http://www.cic.unb.br/~rezende/sd.htm > urna eletrônica: modelo segurança

A Lanterna de Diógenes

Sobre a segurança da urna eletrônica no Brasil

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
29 de Abril de 2001


Índice

Resumo

Início

1. A Pergunta
2. Os Referenciais de Risco
3. As Metáforas Polarizadoras

Meio

4. Obscurantismo, Sigilo e Tolices
5. O "Botão Macetoso"
6. Salvaguardas ou Riscos?

Final

7. A Dança dos Fatos
8. Transparência, Criptografia, e Engodos
9. A Cabra-Cega e o Graal, à Luz da Lanterna

Epílogo



RESUMO

Propomos analisar a metodologia empregada no planejamento e avaliação da segurança do sistema de urna eletrônica, a partir de relatos e documentos públicos. O viés é ideológico, com tintas semióticas e alguns cacoetes.

Os sentidos em que o conceito de confiança é implícita ou explicitamente usado nesta metodologia, nos discursos que a apresentam, nas explicações oferecidas para decisões através dela firmadas, e no debate suscitado por essas escolhas de sentido, são aqui iluminados.

As possíveis consequências dessas escolhas para a dinâmica de riscos do sistema, à luz de analogias que se pretendem razoáveis e prudentes, e do legado científico atualmente disponível sobre a segurança computacional, são então oferecidas, intercaladas com sugestões para racionalização dos protocolos e dos mecanismos de proteção e salvaguarda do processo eleitoral eletrônico.

O objetivo das propostas de racionalização apresentadas é guiar o processo numa direção específica, a de oferecer controles à cidadania sobre a forma em que estará sendo exposta àquela dinâmica de riscos.
 


 
 

INÍCIO

1- A Pergunta

-- "...O senhor considera nosso sistema de votação seguro?"

1.1 Esclarecimentos iniciais

Com documentos e relatos públicos existindo em suficiência para permitir-nos uma reflexão sobre a metodologia de planejamento e avaliação da segurança desse sistema[1-5], mesmo não tendo participado de nenhuma de suas auditorias ou fiscalizações, aqui a oferecemos. Para fazê-lo em tais circunstâncias, escolhemos passar pela história da Grécia antiga e apanhar uma metáfora útil, da qual iremos nos valer como fio condutor.

Diz a tradição que em Atenas viveu, no século IV AC., um filósofo da escola Cínica chamado Diógenes. Seu nome chegou até à Enciclopédia Britânica[6], talvez por suas atitudes e hábitos incomuns. Conta-se que era visto andando pelas ruas com uma lanterna acesa, em plena luz do dia, procurando por um homem honesto. Dormia na rua e só possuía a roupa do corpo, tendo deixado sua cidade natal depois que seu pai se envolveu na falsificação de moedas.

Diógenes é uma metáfora para o processo da segurança na informática. Também para o analista da segurança computacional, a luz do sol nada vale na busca do que lhe interessa – a retidão de seu semelhante. As imagens públicas dos discursos e dos fatos à luz do dia, não irão lhe revelar o que procura. Suas premissas de confiança precisam ser, nesta busca, as menores possíveis, levando-o por vezes a parecer desequilibrado ou lunático. Ele também precisa, como Diógenes, empunhar sua própria lanterna através da sua jornada.

1.2 Proteger, verbo transitivo direto

Embora Diógenes votasse na praça de Atenas de viva voz, sem nada entender de urna eletrônica, precisaremos da sua lanterna para iluminar a pergunta em tela. A pergunta já montou sua armadilha, ao mencionar segurança em frase incompleta. Segurança é o efeito desejado de ações protetoras, e o verbo "proteger" é transitivo direto: protege-se alguém contra algo. Mas, às vezes é conjugado como se intransitivo fora, e como tal aceito. O TSE declara: o sistema é seguro. E ponto. Mas a questão naturalmente se prolonga: seguro para quem, e contra o que? Ao tentar respondê-la, a própria escolha da predicação a se contemplar primeiro, já irá dar um tom emocional ao diálogo que se quer técnico. Seguro para o eleitor, para o produtor, ou para o dono do sistema? E contra que tipo de risco?

Quando a pergunta ecoa a conjugação intransitiva, originada da posição de autoridade do dono da urna, seu contexto estará pressupondo que os referenciais de risco sejam os mesmos, para a sociedade, programadores e dono do sistema. A emoção surge porque pode não sê-lo. E para quem analisa, planeja e gerencia processos de segurança na informática, como também para quem ensina o exercício desses ofícios, não pode sê-lo[7,8,9].

1.3 Risco, percepção subjetiva

Um dos agentes envolvidos no processo da urna eletrônica pode, em princípio, passar a agir de má fé na medida em que, com risco aceitável para ele, a arquitetura do sistema assim o permitir. Pelo menos dois referenciais de risco estarão se opondo caso isso aconteça: aquele dos riscos que esse agente aceita secretamente correr, e o dos que ele declara publicamente temer, como eleitor ou servidor íntegro. Se este agente fosse um programador com seu "botão macetoso" por exemplo, correria o risco de cair sob inspeção do programa da urna, inspeção cuja ausência seria um risco de fraude para o eleitor. Segurança é como liberdade: termina a de um onde começa a do outro. Por isso, referenciais devem ser vistos como opostos ao se analisar os riscos das ações de má fé nele cabíveis.

Em consequência, discursos proferidos de uma posição de autoridade que tratam referenciais de risco como iguais, não tem valor literal para a análise da segurança do sistema. Mas terão valor a sua frequência e contundência, o seu argumento de poder, que têm na eletrônica uma medida semelhante, chamada impedância. Os referenciais de risco são como o sol e a lanterna de Diógenes. Os contornos do que procura o filósofo não estão nas imagens evocadas por discursos e fatos à luz do dia. Estão na dança dessas imagens.
 
 

2- Os Referenciais de Risco

Referenciais distintos naturalmente se polarizam.

2.1 Discursos Sobre Risco

O que é risco em um referencial, pode ser proteção em outro. Mesmo que desconhecido, sendo que alguns permanecem desconhecidos até se materializarem em incidentes ou acidentes. Esta polarização é dinâmica, respondendo ao modo como os agentes envolvidos posicionam, calibram e sintonizam seus referenciais. Um dos princípios gerais desta polarização é epistêmico: se um agente do sistema desconhecer um risco que corre, este desconhecimento será uma proteção para quem souber explorá-lo ocultamente. Por isso os riscos são mais perigosos quando ocultos, mais graves quando distantes da vista.

O discurso da segurança total de um sistema o pressupõe satisfatoriamente protegido contra todos os riscos. Pressupõe portanto que quem o profere enxerga todos os riscos. Antes mesmo da concordância sobre o que seja proteção satisfatória, seu proferimento põe a questão sobre quais riscos enxergam falante e ouvinte. Esta questão, a ser abordada na seção 3, torna-se crucial quando o proferidor é o dono do sistema, pois a evocação de autoridade, por si só, não fará desaparecer os riscos internos ao sistema (os mais graves no referencial do usuário), enquanto a abordagem estiver limitada aos riscos externos ao sistema (os mais graves no referencial do dono). E a evocação de autoridade, em si, já é indício de tal limitação, principalmente quando ocorre em alta impedância.

