelo próprio tribunal.
Depois dos testes acabarem, por um bom tempo a gente ainda precisou de maneira bem incisiva se manifestar na imprensa, nas oportunidades que apareceram pra isso, simplesmente para confirmar os nossos resultados, porque existe uma postura muito grande do tribunal em negar aqueles resultados técnicos.
Na própria forma como o TSE fala sobre a experiência de voto eletrônico em outros países, a gente também observa uma postura que não é exatamente transparente. O TSE sempre se manifesta listando o número de países que utilizam algum tipo de dispositivo eletrônico em suas eleições, mas muitas vezes omite que vários destes países utilizam também o registro físico em concomitância ao registro eletrônico como mecanismo de transparência. Há, de certa forma, uma versão do tribunal que é muito difícil de se colocar em discussão pela postura em que essa versão é apresentada.
Então, poderia haver aprimoramentos tanto na comunicação do tribunal com a sociedade, que privilegiasse a transparência, o reconhecimento da área de pesquisa e da prática internacional do voto eletrônico, como também na relação com a comunidade técnica na medida em que esses sistemas são disponibilizados para exame independente.
Um ponto, por exemplo, que está sendo discutido e foi inclusive promessa do tribunal em 2018 e ainda não satisfeita é a abertura do código-fonte. Eu não consigo entender porque um sistema crítico que é utilizado no país para um dos seus procedimentos mais importantes, um dos alicerces da democracia, que está em produção há 25 anos e que o tribunal defende como talvez o melhor sistema de apuração eleitoral do mundo, porque ele não pode ser examinado de maneira conveniente fora das dependências do Tribunal Superior Eleitoral por pesquisadores independentes.
Se o sistema tem esse nível de maturidade que é alegado pelo tribunal e tem essa história de 25 anos de sucesso como um sistema crítico, ele já deveria estar pronto há muito tempo para o exame de pesquisadores externos.
Então, tá aí uma sugestão de um mecanismo simples, que dá tempo de ser satisfeito até as próximas eleições, e que eu entendo aumentariam de maneira substancial a transparência no sistema: a publicação do código-fonte para que ele possa ser examinado por especialistas que não representam partidos ou não participam de testes públicos de segurança com a janela de análise inclusive muito mais longa, com a possibilidade de interação maior.
Só tem terroristas e nazistas do Talibã neste Plenário ? Que porra de país é este, minha gente ! Só ladrão, boiola e sapatão ? Puta que Pariu !
disse...
Só dá Talibã neste plenário, Meu Deus, ou seja, PT e PSOL !
10AGO2021 - 17:55H Um deputado - Rogério Correia - ou é tremendamente mal informado, ou é teleguiado ou é um papagaio de fundo de quintal. O cara até que aprendeu a pronunciar palavras, mas deve possuir alguma coisa como um neurônio e meio. Lastimável.
19 comentários:
SIGLAS E PESSOAS COMUNISTAS E DO MAL NÃO QUEREM VOTO AUDITÁVEL .
PORQUE SERÁ ?
Para o professor, a adoção do voto impresso é positiva como ferramenta para neutralizar rapidamente discursos de "alegações vazias de fraude" como o de Bolsonaro ou o adotado pelo ex-presidente americano Donald Trump, após perder a eleição para Joe Biden no ano passado.
Ele ressalta, porém, que jamais defendeu que todos os registros sejam contados um a um pelo Brasil, como propõem os bolsonaristas. Além disso, Aranha reforça que a implementação do voto impresso teria que ser gradual, começando com testes em poucas urnas, sendo impossível sua adoção segura para a eleição presidencial de 2022.
Quando era professor da Universidade de Brasília (UnB) e da Universidade Estadual de Campinas (Unicamp), Aranha participou de testes de segurança das urnas eletrônicas promovidos pelo Tribunal Superior Eleitoral (TSE) em 2012 e 2017. Na ocasião, equipes coordenadas por ele identificaram vulnerabilidades no sistema, posteriormente corrigidas pela Corte.
Foi essa experiência que o tornou defensor do voto impresso, recurso que é usado em outros países com sistema eletrônico, como Índia e parte dos Estados Unidos. Já o TSE afirma que o sistema brasileiro tem inúmeras etapas de segurança e auditagem, que asseguram a integridade das eleições.
Além de criticar os bolsonaristas, Aranha também faz ressalvas à atuação da Corte Eleitoral, como a postura de negar as evidências técnicas de vulnerabilidade produzidas nos testes.
