http://www.cic.unb.br/~rezende/sd.htm > Totalitarismo: eleições

Campanhas e Campanhas

Publicado no Observatório da Imprensa, edição de 3/7/02,

versão resumida e revisada publicada no Jornal do Commercio, RJ

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia
27 de Junho de 2002


A campanha da seleção brasileira na 17a. copa do mundo foi impecável. Não há como saber, mas podemos supor que o papel fiscalizador da mídia contribuiu para este sucesso. Entretando, há uma tendência para se exagerar a importância deste papel, às vezes chamado de quarto poder, como fez recentemente o presidente da república, ao afirmar que quem fiscaliza as eleições é a mídia. Na época em que a lei eleitoral era respeitada quem fiscalizava eram os partidos políticos, que também se fiscalizavam mutuamente nesta tarefa.

Agora, quem vai fiscalizar a mídia no seu papel de fiscalizar as eleições, principalmente se tiver exclusividade para tal, como sugere o presidente? Não tenho registro da opinião dele a respeito. Aliás, não me lembro de ter lido ou ouvido nada neste sentido. O aparato fiscalizador dos serviços públicos de comunicação de massa, previsto no artigo 224 da Constituição Federal, nunca chegou a ser implementado: só agora foi instalado seu conselho, 14 anos depois de instituído. Neste contexto a opinião do presidente pode estar dissimulando uma exortação à desobediência da lei do 9504/97, principalmente em seu artigo 66, que atribui esta função aos partidos. Tal exortação, além de constituir fato grave em si mesmo, traz à tona um outro fato potencialmente ainda mais perigoso.

Além das campanhas eleitorais dos que querem se eleger, estamos sendo submetidos também a um outro tipo de campanha, conduzido pelas instituições que organizam o processo eleitoral. Em comum, promessas descumpridas, explicações fantasiosas e outros truques menos dignos, em meio a uma feroz disputa pela boa fé do eleitor. Tanto mais feroz esta disputa, mais crucial se torna a eficácia da fiscalização. Fiscalização comprometida ou tendenciosa nas campanhas dos candidatos pode ser ruim para a democracia; porém, fiscalização falha nesse novo tipo de campanha, pela aceitação de um processo eleitoral onde fraudes  indemonstráveis de origem interna são possíveis através de softwares secretos e trapaceiros, seria seu tiro de misericórdia.

Será que, nesse novo tipo de campanha, a mídia deva conceder crédito ilimitado às palavras oficiais, desdenhando opiniões contrárias? Não seria saudável redirecionar um pouco do viés crítico que abundou na campanha do Felipão, para a campanha ufanista que decreta as virtudes absolutas de um sistema de votação cuja informatização lhe subtraiu a virtude da auditabilidade?  Parece que a grande maioria dos órgãos de comunicação de massa estão bem acomodados com sua própria inércia, não se inquietando com semelhanças entre as estratégias desse novo tipo de campanha e do método de trabalho dos ilusionistas. Esta acomodação pode trair a responsabilidade perante a cidadania brasileira que lhe atribui o presidente da república, fazendo-a recair do tratamento que lhe prescreveu a bela campanha do Felipão. O ibope não pode servir como desculpa, se o presidente for levado a sério acerca da mídia como função social e não apenas como negócio.

Por outro lado, quem está de fora não pode distinguir ingenuidade de conivência ou má fé. Todavia, sinais preocupantes surgem quando a dedicação de repórteres começa a se chocar com obstáculos internos, acoitados nos meandros das políticas editoriais desse quarto poder. Tomando como fio da meada um caso emblemático que acaba de envolver a mim e ao jornal O POPULAR de Goiânia, passo a refletir sobre esses sinais preocupantes.

Em 14/06 concedi uma entrevista a uma jornalista que me identificou como um dos críticos do nosso sistema de votação informatizada. Para contraponto foi ouvido, em separado, o secretário de informática do TRE de Goiás. A primeira pergunta era a de sempre: se eu considero a urna eletrônica segura. Considero-a segura até demais, e minha resposta bate sempre na mesma tecla: o excesso de segurança da urna é problemático porque empacota junto dois tipos de proteção, das quais só uma pode interessar ao eleitor genérico: a proteção contra falhas não intencionais e fraudes de origem externa; e a proteção para fraudes de origem interna.

A entrevista só foi publicada no dia 24/06, com o título "Segurança das urnas em xeque".  Porém, o que coloquei em xeque não foi a segurança das urnas, mas a segurança da verdade eleitoral. Minha primeira resposta foi cortada no ponto e vírgula, excluída a segunda proteção mencionada, para fraudes de origem interna. O sentido de toda a entrevista ficou desarvorado e minha primeira resposta incompreensível, devido ao corte que explorou minha brecha gramatical. É claro que a urna é segura, tanto para o eleitor com programas honestos, quanto para o fraudador que instale programas desonestos. Ambos terão garantias de que sua participação na eleição será computada em sigilo. Mas a omissão do que pode não interessar ao eleitor foi apenas o início da confusão.