Diante do discurso da segurança total o ouvinte precisa, para pautar sua conduta, saber se os riscos que o falante admite existirem em torno do sistema são aqueles que ele consegue, ou aqueles que ele quer, ou aqueles que ele publicamente aceita enxergar. Quem quiser analisar riscos precisa de algo como a lanterna de Diógenes, tal qual na analogia seguinte. Você compraria um sistema de alarme contra roubo para sua casa, oferecido por um fornecedor que teria em você seu único cliente, que não permitisse a ninguém além dele mesmo acessar o sistema, e que pudesse ter algo a ganhar com o produto de roubos à sua residência?

2.2 Análise de Risco

EExceção feita às situações onde a confiança mútua entre dono, produtor e usuário é uma premissa realista para o projeto de um sistema de informática (como por exemplo, se forem a mesma pessoa), seu processo de segurança será instável se sua análise balizar-se em um único referencial de risco. Esta exceção não ocorre quando um só referencial é desenhado, em discursos públicos para sistemas cujo dono é um poder de estado e cujo usuário é o cidadão, pois esses desenhos apenas seguem as linhas de força na superfície do poder. Discursos sobre risco, a partir de posições de poder, buscam certos efeitos psicológicos e por isso desprezam referenciais alheios. Troçam da lanterna filosofal, enquanto o analista precisa conhecer os referenciais que irão se polarizar e guiar o processo abaixo da superfície. Se a análise projetar o sistema com base apenas no discurso de superfície sobre seus riscos, sem buscar o equilíbrio na polarização subterrânea dos referenciais envolvidos, o risco que emergir dominante irá, mais cedo do que tarde e com mais probabilidade, materializar-se em incidente, acidente ou catástrofe, através da arquitetura do sistema[7,8,9].

O processo da segurança deve buscar este equilíbrio em sua análise, para mapeá-lo no planejamento de esforços equitativos direcionados ao projeto, implantação e operação de proteções e salvaguardas do sistema, em ciclos que se completam com validação e auditoria[7,9]. Quando se fala em segurança do sistema, em modo intransitivo, o único significado aceitável seria o deste equilíbrio, no qual os poderes de materialização dos riscos contra todos os envolvidos se contrabalancem, e oxalá, assim se paralisem num empate forçado. Quem se interessa, já conhece o discurso público do TSE sobre seu zelo com as proteções. Esta é a parte fácil, a de se controlar os riscos que vêm de fora. Falta-nos o conhecimento das salvaguardas. Esta é a parte difícil, a de se controlar os riscos que vêm de dentro. Sondaremos a natureza desta dificuldade nas seções 4, 5 e 6.

Temos observado que, quando se fala do risco de abusos e exploração de vulnerabilidades vindos de dentro, funcionários do TSE reagem como se a honra da instituição e as suas estivessem sendo atacadas [2,5]. Quando deveria ser o contrário. Ao considerarmos este risco, estamos buscando proteger suas honras contra a tentação da possibilidade de exploração, em proveito próprio, de fraudes que seriam indetectáveis – e por isso tentadoras – sem esta abordagem. Estamos buscando protegê-los não só contra o efeito desta tentação sobre si mesmos, mas também sobre seus parceiros, a quem o TSE delegou confiança, terceirizando-lhes a produção do sistema operacional e da biblioteca criptográfica da urna. Estaremos de fato tentando protegê-los, se for mesmo verdade a crença popular de que a ocasião faz o ladrão. Só faz sentido tomar esta abordagem como um ataque, em um debate racional, se a crença popular for falsa ou se a ocasião já tiver surtido efeito. Como contribuição à análise aqui proposta, na eventualidade desta crença ser razoável, os possíveis efeitos desta tentação serão abordados nas seções 5, 7 e 9.

2.3 Salvaguardas e Confianças

Não obstante o risco de abuso e exploração de vulnerabilidades vindos de dentro, presente na análise da segurança de qualquer sistema de informática, apenas uma única salvaguarda planejada pelo Tribunal tem chegado a conhecimento público. Uma decisão de projeto do sistema da urna, determinando o número de "agentes estanques" no desenvolvimento do seu software[1,5]. Seriam três. A justificativa apresentada é a de que, com esta medida, os riscos internos estariam controlados, já que cada um desses agentes só conheceria a parte do sistema que lhe toca. O curioso é que esta medida foi estendida também para a auditoria externa[10], abdicando-se do que poderia ser a mais eficaz de suas possíveis salvaguardas.

O bloqueio à auditoria externa no sistema significa que o dono da urna não quer se expor aos riscos dela advindos, ou não sabe controlar esta exposição, ou não sabe avaliar o merecimento de confiança nos auditores, pois outras razões não restariam a um poder público que, numa democracia, deveria prestar conta dos mecanismos materializadores de seus atos. A auditoria externa é descartada por generalização trivializante da desconfiança, apesar do despacho negando recurso impetrado contra tal bloqueio também negar a desconfiança como motivo[11]. Nega-se a desconfiança com um argumento eivado de artifícios semânticos falaciosos, erguidos sobre as mesmas incorreções gramaticais e com a mesma impedância aqui mencionadas.

As explicações do TSE para justificar o bloqueio de auditoria desafiam, além do bom senso, a inteligência de quem detenha conhecimentos técnicos sobre informática. Seus argumentos estatísticos são, como mostraremos, da categoria do dizer-se que nossa cabeça no fogo e nossos pés no gelo nos darão uma boa sensação média de conforto. Os fiscais de partido, e o cidadão eleitor, nunca puderam conhecer dois dos três programas que inseminam as urnas: o sistema operacional e a biblioteca criptográfica. Do terceiro – o aplicativo que tabula os votos para o boletim de urna – podem apenas conhecer versões, que talvez nem sejam as que venham a operar nas urnas. Deste único programa eclipsável, não podem sequer presenciar sua compilação, isto é, a tradução da linguagem semi-humana em que foi criado para a linguagem da máquina na qual será executado. Isto porque, segundo tais explicações, quanto mais pessoas conhecerem os programas, maior o risco à "segurança das eleições"[11]. Nenhuma palavra sobre o que significa aqui "eleições", numa sintaxe exemplar à utilidade da lanterna filosofal.

O dono da urna tem o poder não só de executar, mas também de legislar e julgar os processos eleitorais na democracia brasileira. Como se vê, pode parecer muita responsabilidade para tão pouca salvaguarda. E se o sistema da urna eletrônica tiver mesmo, como única salvaguarda, a compartimentação da implementação de seu projeto, põe-se a questão da eficácia desta medida, como forma de controle de riscos internos, sobre a qual praticamente nada é público. Esta questão será abordada nas seções 6, 8 e 9, e suas possíveis formas de abordagem na seção 3. Há aqui, claramente delineado, um conflito de atitudes sobre quem precisa ganhar a confiança de quem, e como. Por isso, escolher através de qual referencial de risco se olha primeiro já é, em si, um ato recebido com desconfiança, tido como hostil ou desafiador. Este conflito de atitudes será abordado na seção 9, onde tentaremos entender, com a ajuda da lanterna, a dança de confianças que encena.
 
 

 3- As Metáforas Polarizadoras

Sob o ponto de vista da análise da segurança, a decisão de se adotar uma política de desenvolvimento estanque (PDE), para o projeto do software da urna, apenas escolhe uma metáfora para o seu processo de segurança.

3.1 A Dinâmica da Polarização Obscurantista

Esta decisão escolhe, como estratégia para o jogo da polarização dos referenciais de risco, a metáfora do obscurantismo. Tal decisão não instala, por si só, nenhum controle contra riscos internos. Por outro lado, o modelo de polarização por ela induzido é particularmente perverso para um dos referenciais em jogo – o do usuário. O usuário neste caso é o eleitor e, indiretamente, a sociedade, a quem o dono do sistema deveria prestar contas, por ser um poder público numa democracia.