A proposta do voto impresso se tornou nas últimas semanas o epicentro de uma crise institucional, com Bolsonaro atacando ministros do TSE e do Supremo Tribunal Federal. Em reação, as duas Cortes abriram investigações contra ele, uma delas com potencial de barrar o presidente da eleição de 2022.
Nesta terça-feira (10/08), uma proposta de emenda à Constituição (PEC) deve ser votada na Câmara dos Deputados para tentar implementar o voto impresso no próximo pleito, mas a expectativa é que será rejeitada.
BBC News Brasil - O senhor é um antigo defensor do voto impresso, mas tem criticado a forma como a pauta é defendida por Bolsonaro e seus apoiadores. Gostaria que explicasse o que é o voto impresso que defende e por que considera que essa mudança seria positiva.
Diego Aranha - Essa é uma questão que foi discutida por um bom tempo na comunidade técnico-científica, e aí eu incluo tanto a prática internacional do voto eletrônico, mas também pesquisadores de outros países que trabalham no tema, e nós adotamos uma definição chamada princípio de independência do software.
Então, o sistema de votação é considerado transparente e seguro se os resultados produzidos por aquele sistema podem ser verificados de maneira independente do software. A justificativa para se fazer isso é que se você utiliza registros eletrônicos que são produzidos por um software, de repente se esse software foi adulterado pra se comportar de maneira maliciosa, pode ser que os registros produzidos por ele não sejam mais íntegros. Então, não faria sentido utilizar esses registros para auditá-los.
Essa noção determina a prática de voto eletrônico em todos os países do mundo que utilizam máquinas de votar, em particular para eleições nacionais, e é o que tem sido proposto desde os anos 1990 para adoção no caso brasileiro. E o debate foi evoluindo na medida em que houve tentativas (preliminares em 2002) de implementação desse registro pelo próprio TSE. Houve a aprovação de leis que determinavam a implantação desse registro ao longo do tempo em múltiplas ocasiões (não foi adotado porque o STF declarou essas leis inconstitucionais), e ultimamente esse debate ganhou contornos, de certa forma, político-partidários, que distorceram a versão original do debate.
Então, a versão que pesquisadores defendem é que sistemas de votação devem ter um registro físico para que uma vulnerabilidade não detectada na tecnologia que dá suporte a esse sistema de votação não possa produzir erros ou falhas indetectáveis nos resultados.
Na maioria dos países que também utilizem voto eletrônico e têm uma população grande e alguns desafios como o caso brasileiro, essa implantação também demorou muito tempo. Você observa o caso da Índia e o caso dos Estados Unidos, há processos da ordem de uma década para se migrar de sistemas de votação eletrônicos que não tinham registro físico do voto para sistemas com algum tipo de registro físico do voto.
E, nesse processo, evidentemente, (teve que) resolver questões de usabilidade, determinar quais são os protocolos de auditoria para se utilizar essa evidência física para se confirmar resultados eletrônicos de eleição e assim por diante. Isso é algo muito importante e não faz sentido se considerar uma experiência de uma eleição para outra, (que) num período muito curto essa alteração fosse realizada.
A ideia é o eleitor, ao votar, poder observar a produção de um registro físico com as suas escolhas que seja verificável de maneira independente e que permaneça na seção eleitoral. Obviamente, o eleitor não leva esse registro físico consigo porque isso violaria o sigilo do voto. Esse registro permanece na seção eleitoral para uma eventual auditoria, uma conferência com o registro eletrônico, muitas vezes por amostragem, para que esse procedimento de auditoria seja eficiente.
BBC News Brasil - Qual é a sua divergência com o discurso bolsonarista de defesa do voto impresso hoje?
Aranha - O voto impresso, ou qualquer registro físico implementado num sistema de votação, é implementado para transparência, para que seja possível uma auditoria do resultado eletrônico de maneira acessível, por auditores, inclusive sem especialização.
O que é muito complicado nessa última proposta do voto impresso no Brasil é que foi introduzida e vem sendo discutida sob a justificativa de que há fraude. E o país acompanhou na última semana (no dia 29 de julho) uma apresentação (do presidente Bolsonaro) onde a ideia era apresentar evidências de fraude.
Há dois grandes problemas aí (na argumentação de Bolsonaro): a questão de serem evidências de fraude ou não, e serem evidências de fraude num ponto do processo de votação em que o voto impresso faria alguma diferença (como a fase de contabilização dos votos).
Esse procedimento (o voto impresso) faz sentido para auditoria do procedimento de coleta dos votos. A ideia é auditar o comportamento do software de votação quando o eleitor deposita seu voto numa máquina de votar, numa urna eletrônica no caso brasileiro. Então, desse ponto em diante, após a máquina de votar produzir um conjunto de resultados parciais para aquela seção eleitoral, que no caso do Brasil é chamado boletim de urna, o voto impresso já não faz mais sentido.