Na matéria que fazia contraponto à entrevista, o secretário de informática do TRE de Goiás é citado em contradição ao título "TSE garante que partidos terão acesso". Segundo as palavras do secretário, citadas para "explicar" as promessas do presidente do TSE, os partidos não terão acesso para auditoria à software criptográfico da urna. O secretário aparece contradizendo a promessa que fez o Ministro Nelson Jobim, na audiência pública da Comissão de Constituição e Justiça da Câmara dos deputados de 19/06, revertendo a posição a respeito que o TSE vinha sustentando desde a véspera da eleição passada. Nesta audiência, da qual participei, o ministro disse explicitamente que a software criptográfico estará disponível para auditoria pelos partidos políticos, na audiência marcada para 6 de agosto.  Disse-o na presença do general Alberto Cardoso, chefe da Abin, a controladora do CEPESC, fornecedor da software criptográfico da urna, e disse também que todos os softwares, exceto o sistema operacional, estarão disponíveis para auditoria. Quem está certo? O título da matéria, o ministro ou o secretário regonal? Se nem todos os softwares da urna serão auditáveis em 2002, qual ou quais serão secretos?

Das duas, três: ou a justificativa apresentada pelo secretário do TRE-GO para que a software criptográfico permaneça inauditável é falaciosa; ou o secretário sabe mais do que nós e está nos revelando que o ministro faltou com a verdade para seu público externo na sua apresentação ao Congresso em 19/06, exatamente como ocorreu na eleição de 2000, quando ele mesmo prometeu uma coisa em nome do TSE e o TSE fez outra. Ou ambas. Há ainda uma outra hipótese independente dessas: quando prestou suas declarações em15/06, o secretário ainda não sabia que, quatro dias depois, o ministro iria mudar o discurso oficial a respeito do assunto, mudança esta que a repórter teria registrado na abertura do artigo.

Quanto à primeira hipótese, é fato ser falaciosa a justificativa, metáfora ou analogia apresentada pelo secretário nesta matéria, na qual compara o software criptográfico da urna com um alarme que se instala em casa. Além de falaciosa, como argumentarei adiante, esta analogia é também infeliz, já que mostra a inabilidade do secretário para distinguir um IDS (sistema de detecção de intrusão, equivalente a um sistema de alarme) de uma cifra (sistema criptográfico, equivalente a uma fechadura).

Um sistema de detecção de intrusão, ou um alarme, é um mecanismo para proteger os interesses de um agente contra interesses opostos, num dado sistema de controle de riscos. Algo como um controle de acesso de segunda ordem. A analogia escolhida para explicar a segurança de um tal sistema só é útil num contexto onde existem apenas dois interesses relevantes em jogo: o do dono da casa e o do ladrão. Mas este não é o caso do nosso sistema eleitoral. O sistema eleitoral brasileiro é composto da Justiça Eleitoral e vários partidos, já que não vivemos num regime totalitário como o da China ou de Cuba. Portanto, são pelo menos três interesses. Negligenciar o fato de que três ou mais desses interesses possam estar em conflito é agir com ingenuidade, imprudência ou má fé, quaisquer dessas posturas incompatíveis com a responsabilidade pela operação do sistema. Se o secretário quer sustentar sua analogia, ela merece ser analisada.

Ao dizer "Seria como instalar um alarme em casa e estampar, na porta, a localização dos sensores" para justificar a ocultação do software criptográfico da urna aos partidos, o secretário de informática do TRE de Goiás está obviamente exagerando. Auditoria do sistema criptográfico da urna não equivale a estampar a localização dos sensores na porta da casa.

Equivale ao exercício do direito daqueles que tem valores dentro da casa em saber como funciona o alarme, direito assegurado pelo artigo 66 da Lei 9504/97 no caso da urna. Uma cenário nada tem a ver com o outro. Aliás, esses dois cenários só apresentariam o mesmo perfil de riscos no caso em que apenas quem tem valores na casa, e nunca quem vende o alarme, pudesse ter interesse em roubar. Se quem alardeia esta hipótese é justamente quem oferece o alarme aos que tem valores na casa, o máximo que se pode fazer com esta oferta é acautelar-se.

A primeira falácia do secretário está, portanto, em considerar o sistema eleitoral como sendo tal que os possíveis interesses dos partidos e da justiça eleitoral serão sempre coincidentes, aos quais só se opõem os dos hackers. Um roteiro holliwoodiano paradisíaco, onde a possibilidade de conluio entre a justiça eleitoral e um ou mais partidos ou subpartidos, para prejudicar os demais, está absolutamente fora da imaginação de qualquer personagem.