A primeira dessas perversidades é a ilusão de sua eficácia. A estratégia obscurantista pode ser útil nas hierarquias militares e seus teatros de guerra, ou no controle do transporte de recursos físicos, entre compartimentos que devam permanecer estanques. Mas é praticamente impossível controlar-se o fluxo de informações sobre programas de computador. Formatos digitais e algoritmos não são exatamente alfarrábios, e trafegam mais facilmente do que ovelhas doentes ou remessas de armas e drogas. A salvaguarda das cláusulas contratuais sobre sigilo tem eficácia de proteção, no referencial do eleitor, tão tênue quanto os mecanismos de prova a elas juridicamente cabíveis.

Quando há compartimentação da informação do sistema, a eficácia probatória se dissolve, mesmo sem cláusulas contratuais de sigilo, como no caso das provas de dolo ou má-fé. Um cenário dissoluto típico é aquele do vírus de computador, onde uma decisão de projeto ingênua ou imprópria para um programa básico – o sistema operacional – permite a outro programa explorar efeitos colaterais na comunicação entre ambos, para subverter os objetivos de um outro programa, e a intenção de quem o use, ambos também ingênuos. Como no caso do alvo preferido de hoje, o correio eletrônico. A compartimentação dilui a responsabilidade de cada um dos envolvidos frente à dimensão do dano, numa versão digital do velho golpe do vigário.

Esta diluição ficou patente no caso recente do vírus ILoveYou, onde seu autor confesso está livre de qualquer sentença condenatória, apesar do esforço de um batalhão de promotores. Afinal, ele não danifica arquivos pessoais na máquina onde atua, e nem mesmo pode ser considerado spam, pois limita-se a se propagar a no máximo 50 outras máquinas de cada vez. Já o outro produtor imprudente envolvido no caso contra-ataca, para repelir sua anterior condenação por práticas monopolistas, apesar dos esforços ainda maiores e inusitados de operadores do direito, para caracterizar suas responsabilidades e abusos[20]. Outro cenário típico é o da ingenuidade presumida, exemplificado no episódio do painel eletrônico do Senado.

A segunda perversidade decorre do princípio universal da entropia. A compartimentação de informações sobre a arquitetura de um sistema só é eficaz, como salvaguarda, no referencial do dono do sistema e quando aplicada à auditoria externa (havendo o que dela se esconder), seja ela velada ou aberta. Portanto, pode proteger o dono do sistema de duas formas: ou dificultando a espionagem, ou encobrindo, caso ocorram, vícios de projeto ou má-fé orquestrada. A compartimentação de informações sobre a natureza do sistema representa, num referencial oposto, risco de ineficácia não só na investigação, mas também na fiscalização de seus efeitos e consecução de seus objetivos, diretos e indiretos.

O dono da urna vê o referencial de risco do eleitor como oposto, como deveria mesmo vê-lo, mas também vê aquém e além disso. Ao decidir bloquear a auditoria externa, expurga o referencial do eleitor da faixa de sintonia do seu referencial. Passa a ver aquém. E o modelo de usuário daí emanado passa a ser o de inimigo, no qual a intenção de causar dano ao sistema deixa de ser exceção presumida (risco) para ser regra de inferência (requisito de funcionalidade). Passa a ver além.

O modelo usuário-inimigo decorre semiologicamente da premissa de inauditabilidade, e percola a arquitetura de qualquer sistema de informática que a retenha. Inclusive o sistema de votação eletrônica, a despeito da linguagem falaciosamente auto-centrada e obtusamente superficial empregada pelo TSE para negá-lo. Decreta-se a cor parda aos gatos noturnos, para sustentar tal premissa contra recurso[11]. Põe-se aqui a questão das razões para esta incômoda modelagem, num sistema onde o dono é um poder público e o usuário é a sociedade. Voltaremos a esta questão na seção 6, onde também abordaremos os efeitos deste expurgo no referencial de risco do dono do sistema.

3.2 Efeitos Colaterais e Alternativa

O modelo obscurantista é o que melhor privilegia o referencial de risco do dono do sistema. Se alguém de dentro for pilhado por desvio de conduta que lhe favoreça indevidamente, as chances são boas de que todos se safem, no jogo de empurra-empurra das responsabilidades compartimentadas. Exatamente como já ocorreu na história eleitoral brasileira, com o caso da Proconsult, na primeira eleição totalizada por software no Rio de Janeiro, cujo "botão macetoso" ganhou o nome de diferencial delta. Foi considerado pela justiça "um erro de programação", por ingenuidade presumida[12]. Alternativas atuais ao diferencial delta serão tratadas nas seções 5 e 9.

Entretanto, a maior perversidade da estratégia obscurantista, quando aplicada por um poder público, é ainda outra. É o álibi kafkiano que oferece ao dono do sistema. Este álibi lhe permite refutar análises críticas de quem esteja de fora, sob o argumento de que estariam sendo feitas por quem quase nada conhece do sistema. Ele assim empregado desfoca a posição que o poder público ocupa numa democracia, e representa a maior vulnerabilidade possível a qualquer reflexão como esta. Contra esta em particular, quem ler até o fim poderá julgar por si mesmo a sua eficácia. O álibi kafkiano será particularmente pernicioso sob o efeito das novas leis de mordaça – ou censura – à investigação do poder público, hoje em trâmite no Congresso. Os fatos dançariam no escuro, e Diógenes poderia ser preso por conduzir sua lanterna.

Privilégios e assintonias em referenciais de risco envolvidos são distorções que desequilibram o processo, aumentando as chances de ocorrência dos incidentes de segurança com o sistema. A segurança assim buscada é frágil para uns, quimérica para outros. Para o jogo da polarização de riscos na informática, como talvez também para a democracia, a estratégia que melhor contrabalança as perversidades obscurantistas é sua alternativa, que emprega a metáfora da transparência. Seus efeitos são repetidamente observados por quem trabalha com auditoria de sistemas de informática, ou com a segurança de sistemas na internet[7,8,9]. A estratégia sob esta metáfora baseia-se no fato de ser muito difícil e caro, se não impossível, controlar-se o fluxo de informações, onde houver uma dinâmica valorativa para fazê-las circular. Informação não pesa em maleta, não muge nem tuge, e não deixa rastro em telas de radar.

No processo da segurança na informática sob a metáfora da transparência, a salvaguarda mais eficaz contra riscos internos é a de minimizar-se a informação que requeira sigilo. Esta minimização alcança eficácia máxima nos esquemas de proteção em cadeia, nos quais se parte de uma pequena quantidade de sigilo, que caiba com quem de direito, para proteger a integridade das informações nesta cadeia, enquanto a vulnerabilidade de pontos únicos de falha é coberta com redundância. A polarização baseada em sigilo mínimo permite proteções também contra vários vícios de processo e formas de má fé.

No referencial do usuário, protege o usuário em relação à possível má fé do dono do sistema, e no referencial de ambos, protege contra a má-fé do produtor em relação tanto a um quanto ao outro. Mas quando há má-fé do usuário em relação ao dono do sistema, ou vice-versa, surgem efeitos colaterais no modelo da transparência. No primeiro caso, o usuário teria facilidades para cometer abusos e subverter o modelo ou funcionalidades do sistema, em seu proveito. No segundo, o dono teria dificuldades para chantagear ou negociar com programadores suas cumplicidades em abusos e embustes, em seu proveito. Diógenes só possuía a roupa do corpo.