O procedimento de transmissão da versão eletrônica do boletim de urna e de totalização desses boletins de urna do país inteiro, das parciais do país inteiro para produzir o resultado oficial, esse é um procedimento posterior que já é auditado no Brasil, exatamente usando essa mesma ideia da comparação do boletim de urna físico com o boletim de urna digital, um impresso pela urna no dia da eleição com outro recebido pelo TSE após a eleição.
Essa confrontação é um processo de auditoria independente. Se a gente olha para o processo eleitoral, há duas fases em que os resultados são produzidos: a fase de votação, onde o voto impresso funciona com um mecanismo de auditoria, e a fase de transmissão e totalização que é posterior, onde a confrontação do boletim de urna impresso com o boletim de urna digital funciona com um mecanismo de auditoria.
Não faz sentido, primeiro, sugerir um mecanismo com discurso de fraude, porque isso contamina a origem do debate. E, em segundo lugar, sugerir o voto impresso como maneira de coibir fraudes na transmissão e na totalização, onde já existe um procedimento de auditoria que funciona no mesmo princípio.
Então esses dois pontos comprometem o debate como ele vem sendo discutido hoje.
BBC News Brasil - Como o sr. destacou, um dos argumentos do presidente Bolsonaro para defender o voto impresso é dizer que há indícios de fraudes na contabilização dos votos. Ele cita, por exemplo, uma pretensa análise matemática que indicaria manipulação na contagem dos votos do segundo turno de 2014, em que Dilma Rousseff foi reeleita. Como o boletim de urna já permite fazer uma auditoria da contagem, essa suposta fraude na contabilização que o presidente aponta é um argumento que não se sustenta?
Aranha - Não, não há evidência (de fraude na contabilização) e esse procedimento, como eu argumentei, já é auditável e já foi auditado. No último pedido de auditoria, após as eleições de 2014, o relatório dos auditores naquela ocasião é conclusivo, ele é bem claro nesse ponto do sistema, em que a transmissão e a totalização permitem, por amostragem, coletar evidência verificável de que os resultados foram transmitidos e totalizados de maneira correta.
A experiência de auditoria dessa eleição (de 2014, realizada pelo PSDB) encontrou problemas e dificuldades para auditoria do software de votação. E naquela ocasião os auditores também recomendaram a implantação de registro físico, novamente seguindo o que é consenso científico atual e prática internacional em voto eletrônico.
BBC News Brasil - Embora parte da comunidade científica defenda o voto impresso para auditoria da parte de votação do software, o sr. concorda que, de fato, não há evidências em larga escala de fraudes nas últimas eleições?
Aranha - Concordo com essa afirmação. Evidentemente, a comunidade técnica sempre fez reclamações do ponto de vista de transparência, mas não há um conjunto de evidências, que possa ser analisado, que indique fraude em eleições anteriores. E, novamente, o discurso técnico sempre foi na direção de aumentar a transparência do sistema, para que, exatamente quando esse tipo de alegação seja produzida, que seja rápido determinar se ela é verdadeira ou não com base em um conjunto de evidências que seja verificável e acessível até para um auditor sem especialização.
Então, um ponto que vem sendo discutido na comunidade técnica, especialmente após as eleições nos Estados Unidos, onde processo semelhante apareceu, onde candidatos antes da eleição alegaram fraude em resultados anteriores e resultados futuros, é que é importante ter um procedimento de auditoria que rapidamente invalide alegações vazias de fraude, que não se arraste, não se delongue, porque tudo isso corrói a confiança do eleitorado no processo.
A possibilidade de você contar uma amostra estatisticamente significativa dos votos, dependendo da vantagem do primeiro candidato para o segundo candidato, e rapidamente esvaziar essas alegações, é algo importante porque evita esse processo de corrosão de fato aconteça.
BBC News Brasil - Se não há indícios de fraudes, por que mexer num sistema, digamos, que está ganhando? Os defensores da urna eletrônica dizem que fraudes que existiam no tempo do voto em cédula ficaram para trás, e o sistema se mostrou exitoso para a democracia, com alternância de poder no Brasil nos últimos anos.
Aranha - Por uma questão de transparência. Realizar uma auditoria conclusiva no sistema atual brasileiro é um procedimento difícil. Há dificuldades claras. Para dar um exemplo, o software de votação que é instalado nas urnas é um componente de software bastante complexo. Nos testes públicos de segurança a gente observou que a quantidade de código que faz parte desse sistema tem é da ordem de dezenas de milhões de linhas. É muito difícil para um auditor externo, até pra um auditor interno, da equipe de desenvolvimento, ter completo controle sobre toda essa base a ponto de você conseguir determinar que não há presença de nenhum defeito malicioso ou não, proposital ou não, naquele conjunto de código-fonte.