A outra falácia do secretário está na sua infeliz escolha de analogia. Criptografia quer dizer escrita oculta. Usada na urna para sigilo, seria como colocar um boletim de urna numa maleta 007 e trancar a maleta com chave, para que o boletim não seja lido durante o percurso da urna ao local de apuração.

Para tal, basta proteger a chave. Se a maleta é boa mesmo para o nível de proteção desejado, não há necessidade de se ocultar o funcionamento da fechadura. O uso indevido da chave, ou da fechadura, faria o mesmo estrago em qualquer dos casos. Novamente, a ocultação do funcionamento da fechadura só protege quem tem algo a perder com fraudes no boletim de urna no caso em que o vendedor da maleta não tem nenhum interesse em ser o próprio ladrão, o único que saberia fazer uso indevido da fechadura, abrindo-a sem a chave.

Se a minha opinião de especialista não carrega a credibilidade necessária, pode-se tomar fatos do mundo da vida para estabelecer a impropriedade da analogia empregada pelo secretário. O governo norte-americano tem organizado concursos públicos com o propósito de escolher seu padrão de programa criptográfico para uso na esfera civil. Os vencedores desses concursos foram licenciados como DES em 1976, e AES em 2001. Nestes concursos, o papel do serviço secreto do poder executivo foi o de analisar e selecionar o programa vencedor, e não o de fornecê-lo.

O serviço secreto americano não fornece os programas neste caso pois, para o uso a que se distina, a fiscalização e a auditabilidade dos programas é tão importante para a segurança da cidadania quanto a robustez da cifragem. Principalmente neste momento de crise de confiança capitalista, quando falhas de auditoria e fiscalização incestuosas acobertam fraudes bilionárias mesmo onde esta fiscalização deveria ser completa e eficaz, sob minuncioso e rígido regime regulatório. Esta auditabilidade não compromete a robustez dos programas, pois estes são acessórios a uma eleição cuja totalização seja fiscalizável nos termos da lei 9504/97, e porque os programas podem ser implementados separadamente das chaves de cifragem. Da mesma forma que a chave e a fechadura de nossas casas. Os programas secretos desenvolvidos por este serviço tem suas aplicações, mas não na esfera civil. As aplicações de criptografia secreta tem sua utilidade nas esferas militar e diplomática, onde o tipo de fiscalização é interna, e não pública. Na esfera pública, todos conhecem o ditato de que a ocasião faz o ladrão.

É claro que fica mais difícil justificar a posição do secretário com a analogia adequada. Insinuar ao leigo que chave e fechadura são inseparáveis quando feitas de bits, e que portanto ambos devem permanecer secretos, não pode ser apenas ingenuidade partindo de um profissional que atue na informática de processos civis públicos, como é o caso do processo eleitoral. A um profissional que esteja no lado da cidadania, esta insisuação soa como pretexto para desobediência à lei eleitoral. E este pretexto soa mal sob o eco da recente estória do botão macetoso no painel do senado, que só estava lá porque quem o encomendou negligenciou o risco de que o sistema viesse um dia a ser externamente auditado.

Auditável ou não, o uso da criptografia para sigilo não é o uso adequado para o caso da urna. Por isso a Unicamp recomenda o uso correto de criptografia, que é o uso para proteção da integridade -- e não do sigilo -- do boletim de urna durante o transporte. Obviamente, esta escolha eliminaria a chance do ladrão se passar por vendedor de maleta 007 com fechadura secreta.

Mas afinal, que tipo de criptografia é usada na urna? Não sabemos, pois nenhum partido pôde, até hoje, inspecionar. Em documentos oficiais o secretário de informática do TSE fala de sigilo. Seu consultor de segurança fala agora de integridade, como também o chefe de segurança institucional do poder executivo, na audiência de 19/06 na CCJ da Câmara dos Deputados. E, agora, o secretário do TRE de Goiás fala aO POPULAR de IDS (mecanismo de detecção de intrusão), através de sua metáfora "alarmista". Caso continue secreta, como haveremos de saber do que realmente se trata? Diante de tamanha confusão, prefiro falar da caixinha de mágico.