3.3 Espertezas e Varinha de Condão

Apesar do modelo da transparência ser problemático nas situações onde possa haver esses dois tipos de má-fé, o dono goza de liberdade para projetar seu sistema. E se o fizer bem feito, poderá proteger-se contra a possível má-fé do usuário através da sua arquitetura. Neutralizando riscos desse tipo nas decisões preliminares sobre funcionalidade, o projetista pode, de forma equilibrada, tirar vantagens das proteções que o modelo da transparência tem a oferecer aos agentes envolvidos no sistema. Esta estratégia requer três condições. A boa fé do dono, competência na elaboração do projeto, e uma proposta de sistema mensuravelmente compatível com as duas primeiras condições. Não há como se argumentar racionalmente que a terceira condição para o sucesso da estratégia da transparência esteja fora do alcance da urna eletrônica, pois ela é o próprio princípio organizador de qualquer sistema eleitoral justo.

Mas nem sempre essas três qualidades são facilmente reunidas para um mesmo sistema. E o que se vê, com relativa frequência, é a apologia da estratégia obscurantista. Às vezes criativamente, mas nem sempre convincentemente. Para combater a opção pela transparência, quem prefere privilegiar o referencial de risco dos donos de sistemas tem feito uso, via de regra, da palavra "tecnologia" como varinha de condão, para enfeitiçar seus interlocutores com uma atmosfera de incerteza, dúvida e medo, da qual emergirá a aura de autoridade e sapiência do dono, que amealhará assim seus dividendos em credulidade. Esta credulidade tem sido suficiente, em muitos casos, para convencer usuários, produtores e outorgantes de sistemas a aceitarem cenários obscurantistas nos quais os riscos se desequilibram em seu desfavor, e relações de poder espúrias aos objetivos do sistema, através dele introduzidos.

Um exemplo deste feitiço está no levar-se a sério a afirmação, impredicativa, de que as funções criptográficas – não apenas as chaves – precisam ser sigilosas para serem seguras. Quem crê no que pensa dizer-lhe esta frase incompleta, estará seguindo a pregação atual dos regimes do Taliban, da Coreia do Norte, de Mianmar e dos ideólogos da época da guerra fria. No resto do mundo civilizado de hoje, o senso comum a respeito da criptografia já evoluiu na direção holista [7,8,9,13]. Na comparação acima, a diferença dos credos está apenas no medo enfeitiçante que os sustenta. Lá, é o da aniquilação. Aqui, é o das consequências da própria ignorância e o das responsabilidades por decisões. Crê-se, para negar ao que se teme. Trataremos deste exemplo em detalhe na seção 8.

Outros feitiços vemos, em certas justificativas. Decisões questionáveis no projeto do software são explicadas com referências a conceitos ou normas obscuras, irrelevantes, inaplicáveis, ou conflitantes com a lei eleitoral. Quem nelas crê, tem mais a quem seguir, entre Mórmons, Rajneeshes, Rastafaris e outras esoterices. Justificativas esotéricas ocorrem, por exemplo, confundindo-se os conceitos de proteção à informação oferecidos pela criptografia, evocando-se a necessidade de sigilo quando o caso pede integridade. O primeiro conceito quer garantir que os bits sejam muito bem embaralhados, enquanto o segundo quer garantir que os bits permaneçam imexíveis[7,8,9].

O orgulho que leva alguém a ignorar a própria ignorância, e principalmente as consequências dela, pode cegar. Por isso Diógenes carregava sua lanterna de dia, apesar de fazer-se assim parecido aos tolos. E pela sua luz abordaremos, sob distintos referenciais e em mais detalhes, os prós e contras da opção pela estratégia obscurantista na seção 6, e os perigosos efeitos da confusão entre cifragem e autenticação, para o sistema da urna eletrônica, na seção 9.
 
 

MEIO

4- Obscurantismo, Sigilo e Tolices

Tendo entrado no assunto das chaves e das justificativas oficiais, podemos agora ver como fica a tolice, quando vista a partir de outro referencial de risco.

4.1 Para Que e Para Quem o Sigilo?

Você compraria uma fechadura cuja chave não pode ser retirada do miolo, com a explicação de que assim ninguém poderá bisbilhotar, com grampos e arames, o segredo da fechadura? Não seria melhor um trinco no seu lugar? E se instalasse na porta de sua casa uma fechadura normal, você irá desmontá-la e escondê-la no bolso junto com a chave, sempre que abrir a porta, para que um hacker oportunista não veja a fechadura aberta? E se ocultasse do hacker a fechadura, você acha que o estaria impedindo assim de arrombar a sua janela? Coisas muito estranhas saltam aos olhos quando o discurso sobre o jogo dos riscos, proferido pelo dono da urna, é visto sob a metáfora da transparência, pelo olhar do tolo filósofo.

Algo ainda mais estranho soa aos ouvidos, quando nos dizem que, ao descrever esse jogo desta forma, já se está em atitude perigosa. Passa-se da insinuação de tolice à ameaça, na medida em que a visão desautorizada do jogo ganha consistência. O que haveria na biblioteca criptográfica da urna a demandar tanto sigilo, a ponto de amordaçar esse mesmo sigilo? Por que esta biblioteca parece estar presa ao segredo que deveria apenas usar? Por que não se pode vê-la, ou mesmo explicá-la, mesmo sem as chaves? Por que as respostas a essas perguntas têm se esgotado em evocações de autoridade, falácias e esoterices? Por que não se admite discutir a metáfora para o jogo de polarização dos referenciais de risco, escolhida pelo dono da urna ao narrar sua visão desse jogo à sociedade? Por que esta narrativa não contempla as premissas de confiança nela implícitas?[2,5,10,11] Quem não se intimidar com essas perguntas, poderá seguir a leitura e acompanhar a lanterna filosofal, enquanto aponta em direção à urna, em busca das respostas.

4.2 Iluminando a Urna Eletrônica

O programa aplicativo que vai na urna, produzido pelo TSE, é um software que executa as seguintes tarefas[14].

1. coleta e tabula os votos vindos do teclado (COMO ELE OS PERCEBE).
2. dirige à tela da urna esta percepção,
3. gera o boletim de urna ao final do dia de votação, para impressão e gravação em disquete.
Este aplicativo é instalado na urna a partir do flashcard de carga, e interage com ela por intermédio do seu sistema operacional. Ambos estarão gravados em um flashcard removível, inserido na urna uns poucos dias antes da eleição, e nesta posição lacrado fisicamente, com o lacre sobre a portinhola de seu dispositivo de acesso. Há também uma biblioteca criptográfica neste flashcard removível, com quem também interage o programa. Quando instalados na urna, alguns deles são copiados para um fashcard fixo, que foi conectado ao hardware na sua montagem. Este flashcard fixo só é fisicamente acessível com o desmonte da urna.

O sistema operacional da urna só é manipulável em seu ambiente de produção, e só é acessível nos ambientes de programação para a urna. Seu código-fonte e sua auditoria não estariam acessíveis a ninguém além dos produtores, pois se trata de um sistema proprietário de código fechado. Em resposta a recurso apresentado por um partido político contra a portaria 142/00 do TSE que regula a fiscalização das urnas, contestando-a quanto à sua eficácia em fazer cumprir dispositivos de lei eleitoral relacionados à transparência dos mecanismos de votação, afirma-se que a condição de código fechado do sistema operacional da urna não pode ser alterada, devido à forma de contrato pelo qual foi encomendado[11].