Os procedimentos de auditoria ou de transparência que existem hoje têm certa cobertura do que a gente chama de superfície de ataque, das possibilidades que um fraudador teria de provocar um comportamento malicioso no sistema, mas eles também têm as suas limitações.
Fala-se muito do teste de integridade, que é aquela eleição simulada que o TSE organiza para determinar que o sistema conta os votos de maneira correta. Mas tem algumas premissas embutidas aí: esse procedimento faz uma eleição simulada utilizando equipamento real, selecionado de seções eleitorais na véspera (da votação). Isso faz sentido se, primeiro, o número de equipamentos analisados é significativo. Tem que ser uma amostra, novamente, que seja estatisticamente significativa, e esse é um número bastante grande para um Estado, por exemplo, como São Paulo, que tem um parque de urnas muito grande. Cobrir essa amostra é desafiador.
E, além disso, se o objetivo desse procedimento é determinar se o software se comporta de maneira honesta, não pode haver nenhuma diferença nessa eleição simulada da eleição real, que permitiria a um software adulterado malicioso detectar que ele está funcionando numa eleição simulada.
Mas há várias características dessa eleição simulada que são bastante diferentes de uma eleição real. Um exemplo muito simples é que nessa eleição simulada os eleitores não têm biometria, até porque são auditores que estão simulando esses eleitores. Isso é uma questão hipotética, obviamente não estou argumentando que isso acontece ou vai acontecer, mas é simplesmente uma premissa que está embutida no procedimento, mas é difícil de satisfazer. Se o software de votação fosse adulterado para ser malicioso, se ele verifica que os eleitores não têm biometria cadastrada, muito provavelmente (ele identifica que) aquela urna está numa simulação. Fazendo essa distinção, o software poderia se comportar de uma maneira honesta numa eleição simulada, e de maneira desonesta numa eleição real. Então, é uma limitação que o teste de integridade, como ele está concebido, não consegue satisfazer.
Além disso, tem uma simples questão de acessibilidade, como eu argumentei anteriormente. A ideia de ter um registro físico permite um auditor que não entende de tecnologia, de programação, de como o software de votação é organizado, poder observar com uma evidência tangível que o resultado está correto.
A principal propriedade de segurança de um sistema de votação nem é exatamente entregar o resultado. Mais importante que entregar o resultado correto é convencer o perdedor que de fato ele perdeu, que há um conjunto de evidências que possa ser analisado de maneira independente para que um perdedor simplesmente chegue à conclusão de que a eleição foi honesta, o resultado está correto e ele perdeu. E é isso que geralmente gera confiança no eleitorado.
BBC News Brasil - Então, o voto impresso seria uma barreira para discursos como o de Bolsonaro, para dissuadir pessoas que levantem dúvidas sobre a integridade da eleição?
Aranha - Exatamente. E pelo menos esse fenômeno foi observado nos Estados Unidos: alegações similares foram colocadas por lá e, nos Estados que adotavam algum procedimento de verificação do registro físico com registro eletrônico por amostragem, rapidamente terminaram seus procedimentos e confirmaram o resultado.
Aqueles Estados (sem voto impresso) onde se fez perícia na máquina, verificação no software, onde as regras de auditoria foram mudando ao longo do tempo, com interações entre pedidos de evidências e respostas das autoridades responsáveis por coordenar o processo, aqueles se arrastaram por muito mais tempo. Exatamente porque as condições de auditoria não ficam claras e o procedimento termina sendo contaminado. Então, na experiência americana, ter um procedimento de auditoria por amostragem sobre um registro físico permitiu invalidar essas alegações de fraude de maneira mais rápida.
Uma experiência interessante do ponto de vista de auditoria também é na Índia, que adota um registro físico nas suas máquinas de votação. A Índia também foi um país pioneiro em implementar voto eletrônico. Após uma análise de segurança em 2009 encontrar uma série de problemas na concepção e na implementação desses equipamentos, uma trilha física em papel foi implementada como mecanismo de transparência. Num processo de dez anos, esse mecanismo atingiu todas as sessões eleitorais, e lá é feito uma verificação por amostragem por precaução.
Então, assim que o resultado é publicado, já se sorteia uma fração de, se não me engano, 1,5% das sessões eleitorais para se confrontar o registro físico e o registro eletrônico, se confirmar o resultado eletrônico e aí já esvaziar qualquer pedido desnecessário de auditoria por ter um procedimento que, por precaução, invalida alguma alegação que seja feita para fins político-partidários.