E quanto à segunda hipótese para a confusão na matéria dO POPULAR? Também é fato que o atual presidente do TSE faltou com a verdade acerca da auditoria dos programas na eleição passada. No dia 1º de junho de 2000, o ministro Nelson Jobim, então vice-presidente do TSE, compareceu ao plenário do Senado representando seu presidente, numa reunião extraordinária convocada para esclarecimentos sobre o processo eleitoral. Consta das notas dessa reunião o ministro dizendo: "...o fato é que a auditagem [dos programas] é posta nos 60 dias anteriores à eleição e os sistemas estão submetidos à apreciação dos partidos... Todos eles. Tanto o programa fonte como todos os outros. Todos eles estão submetidos à auditagem pelos partidos. Não há dúvida. E, se não estivessem, estariam a partir deste momento." (veja em http://webthes.senado.gov.br/sil/Comissoes/Permanentes/CCJ /Atas/20000601EX022.ZIP) Promessa desnecessária, pois isso já está no artigo 66 da Lei 9.504/97.

A auditagem foi marcada para 1º de agosto de 2000. Mas a portaria do TSE regulando-a, a 142/00, negava, em seu artigo 2, a apresentação de programas fonte: "Os sistemas disponíveis para auditoria... Não incluem os Sistemas Operacionais (Programa básico), por serem padrão de mercado, o Sistema de Segurança (SIS) e o algoritmo de criptografia, por constituírem o bloco de segurança." Essa portaria foi assinada na véspera da auditagem.

Os surpreendidos ouviram: "Não são todos, mas são quase todos." Imagine uma consultoria em segurança doméstica sugerindo-lhe várias medidas de proteção, dentre elas trancar a porta dos fundos. Imagine que você cumpra todas menos esta, e que o ladrão saiba disso. Sua casa estaria protegida porque você adotou quase todas as medidas? Para os partidos, era pegar ou largar: uma eleição com urnas que o dono trata como se fossem caixinhas de mágico.

O PDT entrou com mandado de segurança contra a resolução 20714 do TSE, que negava sua impugnação daquela portaria por infração da Lei 9.504/97. O processo foi aberto antes do 1º turno. Apesar da relevância e urgência, o TSE não se manifestou: engavetou-o por sete meses e depois o arquivou, sem julgamento do mérito, em abril de 2001, "por perda do objeto". Quase um deboche. Assim foi a eleição de 2000.

E como se conduz à próxima o TSE? Em 29 de maio, seu presidente vai ao congresso anunciar que o relatório da Unicamp diz ser o sistema eleitoral "seguro robusto e confiável"; mas só o divulga no dia seguinte. Aí ficamos sabendo que o relatório, além disso, sugere as medidas de segurança que o TSE negou ao PDT em 2000. E desmente não só a justificativa da portaria 142/00 - o programa básico não é padrão de mercado -, mas também a seguinte, na resolução negando impugnação, sobre como o programa secreto de criptografia funcionava.

Depois, em 16 de junho, ele recebe um partido governista às 3h para aconselhamento sobre como solicitar liminares. E, em 19 de junho, vai à CCJ da Câmara repetir basicamente as mesmas promessas de dois anos atrás sobre auditagem. Não sem antes ter feito, com sucesso, lobby no Congresso por medidas cerceadoras do direito de fiscalização dos partidos, em lei complementar à 9.504/97, comentada em http://www.cic.unb.br/~rezende/trabs/jcsbc4.htm .

Mesmo que sua letra seja agora cumprida, caso os partidos não possam verificar se o que vai na urna da eleição é o que foi apresentado 60 dias antes, o espírito da lei - a fiscalização - morre. No momento em que escrevo, da apresentação dos programas só conhecemos promessas e data: 6 de agosto. Não foi regulamentada ainda, em desprezo a uma urgência maior que, digamos, a de pendengas em convenções governistas.

Todo este material foi oferecido antes à editoria de política dO POPULAR, que o desprezou como fonte de valor jornalístico Talvez um pequeno trecho, numa "carta do leitor" numa edição futura. Candidato fora da linha pode experimentar o rigor da lei eleitoral. Candidato que promete e não cumpre pode ser punido pelo voto. Quanto ao organizador do processo eleitoral, quando tem assento e maioria na mais alta corte do país, só a auto-censura? Infelizmente, esta forma de juízo aparenta ocorrer mais debilmente nele que na mídia.

Não é de se estranhar que o candidato Lula tenha mencionado um "esquema do próprio governo para fazer terrorismo com o processo eleitoral", provocando reação imediata na Casa Civil da Presidência da República, cujo chefe foi ao ar demandar elementos concretos e objetivos para justificar tão grave acusação, ou a retratação. Fosse menos embaralhado o jogo entre o poder constituído e o poder da mídia, os elementos cobrados viriam à superfície com proficiência e abundância. Para quem os garimpa, haverá classificação mais precisa que a oferecida por Lula? Quanto ao sujeito da sua frase, não seria mais prudente chamá-lo governo que desgoverno? Já a resposta, poderá condenar ou absolver Lula por calúnia. Pelo menos perante a opinião pública esclarecida.