E o que faz um sistema operacional? Por definição, um sistema operacional gerencia os recursos de um computador, para os programas que o queiram utilizar. Portanto, no que tange ao funcionamento do programa aplicativo da urna, o sistema operacional da urna faz coisas importantes, tais como:

1. Intermediar a comunicação do teclado ao aplicativo, transformando a ação mecânica sobre as teclas em entrada de dados para o aplicativo.
2. Intermediar a comunicação do aplicativo ao visor da urna, transformando os dados enviados em sinais elétricos para o dispositivo do visor que nele desenha imagens.
3. Intermediar a comunicação entre aplicativo e dispositivos de gravação e leitura, transformando, por exemplo, os dados do arquivo que representa o boletim de urna em sinais elétricos de frequência e formato compreensíveis ao dispositivo de gravação em disquete.
4.3 Efeitos da Inauditabilidade

A ocultação dos códigos-fonte do sistema operacional e da biblioteca criptográfica representa, no referencial do dono da urna, uma proteção contra o risco externo de versões embusteiras desses programas. O risco externo que o dono do sistema quer controlar, com esta ocultação, pode ser controlado com autenticação na inseminação das urnas, como já deve estar sendo feito. A ocultação é apenas uma proteção redundante. Mas seu efeito colateral no referencial do eleitor é um risco desproporcional à proteção que essa redundância pode oferecer. Desproporcional porque toma forma de monopólio, o da possibilidade de fraude indetectável através do desvio de funcionalidades no software.

O desequilíbrio decorrente da avaliação tendenciosa de riscos cria aqui um monopólio para exploração da possibilidade de fraude. Sob a política atual, que restringe a auditoria externa a instâncias inócuas do programa aplicativo, este monopólio é concedido aos dois parceiros do TSE na produção do sistema, num cenário em que haja conluio entre ambos, ou apenas ao produtor da biblioteca criptográfica, num cenário sem conluios. E enquanto esta auditoria parcial for inócua, este cenário poderá incluir apenas, ou também, o próprio TSE. O produtor do sistema operacional é a empresa particular MicroBase, e o da biblioteca criptográfica, segundo relatos de vistorias dos partidos em Agosto de 2000, é o CEPESC, órgão de pesquisa em segurança das comunicações do poder executivo, subordinado à ABIN, ex-SNI[5].

Temos aqui uma paranóia coletiva, insuflada contra um risco que se expõe à luz do sol – o risco da pirataria, ofuscando riscos graves, abafados nos discursos da mídia e que se vêem à luz da lanterna – os riscos da subserviência e do engodo. Um grave desequilíbrio no processo de segurança da urna é assim escamoteado pela avaliação coletiva distorcida dos riscos que subjazem a informatização da sociedade[13]. Para ilustrar as formas de embuste possibilitadas por este desequilíbrio, vamos explorar em seguida os dois primeiros cenários mencionados acima.
 
 

5- O "Botão Macetoso"

O que faz, e o que poderia fazer, a biblioteca criptográfica da urna?

5.1 O Poder Ambivalente da Proteção Oculta

As funções da biblioteca criptográfica, conforme informa o TSE às fiscalizações dos partidos, e conforme a documentação pública sobre a urna eletrônica, deveriam ser as seguintes[14]:

1. verificar a origem legítima do software a ser carregado na urna através do flashcard, por meio de algum mecanismo de autenticação digital.
2. encriptar os arquivos a serem gravados em disquete, ao final da execução do software aplicativo da urna.
Até onde se sabe das informações fornecidas pelo TSE, esta biblioteca criptográfica tem sido carregada em memória para execução antes da inicialização do programa aplicativo, para verificar a integridade deste aplicativo. E fica ali até depois da execução do aplicativo, ao fim da votação, para poder cifrar o arquivo com o boletim de urna. Esta permanência em memória permite à biblioteca criptográfica fazer coisas para as quais não foi especificada, se houver passagem alternativa (backdoor) ou vulnerabilidade no sistema operacional que o autor da biblioteca saiba, e queira, explorar.
 

5.2 O Macete dos Vírus

Uma biblioteca embusteira poderia, além de executar normalmente as funções para as quais foi especificada, interceptar os dados que trafeguem do teclado para o programa de votação, via sistema operacional, e deste para o visor da urna, interferindo camufladamente no resultado da votação. Poderia fazer isso enquanto estiverem os três programas executando, ou seja, durante toda a votação, exatamente como o fazem os vírus e os cavalos-de-tróia de computador. Para isso, basta que quem programe a biblioteca tenha, junto com a intenção de explorá-los, dois conhecimentos:

1. da interface de comunicação do sistema operacional da urna,
2. de alguma vulnerabilidade(s) ou passagem(ns) alternativa(s) deste sistema,
Aqui podemos observar a segunda perversidade da estratégia obscurantista, mencionada em 3.1, agindo através da política de desenvolvimento estanque. Pois, das informações necessárias e suficientes para se montar embustes, o conhecimento 1 acima é necessário, e o 2 é possível, a quem tiver que programar a biblioteca criptográfica da urna. Portanto, os que poderiam hoje fraudar o sistema, são precisamente aqueles que não podem ser pegos fraudando-o. Esta situação nos põe com a cabeça no fogo e os pés no gelo. Sob a lanterna, gatos pardos podem ter várias cores. Na dúvida, basta continuar lendo. (quanto mais conhecido for o sistema, maior o risco à "segurança das eleições").

Na posse das informações necessárias, pode-se rabiscar as linhas de código que, quando corretamente inseridas na biblioteca, a fariam funcionar como um cavalo-de-tróia, invertendo, por exemplo, um em cada 33 votos digitados no teclado para um determinado candidato a ser garfado num segundo turno. Ou preenchendo brancos para um deputado a ser "seguramente eleito". No primeiro exemplo, o efeito seria um desvio de 6%, no resultado daquela votação. Essas linhas de código não passariam de umas duas dezenas, espalhadas por três ou quatro pontos da biblioteca. Compilada, e carregada na urna junto com os outros programas, apenas quatro dias antes da eleição, uma tal biblioteca faria com que, a cada tantos eleitores que digitassem seu voto para A, um desses votos fosse imperceptivelmente recebido e somado no programa aplicativo como se tivesse sido para o candidato B. A lógica da operação, para quem não conhece o funcionamento dos vírus de computador[15], em linhas gerais é a seguinte

1. O teclado gera o código do voto digitado e grava este código numa determinada posição de memória. Em seguida interrompe o sistema operacional para que redespache este dado e libere aquela posição de memória.
2. O sistema operacional consulta seu "catálogo de endereços" (sua tabela de interrupção, que fica também em posição determinada da memória, em sistemas operacionais como o da urna), e seleciona a "ficha de endereço" da rotina de teclado. De lá tira o endereço da rotina que irá redespachar o dado vindo do teclado para o seu destino. A rotina neste endereço é acionada.
3. Ao invés da rotina acionada pela interrupção do teclado ser a original, a biblioteca embusteira é que estará sendo acionada, pois, enquanto iniciava sua execução, ela teria gravado em memória o seu próprio endereço na ficha da rotina de teclado. A biblioteca então lê o código do voto, grava uma cópia em outro lugar, examina-o e decide se irá alterá-lo. Depois de alterá-lo se for o caso, a biblioteca então aciona a verdadeira rotina de tratamento de teclado, cujo endereço ela guardou consigo, antes de "rasurar" o catálogo de endereços do sistema operacional. Esta rasura seria uma forma de passagem alternativa.
4. A rotina de tratamento de teclado recebe, como se estivesse vindo do teclado, o voto violado e o envia para o programa aplicativo.
5. O programa aplicativo recebe o voto violado, como se tivesse vindo do teclado, tabula-o, e aciona sua rotina de visualização para mostrar na tela da urna este voto. Essa rotina interrompe o sistema operacional para que redespache o dado a ser visualizado e libere a área de transferência onde esse dado se encontra.
6. O sistema operacional consulta seu catálogo para selecionar o endereço da rotina de tratamento de vídeo. Nesta posição do catálogo, também rasurada, estará o endereço da biblioteca embusteira, que será acionada.
7. Recebendo os dados de visualização, como se fora a rotina de tratamento de vídeo, a biblioteca recupera o dado que recebeu do teclado e guardou, enviando-o agora para a verdadeira rotina de tratamento de vídeo.
8. A rotina de tratamento de vídeo mostrará na tela o dado correspondente ao que foi digitado, mas talvez não ao que foi tabulado.
5.3 O Invisível Deixa Rastros?