BBC News Brasil - O sr. aponta que o voto impresso seria mais um mecanismo de segurança para termos mais certeza de que o software dentro da urna está funcionando adequadamente. Outro acadêmico defensor do voto impresso, o professor Paulo Matias, do Departamento de Computação da Universidade Federal de São Carlos, reconhece que não seria algo trivial fazer isso: invadir a urna e adulterar o software. O sr. concorda que, dados os mecanismos de segurança que o TSE adota hoje, como criptografia e assinatura digital, é difícil corromper a urna eletrônica e fazer uma fraude em larga escala que afete os resultados das eleições?
Aranha - Eu gosto de analisar a possibilidade de intervenção no sistema sob dois diferentes prismas. Existe o que a gente chama de um atacante externo, alguém que não tem acesso privilegiado e está fora da infraestrutura da Justiça Eleitoral e das próprias eleições. Você pode pensar em alguém alterando ou tentando alterar resultados remotamente ou, de repente, no dia da eleição tentar sabotar a urna eletrônica da sua própria seção eleitoral. Então, a gente observa que o sistema é projetado para resistir (a ataques desse tipo). Nos testes de segurança (que participei em 2012 e 2017), a gente pôde encontrar problemas de segurança que inicialmente permitiam esse tipo de ataque e foram sendo corrigidos ou aprimorados ao longo do tempo.
Então, atualmente esse tipo de ataque, eu diria que é bem difícil de ser implementado com sucesso, especialmente sem permitir detecção. Entretanto, do ponto de vista de um atacante interno, alguém que tem acesso privilegiado ao sistema, ao software de votação, eu entendo que ainda há lacunas de segurança na concepção e implementação do sistema que poderiam fragilizar o processo.
E é importante em eleições considerar esses dois atacantes porque a gente também observa que em outros tipos de sistemas, em sistemas bancários, em sistemas de órgãos de inteligência em outros países, os ataques com maior sucesso e que provocaram maior estrago tinham a colaboração e a participação de um atacante interno. Evidentemente, eu não estou alegando que funcionários da Justiça Eleitoral sejam mal-intencionados ou tenham esse objetivo. Eu estou pensando friamente do ponto de vista de análise de risco, que é a tarefa que a gente faz como pesquisador na área de segurança.
E no caso de eleições, o risco, de certa forma, é amplificado, porque acontecem em um dia e precisam produzir o resultado correto dentro daquela janela de tempo. Qualquer desvio — seja acidental, seja causado por uma tentativa de fraude — do esperado para o processo eleitoral, isso gera desconfiança e termina minando aí talvez o principal recurso de um sistema de votação que tenha sucesso. A gente observou esse fenômeno, por exemplo, acontecendo com simples atrasos na totalização em eleições anteriores, que geram teoria de conspiração, geram desinformação e geram, novamente, alegações vazias de fraude.
Nesse ponto, eleições são muito mais críticas do que sistemas bancários ou até órgãos de inteligência, porque um banco pode ter sua segurança comprometida, mas no dia seguinte ele pode restaurar seus sistemas e voltar a operar. Então, ele pode perder clientes, talvez, ele possa até ir a falência, mas não há um dano social, ao tecido social, que seja talvez até permanente e permita inspirações pouco democráticas por quem concorre nas eleições.
BBC News Brasil - Segundo o TSE, o que evita ataques internos é que apenas uma equipe pequena tem acesso ao sistema da urna eletrônica e tudo que elas fazem fica registrado no sistema. Isso não seria suficiente para afastar esses riscos?
Aranha - Eu diria que não, observando também eventos de outros tipos de sistema em outros contextos. A gente tem relatos de precedentes de outras organizações que também adotavam sistema de controle e versão, processos de desenvolvimento rigorosos e que também conseguiram ser atacados com sucesso. Há exemplos documentados.
Um procedimento, por exemplo, que é extremamente crítico e que poderia, se atacado, causar um estrago ou um impacto importante, é o procedimento de compilação (do software). Então, existe um procedimento na geração do software de votação onde todo código escrito pelos programadores do TSE é extraído para uma máquina e lá ele é transformado nos (códigos) binários que vão ser instalados na urna.
Esse procedimento ocorre após o desenvolvimento e ele não gera rastros que ficam visíveis no sistema de controle e versão do software, por exemplo. Então, uma intervenção neste ponto em particular poderia, em tese, novamente estou fazendo análise de risco e não alegando que isso aconteça, tenha acontecido ou vá acontecer, mas uma intervenção naquele ponto poderia contaminar o software de votação que sai do TSE na origem com algum tipo de de código malicioso que permitiria violar sigilo ou a integridade de resultados.
Uma outra possibilidade também é um simples erro acidental ou proposital que venha da equipe de desenvolvimento. Escrever código seguro é difícil, é uma área de pesquisa bem estabelecida, mas que ainda tem muito a evoluir. Nenhum software é 100% seguro, 100% perfeito. Então, uma intervenção maliciosa ou um erro de programação acidental no sistema, no software de votação no TSE, poderia de repente introduzir uma vulnerabilidade que é explorada pelo técnico que está na outra ponta, às vezes é de uma empresa contratada para receber o software que o TSE emite para os TREs (tribunais regionais eleitorais) e gravar esse software em cartões de memória que vão instalar o software nas urnas.
Nos testes públicos de segurança de 2017, a gente observou uma lacuna na verificação de integridade do software de votação, naquele procedimento em que a urna verifica se os programas lá instalados estão íntegros, que permitiria a alguém que está gerando os cartões de memória que instalam software na urna injetar código intruso nesses cartões antes do software ser instalado. E como esses cartões instalavam 50 urnas cada, existia um fator de escala que funciona a favor do fraudador. Se ele consegue a possibilidade de adulterar o software armazenado em um destes cartões, esse cartão contaminaria 50 urnas posteriormente com software (malicioso).
A gente, nos testes, mostrou algumas formas de introduzir comportamento malicioso, como alterar mensagens na tela pra deixar claro que o software não mais seguiria sua programação original. A gente tinha código intruso, mas, que do ponto de vista do operador do sistema, o sistema se comportou de maneira indistinguível ao sistema real. Conseguimos instalar o software, executar as rotinas de autoteste, começar uma eleição, simular uma eleição, e o sistema funcionou como esperado do ponto de vista do operador. Então, por mais que esses problemas tenham sido corrigidos ou mitigados após os testes públicos de segurança, eu não consigo ignorar o risco disso de repente acontecer.
Mas a minha justificativa principal para implantação do registro físico do voto é, novamente, para um mecanismo de transparência, para que haja uma maneira acessível e eficiente de se confirmar que os resultados da eleição estão corretos sem necessitar de especialização técnica, que sejam auditores com treinamento na tecnologia eleitoral ou em segurança da informação, que permitam rapidamente esvaziar alegações de fraude.
BBC News Brasil - Um dos principais argumentos contra o voto impresso que o presidente do TSE, Luiz Roberto Barroso, adota é o risco ao sigilo do voto. Ele já disse, por exemplo, que num país onde há áreas dominadas por milícias, pelo tráfico de drogas, isso seria perigoso. Por que, na sua visão, isso não é uma vulnerabilidade?
Aranha - A implantação de um registro físico eventualmente seria feita, em primeiro lugar, gradualmente. A implementação gradual permitiria iniciar essa implementação por regiões menos sensíveis, onde a população não é vulnerável e há democracia plena no sentido de não haver intervenção de um poder local paralelo, alheio às instituições democráticas.
Você pode começar o processo por seções eleitorais onde a população não é tão vulnerável, observar como a população interage com aquele mecanismo novo. Até porque a população teria que ser instruída a verificar o registro físico que é apresentado durante a eleição, os protocolos para se comparar esse registro físico com o resultado eletrônico precisariam ser aprimorados também. Eles não iriam funcionar 100% da primeira vez. É importante lembrar que a própria implantação da urna eletrônica do Brasil não foi uma etapa única. Foi dividida em três eleições consecutivas, de 1996 ao ano 2000, exatamente porque é preciso haver uma salvaguarda caso alguma parte do sistema não funcione como esperado.
A implantação gradual permitiria, em primeiro lugar, projetar e validar um mecanismo que de repente pudesse ser mais confiável e funcionar melhor, de maneira mais robusta no dia da eleição. Essa é uma etapa importante do processo.
Além disso, é possível implementar um registro físico do voto que preserve o anonimato e o sigilo do voto como um requisito constitucional. Então, no que se propõe para ser implementado no Brasil, esse exame do registro físico do voto acontece dentro da cabine indevassável de votação e seria apresentado ao lado da tela da urna eletrônica, em uma impressora acoplada à urna eletrônica, dentro da cabine.