Ao ver aparecer no visor, quase instantaneamente, o candidato ou o efeito cujas teclas digitou, o eleitor não imagina que possa haver ali embuste. A sensação de instantaneidade lhe passa a impressão de que teclado, visor e programa de votação são a mesma coisa. Mas não são. Ninguém de fora suspeitaria, já que o autor do voto não pode ser identificado. Este embuste seria uma espécie de "botão macetoso invisível". Um grampo de teclado, que se torna indetectável sob o obscurantismo atual do jogo de riscos, de uma urna que não imprime votos individuais. Mas, se houver muita ganância no comércio de desvios de votos, torna-se um grampo que poderia deixar rastros.

Tais rastros poriam os institutos de pesquisa na berlinda, tendo que explicar porque um erro, fora da sua margem de erro, inverteu o resultado previsto de uma eleição, algo que só deveria acontecer uma vez em um milhão, mas que estaria acontecendo vezes seguidas (como em 2000, na mesma eleição, para governador do DF). Ou então os poriam sob pressões e chantagens para também aplicarem, nas pesquisas que divulgam, o mesmo desvio secretamente negociado para a urna, correndo o risco de enfrentar candidatos nos tribunais após as eleições. Ou o candidato garfado, se cederem à chantagem do embuste, ou o candidato corruptor, se resistirem. Seria verossímil?
 
 

6- Salvaguardas ou Riscos?

Como se contrabalançam os efeitos da estratégia obscurantista, os de salvaguarda e os de risco?

6.1 Formas de embuste e formas de protegê-los

Vamos recapitular os cenários atualmente possíveis para embustes no software da urna.

1. O produtor da biblioteca poderia se valer de falhas conceituais ou vulnerabilidade no sistema operacional, e a possibilidade de fraude estaria sendo explorada por ele apenas.
2. A biblioteca criptográfica poderia explorar passagem alternativa no sistema operacional que exista para isso, e a possibilidade de fraude estaria sendo explorada pelos seus produtores, em conluio contra o eleitor e o TSE.
3. O grampo de teclado poderia ser implantado no próprio programa aplicativo, após a auditoria dos partidos no TSE e antes da inseminação deste programa nas urnas. Esta é a forma mais direta e simples de embuste. Qualquer um que ganhe acesso, em momento adequado, à compilação desse programa na rede do TSE, poderia implantá-lo. O conhecimento ou conivência dos responsáveis será indemonstrável, já que a autenticação dos programas durante a inseminação da urna é secreta.
Essas formas de embuste são conjecturais, não podendo ser analisadas tecnicamente além da sua possibilidade como risco, já que hoje a autenticação é secreta e o sistema operacional e a biblioteca criptográfica são inauditáveis, em decorrência do expurgo sofrido pelo referencial de risco do eleitor[11]. Mas como a autenticação e a auditoria expurgadas são, no referencial de qualquer agenda interna oculta, proteções contra a descoberta da ocorrência de embustes, este fato por outro lado municia a análise social dessas formas de embuste, em sua probabilidade como risco. Em tese, esta probabilidade seria proporcional à facilidade de execução, ao grau de exposição de seus executores ao risco de terem sua participação em embustes juridicamente comprovada, e ao volume de interesses que possam estar em jogo.

A mais sofisticada e mais protegida dessas formas de embuste é a primeira, sem a participação direta do TSE e sem conluio. Mesmo sendo a mais sofisticada das três, seria razoavelmente simples de ser implementada por um programador experiente, num sistema operacional semelhante ao DOS (considerado padrão para arquiteturas de hardware semelhantes à da urna eletrônica). Principalmente se o sistema tivesse sido testado por poucos, e no qual o agente executor estivesse escalado para programar em baixo nível, descrição exata do "compartimento estanque" para produção da biblioteca criptográfica. Em qualquer das formas acima descritas, a eficácia probatória de dolo ou má fé através de atos periciais seria extremamente tênue, se o embuste for executado com mínima competência, ou nula, se esta competência apagar seus rastros digitais após as eleições.

Em qualquer delas, o agente executor poderia exercer sua liberdade sem o conhecimento do dono do sistema e responsável pelo programa aplicativo, o TSE. Se exercida, poderá também sê-la de forma que, nem o conhecimento do embuste por outros agentes, nem a ausência desse conhecimento, deixariam indícios no código dos programas envolvidos. Por exemplo, se um programa puder obter, do sistema operacional, o endereço e formato da sua tabela de interrupção, seria impossível dizer se esta vulnerabilidade decorre de má fé, de especificação ingênua, ou de implementação descuidada. E na dúvida, pró réu. Quanto ao terceiro fator de probabilidade destas formas de embuste, basta observar suas vocações de mãe de todas as guerras de corrupção.

O desenvolvimento estanque de programas de computador é uma política industrial (PDE), usada por quem produz e licencia software proprietário em larga escala, para controle de riscos de espionagem. Tanto no referencial de risco dos donos de sistemas de informação, quanto no referencial dos usuários, este teatro de guerra comercial tem se mostrado um fracasso retumbante como política de segurança, haja vista o cenário atual de vulnerabilidades no ciberespaço, que faz dos serviços especializados de segurança computacional o segmento de mercado na informática que mais cresce hoje (três vezes mais rápido que a média deste mercado), ao mesmo ritmo das estatísticas de incidentes. Como política de segurança, o desenvolvimento estanque protege apenas o negócio do produtor do software. Não só contra espionagem, mas também contra responsabilizações e consequências de suas imprudências, como comentado em 3.1, já que o controle político e social sobre esta atividade industrial tem sido temido e evitado, deixado por conta da sábia mão invisível do mercado[13].
 

6.2 Inadequação social da PDE

O caso da urna eletrônica, onde materializa-se em monopólio a segunda perversidade da estratégia obscurantista, iluminada aqui pela lanterna filosofal, é um exemplo eloqüente da inadequação desta estratégia, como política de segurança, para sistemas sensíveis e críticos às sociedades democráticas. Esta estratégia permite que decisões de projeto aparentemente independentes se conjuguem para introduzir riscos sociais graves, formados à distância dos contextos onde tais decisões são tomadas, e onde a intencionalidade e a acidentalidade não podem ser tecnicamente distinguidas. E quando estes riscos ameaçam vir à tona na análise da segurança do sistema, a manutenção de tais decisões é justificada com distorções na avaliação desses mesmos riscos[2,5,11].

O fato de alguns agentes externos saberem como fraudar o sistema na posse das informações necessárias, vem sendo, por exemplo, usado como justificativa pelo TSE para manter o bloqueio a sua auditoria externa[11]. Isto porque só os riscos externos sob o referencial do dono foram considerados, pelo que se depreende da lógica dos gatos pardos empregada nesta justificativa. Nela se olvida que esses agentes externos são, pelo mesmo motivo, os que melhor poderiam – e motivados estariam a – detectar fraudes internas. Mas não se pode já daí inferir-se intenções ocultas nesta política, pois o dono do sistema pode estar mesmo levando a sério a paranóia coletiva do perigo da pirataria, e convencendo muitos da dimensão dramática deste risco. É preciso, entretanto, entender que esta dimensão dramática pode não passar de mera pirotecnia, protagonizada por prestidigitadores do virtual para promover seus interesses, com a ajuda da varinha de condão[13,18,19].

A pirataria de software é uma ameaça, mas não exatamente à sociedade. A confusão começa pela analogia inadequada, pois o que a cópia de bits poderia subtrair de alguém, não é a posse de nada. É apenas a pretensão de vantagem. O que a chamada pirataria de programas realmente ameaça, é o modelo hoje predominante no negócio do software, um modelo proprietário que tem apenas 20 anos e já dá sinais de ineficiência e obsolescência. Não devemos nos esquecer de que o modelo dominante para o negócio em torno do software já mudou três vezes, na curta história deste fantástico empreendimento humano. Há um modelo de negócio alternativo, que guiou os primórdios da informática e que volta à cena com a internet, por ele legada. É o modelo do software livre, no qual quem investe no desenvolvimento de um programa opta pela forma indireta de retorno ou recompensa, e no qual sua redistribuição autorizada não é crime, mas ao contrário, uma liberdade cujo exercício é cooperação.

Neste modelo, a liberdade de redistribuir software é um fator de seleção natural para a evolução da inteligência humana delegada à máquina, sendo também o que melhor privilegia a sua qualidade. Existe uma massiva e orquestrada propaganda para a difamação desta alternativa, promovida por quem tem com ela a perder, embotando até mentes honestas. Esta difamação obscurece a compreensão sobre quem a liberdade da inteligência realmente ameaça. A confusão enfeitiçante entre risco para a sociedade, e risco para um modelo de negócio que pode ser alheio e efêmero, é a explicação mais plausível para a distorção em tela, apresentada em 3.1. A de um poder público que, em seu sistema, considera a sociedade a que deveria servir como inimiga. Outras distorções na avaliação oficial de riscos seguem sendo abordadas abaixo e nas seções 7, 8 e 9.

6.3 Inadequação técnica da PDE estendida

Sabemos que, sob o referencial do usuário, a possibilidade da fraude nunca deixa de representar risco interno. Um risco cuja materialização é promovida à condição de indetectável pelo bloqueio da auditoria externa. Este bloqueio, apresentado oficialmente como extensão da PDE, é proteção redundante para o referencial do dono da urna, como já dito em 4.3, pois a verificação de integridade dos programas, entre compilação e inseminação, está especificada e estaria sendo feita pela própria biblioteca criptográfica, embora secretamente. No referencial do eleitor esta redundância não justifica seu preço, que é a monopolização da possibilidade de fraudes fáceis de serem perpetradas, tornadas inimputáveis. E no lado público do referencial do dono da urna – o que pressupõe sua boa fé – também não se justifica, conforme podemos concluir em seguida, por comparação à sua alternativa.

Se a verificação criptográfica de integridade fosse aberta e conjugada à auditoria externa, ao invés de fechada e conjugada ao bloqueio desta auditoria, o controle obtido seria equilibrado, distribuindo sua eficácia em todos os referencias de risco envolvidos. Isto porque a conjugação aberta também protegeria o produtor contra fraudes internas, fora de sua intenção e controle. O risco deste tipo de fraude é proporcional às vulnerabilidades do ambiente de programação onde o software é produzido, no qual opera uma equipe de programadores. E pelos relatos disponíveis sobre a plataforma usada para administração remota da rede do TSE, que incluiria a ferramenta PcAnyWhere, este risco seria ali considerável.

Contudo, esta conjugação aberta só poderia interessar ao produtor que não estiver de má fé, professando um referencial de risco e conduzindo-se por outro. Pois, se estiver de má fé, as proteções que oferece representariam risco à sua agenda oculta. E caso recuse de boa fé a conjugação aberta, por motivos psicológicos ou esotéricos que sejam, como os gatos pardos que poderiam ter animado o argumento estatístico do TSE para manter a conjugação expurgada[11], o efeito protetor que ele proclama buscar com o expurgo será ao contrário. Sua exposição ao risco de fraude, agora interno, materializável por programadores subalternos, aumentaria. O risco de fraude vindo de dentro será mais provável com o expurgo, porque a falta de auditoria externa é o maior estímulo possível para a proliferação de vulnerabilidades – propositais ou não – em ambientes de informática, em especial os de programação. Caso os responsáveis se agarrem ao osso do expurgo por motivos concretos, podem até se ver às voltas com outros concorrentes internos, parceiros ou subalternos, conhecidos ou não. Nessa situação, caso vendam desvios de votos a candidatos concorrentes, podem ter seus grampos neutralizando-se ou inflacionando-se mutuamente, e com isso, retaliações de candidatos lesados neste comércio de embustes, ou efeitos colaterais da "guerra de botões" pipocando nas manchetes de jornal.
 
 

FINAL

7- A Dança dos Fatos

A dança entre fatos e discursos da votação informatizada tem coreografia condizente com a hipótese de estarmos diante de uma reedição, mais robusta e menos grosseira, do esquema de embustes do diferencial delta[12].

7.1 Os Dançarinos

Os funcionários da Proconsult que "erraram" na confecção do programa de totalização, naquela ocasião, eram funcionários do SNI, hoje ABIN, que hoje controla o CEPESC, fornecedor atual da biblioteca criptográfica da urna. Naquela ocasião o golpe ficou comprovado, pois os boletins de urna originais, feitos à mão, puderam ser recontados[12].

Mas agora os votos não podem ser conferidos. O conceito de boletim de urna original desapareceu, pois o programa que cria esse boletim não é o único a tê-lo ao alcance, dentro da urna antes da sua primeira impressão. E o TSE não mudou de parceria para produção dos seus programas de escrita oculta. Outros sinais de alarme foram as incompreensíveis resistências anteriores para adoção da salvaguarda da impressão in loco do boletim de urna, e a variedade de versões, por parte dos técnicos do TSE em congressos de segurança computacional, sobre detalhes do envolvimento do CEPESC na especificação, codificação, compilação e formato das funções desta biblioteca criptográfica[2,5,17].

7.2 Coreografias Possíveis

Como em Kafka, ninguém afora os privilegiados realmente sabe nada sobre esta biblioteca. Nem ela, nem seu ambiente de desenvolvimento, puderam até aqui ser auditados pelos fiscais dos eleitores. Outro fato grave aqui, para a sociedade, é o seguinte: caso os fiscais venham a poder examinar o código-fonte de todos os programas que iriam à urna, incluindo a biblioteca criptográfica, não terão como saber, pelo processo inócuo de hoje, se o que é vistoriado é a mesma coisa que entra nas urnas durante a inseminação. Na última eleição, aliás, o TSE chegou a admitir que houve alteração nos programas inseminados nas urnas, após a vistoria pelos fiscais dos partidos, e ficou por isso mesmo[1]. O que existe hoje de auditoria é somente fachada, um simulacro que serve apenas para que se possa dar satisfação de sua existência.

Na interpretação que o TSE atualmente dá às clausulas de transparência exigidas em lei para mecanismos de votação, os fiscais só têm o direito de olhar o flashcard ser introduzido na urna, sem nunca poder verificar se os bits que ali estão gravados representam o que teria sido visto 60 dias antes. Este impedimento não é totalmente técnico. A verificação de integridade poderia ser feita às claras, com um simples recálculo de hash criptográfico nos programas, no momento da inseminação, para comparação com o hash calculado quando da auditoria e compilação dos (supostos) mesmos.