Eu vejo bastante esse argumento nas redes sociais: "Ah, mas seria possível fotografar, seria possível coletar algum tipo de evidência". Mas estes mesmos argumentos se aplicam à tela da urna. Seria possível para um eleitor que foi coagido entrar na sessão de votação e filmar sua interação inteira com o equipamento. Esse comportamento (filmar sua votação) é ilegal segundo o Código Eleitoral no Brasil, mas o risco de violação do sigilo (do voto impresso) é o mesmo que se aplica à tela da urna. Esse é o primeiro ponto.
Com esses registros físicos coletados na sessão eleitoral e armazenados numa urna física convencional, precisa-se projetar um protocolo que preserve a integridade dessa evidência até o ponto da auditoria, e uma forma simples, antiga, para se desvincular a ordem que esses papéis foram impressos da ordem de votação é você misturar essa urna física.
Um outro ponto importante na proposta do registro físico é que o TSE construiu um protótipo que satisfaz os requisitos desse mecanismo. Ele foi inclusive publicado num evento nacional de tecnologia eleitoral, um evento científico, foi revisado por pares, é um bom projeto inicial para se tentar um esforço, novamente, com implementação gradual, estudos de usabilidade, num esforço de longa duração. E nesse protótipo do TSE, há uma característica muito interessante que a urna eletrônica autentica esses registros físicos. Então, ela produz uma assinatura digital provando que aquele registro foi produzido durante a eleição especificamente por aquela urna.
[...]
Evidentemente não seria possível uma pessoa imprimir um monte de votos a mais em casa e introduzir estes votos a mais nas urnas físicas porque não teriam essa autenticação produzida pela urna eletrônica durante a eleição. Ao mesmo tempo, outros tipos de intervenção nestes registros físicos seriam detectados pela falta ou pela validade deste autenticador que a urna produz. Então, a trilha física aqui seria verificável pelo eleitor, porque é um pedaço de papel observado dentro da cabine indevassável, mas também autenticado pela urna para que a sua integridade possa ser verificada também.
Um último ponto, que também vem sendo discutido, seria a necessidade de se contar todos esses registros físicos do país inteiro. Essa não é a prática internacional e não é também o que se propõe na literatura científica. A ideia sempre é fazer uma auditoria, uma verificação por amostragem, exatamente para que não seja possível, com custo muito baixo (para o fraudador), se invalidar o resultado de uma sessão eleitoral.
Uma preocupação, por exemplo, seria se alguém com acesso a essa trilha física faz desaparecer um dos registros físicos para poder alegar que houve fraude. Se a contagem é por amostragem, a quantidade de registros físicos que teriam que desaparecer ou ter sua integridade comprometida para poder se anular o resultado da eleição seria muito grande o que tornaria inviável um esforço dessa magnitude para um fraudador até bem equipado.
BBC News Brasil - A proposta de voto impresso em discussão na Câmara está de acordo com o que o sr. defende?
Aranha - Eu sei que há várias versões (da proposta de voto impresso sendo discutidas na Câmara). Eu observei a versão original da proposta (da deputada Bia Kicis) e havia questões de redação. Por exemplo, ela falava em cédulas físicas. Eu acho isso complicado porque já há uma confusão enorme sobre o que é voto impresso. Não é nem difícil encontrar, por exemplo, referências ao termo voto impresso em veículos de imprensa que são de qualidade no país utilizando como sinônimo de voto em cédulas, quando são coisas diferentes.
Eu tenho inclusive utilizado o registro físico para tentar tornar mais específico o que se propõe. Utilizar a redação de cédulas físicas eu acho que cria confusão e cria facilmente argumentos contra, porque as pessoas iam associar às antigas eleições baseadas em cédulas.
Eu não sou um jurista, mas do ponto de vista técnico, o que faz sentido é fixar um conjunto de requisitos, porque especificar de maneira demasiada este mecanismo em uma emenda constitucional engessa a forma como ele pode ser evoluído ao longo do tempo. O que eu entendo que poderia ser proposto é uma cristalização de requisitos de segurança e transparência que devem ser satisfeitos pelo sistema de votação. O sigilo do voto é um destes requisitos que já existe na Constituição. A gente poderia pensar em um mecanismo de transparência, por exemplo, que capturasse essa ideia de independência do software como requisito, e a partir daí, sabendo quais são os requisitos (previstos na Constituição), trabalhar nesse espaço de soluções possíveis que satisfaçam esses requisitos da maneira mais eficiente possível.
BBC News Brasil - Como o sr. já disse, mesmo que o voto impresso venha a ser aprovado agora, não dá pra aplicá-lo para o próximo ano. Seria uma adoção gradual?
Aranha - Correto. Uma intenção sincera de se implementar o voto impresso para que ele cumpra o que se espera, que ele se torne um mecanismo transparente que aumenta a confiança da população nos resultados, ao invés de simplesmente um mecanismo que crie mais ruído, é a implementação gradual, cuidadosa com a submissão desse mecanismo novo a testes de usabilidade, a testes de segurança, como já acontece com o sistema de votação, para que ele possa de maneira controlada e cuidadosa atingir todas as sessões eleitorais, exatamente como foi a implementação da urna eletrônica nos anos 1990.
Essa é a única forma possível de se fazer uma mudança dessa natureza no sistema de votação, sem criar riscos maiores do que as vantagens que o mecanismo poderia trazer.
BBC News Brasil - O sr. vê problemas no discurso bolsonarista sobre voto impresso, mas também vê problemas historicamente na postura que o TSE adotou nesse tema. Qual sua crítica a forma como o tema foi conduzido no TSE?
Aranha - Sim. Eu gostaria de responder isso em nome da comunidade técnica porque essa não é uma reclamação apenas minha. Especialmente entre 2009 e 2014, quando as primeiras edições dos testes aconteceram, havia uma reclamação muito grande com transparência nas posturas do Tribunal Superior Eleitoral.
É importante lembrar: o sistema foi implantado no Brasil em 1996 e a primeira vez em que ele pôde ser testado com exame do código-fonte do sistema por especialistas independentes foi em 2012. E mesmo em 2012, quando eu coordenei uma equipe que naquela ocasião encontrou uma vulnerabilidade no embaralhamento dos votos que permitiria fragilizar o sigilo do voto utilizando apenas informação pública, mesmo naquela ocasião vários pesquisadores da nossa equipe em particular reclamaram das condições de trabalho dos testes. Você pega um procedimento extremamente adversarial, onde as condições dos pesquisadores nem sempre eram priorizadas, onde havia um controle muito forte da narrativa do que acontecia nos testes pelo próprio tribunal.
Depois dos testes acabarem, por um bom tempo a gente ainda precisou de maneira bem incisiva se manifestar na imprensa, nas oportunidades que apareceram pra isso, simplesmente para confirmar os nossos resultados, porque existe uma postura muito grande do tribunal em negar aqueles resultados técnicos.
Na própria forma como o TSE fala sobre a experiência de voto eletrônico em outros países, a gente também observa uma postura que não é exatamente transparente. O TSE sempre se manifesta listando o número de países que utilizam algum tipo de dispositivo eletrônico em suas eleições, mas muitas vezes omite que vários destes países utilizam também o registro físico em concomitância ao registro eletrônico como mecanismo de transparência. Há, de certa forma, uma versão do tribunal que é muito difícil de se colocar em discussão pela postura em que essa versão é apresentada.
Então, poderia haver aprimoramentos tanto na comunicação do tribunal com a sociedade, que privilegiasse a transparência, o reconhecimento da área de pesquisa e da prática internacional do voto eletrônico, como também na relação com a comunidade técnica na medida em que esses sistemas são disponibilizados para exame independente.
Um ponto, por exemplo, que está sendo discutido e foi inclusive promessa do tribunal em 2018 e ainda não satisfeita é a abertura do código-fonte. Eu não consigo entender porque um sistema crítico que é utilizado no país para um dos seus procedimentos mais importantes, um dos alicerces da democracia, que está em produção há 25 anos e que o tribunal defende como talvez o melhor sistema de apuração eleitoral do mundo, porque ele não pode ser examinado de maneira conveniente fora das dependências do Tribunal Superior Eleitoral por pesquisadores independentes.
Se o sistema tem esse nível de maturidade que é alegado pelo tribunal e tem essa história de 25 anos de sucesso como um sistema crítico, ele já deveria estar pronto há muito tempo para o exame de pesquisadores externos.
Então, tá aí uma sugestão de um mecanismo simples, que dá tempo de ser satisfeito até as próximas eleições, e que eu entendo aumentariam de maneira substancial a transparência no sistema: a publicação do código-fonte para que ele possa ser examinado por especialistas que não representam partidos ou não participam de testes públicos de segurança com a janela de análise inclusive muito mais longa, com a possibilidade de interação maior.
Só dá Talibã neste plenário, Meu Deus, ou seja, PT e PSOL !
De novo ? Só Talibã ! Só xiítas do PSB, PSOL e PT !
10AGO2021 - 17:55H
Um deputado - Rogério Correia - ou é tremendamente mal informado, ou é teleguiado ou é um papagaio de fundo de quintal.
O cara até que aprendeu a pronunciar palavras, mas deve possuir alguma coisa como um neurônio e meio. Lastimável.
Quero ver o que estes políticos corruptos vão fazer.
Postar um comentário