A eficácia desta proteção dependerá da qualidade da auditoria externa no ambiente de compilação dos programas, quando desta compilação. Quanto mais abrangente e equilibrada for a auditoria, em relação aos riscos que busca controlar e os que introduz, mais eficaz para todos os envolvidos será a autenticação dos programas. Quanto mais aliados o gerente da segurança tiver, menos complexo e propenso a falhas será o processo da segurança. Aliados na arquitetura do sistema, e não nos discursos, para ser claro. E um bom planejamento da auditoria externa é a melhor tática para se produzir aliados, sob a estratégia da transparência.

O hash é uma função criptográfica para integridade. Ele cria uma marca autenticadora para detecção de adulterações em arquivos digitais. A detecção ou validação se dá via recálculo. Se o contexto assim permitir, cálculo e recálculo podem ser feitos sem a necessidade de sigilo. O contexto que dispensa sigilo é aquele em que ambos, cálculo e recálculo, possam ser feitos pelo mesmo interessado na autenticação de um arquivo. Esse autenticador (uma sequência de vinte letras e algarismos, como aquela impressa em recibos bancários de transações eletrônicas), se calculado no TSE ao final da compilação externamente auditada, poderia ser publicado no D.O.U. para permitir aos juizes, mesários e fiscais verificarem, durante a inseminação e abertura da urna no dia da votação, a integridade dos programas, através do recálculo dos seus autenticadores. O processo de cálculo ou recálculo do autenticador não modifica os programas, e levaria menos de 10 segundos.

7.3 As Duas Faces de Janus

Mas, nas eleições, ninguém de fora pôde sequer chegar perto dos flashcards de carga, quanto menos submetê-los à leitura para recálculo de autenticadores de integridade. Para depois vê-los furtados de urnas estocadas entre eleições, e a notícia do furto suprimida dos jornais, "por questões de segurança"[16,17]. Do ponto de vista dos riscos para a sociedade, esse nível de obscurantismo é inaceitável e pode, no mínimo, parecer suspeito. O TSE não precisa e não deve sucumbir à esquizofrenia de suas duas faces de Janus. A obsessão com a segurança do próprio poder, que sua face de produtor do sistema lhe impõe, ameaça sua face de instituição pública constituída para possuir e operar o sistema, com a perda de confiança da sociedade a quem deve servir. Justamente o contrário do que diz pretender com a digitalização completa do processo de votação.

A regra mais elementar para políticas de segurança na informática, em relação ao controle de acesso à informação, herdada das ciências da guerra, estabelece que este controle se baseie na necessidade de conhecimento. No caso eleitoral, esta necessidade está inequivocamente firmada em lei. Mas ao fiscal do eleitor está sendo vedado o direito de conhecer os programas que são realmente colocados nas urnas para operá-las. Na interpretação esotérica da lei em vigor, o fiscal pode apenas ver de longe o invólucro desses programas. Pretender que este ato lhe dará conhecimento do conteúdo desses programas é um insulto à cultura humana. As explicações correntes para o cerceamento deste direito apontam para necessidades ditas maiores, que seriam a de se ocultar as funções criptográficas, e a de se honrar as cláusulas proprietárias no contrato firmado entre TSE e a empresa de quem o TSE compra o direito de uso do sistema operacional de suas urnas[11]. Vamos então examinar essas tais necessidades maiores, à luz da lanterna que alguns dizem ser inútil sob o sol.
 
 

8- Transparência, Criptografia e Engodos

Por que se ocultam programas criptográficos?

8.1 Chaves e Fechaduras

É necessário entender que a ocultação de programas criptográficos só pode proteger o negócio de quem os vende, e nunca a segurança de quem os compre. E, também, que o único processo a trazer segurança a quem use programas criptográficos, é o controle da geração e do uso de chaves criptográficas e autenticadores. A ignorância pública destes programas não pode dar segurança a ninguém afora quem o produziu, pois essa ignorância é apenas uma premissa, sobre a qual ninguém, além do autor, pode exercer qualquer controle[7,8,9,13].

Um programa criptográfico funciona como uma fechadura, que permite acessos a partir de chaves. No caso da fechadura usada na porta, acesso à passagem que esteve antes aberta. No caso da criptografia usada para cifragem, acesso ao conteúdo semântico que esteve antes aberto. No caso da criptografia usada para autenticação, acesso ao conteúdo sintático que esteve antes aberto. A pergunta é: Você instalaria em sua casa uma fechadura que pudesse ser aberta por um hacker, sem nenhuma chave, caso ele conhecesse a marca desta fechadura?

Todo criptógrafo sabe, embora nem todos admitam, quando convém, o seguinte fato sobre sistemas criptográficos: O sistema só pode ser seguro, para quem for usá-lo sem tê-lo feito, se a proteção que oferece basear-se apenas na ocultação de chaves geradas pelo usuário. E na separação entre chaves e programas, sempre que possível. Se não for assim, o fornecedor do programa terá o poder de subverter a segurança do seu cliente. Ninguém deixa uma cópia da chave na loja onde compra a fechadura, junto com cópia da nota fiscal preenchida. Seria também tolice sair de casa trancando a porta e deixando a chave na fechadura. Por que então aceitar estas possibilidades para nossa urna eleitoral?

Todo criptógrafo também sabe que existem sistemas criptográficos famosos. O único programa criptográfico que todos concordam ser demonstravelmente inquebrável, o one time pad, é conhecido de todos no ramo. Se um programa de criptografia se torna famoso, certamente é porque adquiriu sua fama pela robustez. Um tal programa só adquire tal fama se resistir a livres e repetidas investidas de famosos criptoanalistas tentando quebrá-lo. E criptoanalistas que se tornam famosos mantém seus empregos quebrando programas que não mereçam a fama de robusto. Não é por causa de discursos evocativos de autoridade que esses programas adquirem respeito entre os que são do ramo. Garantias oferecidas por meio de discursos são ôcas de significado. Principalmente na criptografia, onde as licenças de uso de programas não são apólices de seguro.

O one time pad por exemplo, é pouco usado porque suas condições de uso – as que transformam sua robustez em proteção – são muito severas e restritivas. E essas condições não podem ser preenchidas apenas por conversa de vendedores. Quem escolhe um programa criptográfico respeitado, terá seu código-fonte e sua história de testes como garantias, limitadas e relativas como são quaisquer garantias, de que o fornecedor do programa não lhe estará vendendo gato por lebre, nem instalando na sua fechadura um "botão macetoso" para invadir-lhe, quando lhe aprouver. Essas garantias são relativas, pois só terão validade em um contexto auditável, no qual se possa examinar seu código-fonte e sua compilação[7,8,9].

8.2 Raposas, Uvas e Galinheiros

Já os programas de criptografia que só o autor conhece e testa, não passaram pelo crivo evolutivo da competição Darwiniana, e sua robustez é apenas promessa. A Criptografia evoluiu como ciência a partir deste cenário inicial, no qual o dono do sistema era, ao mesmo tempo, produtor e usuário. Tipicamente este cenário é o da esfera militar, onde a proteção oferecida pela ocultação dos programas e pela competência autoral poderia contrabalançar os riscos internos de embuste, com o apoio de salvaguardas de controle interno conhecidas como contra-espionagem.

Mas, enquanto a eficácia da contra-espionagem permanece limitada pela natureza humana, a partir dos anos 70 a informatização da sociedade trouxe a necessidade e o uso da criptografia a outros cenários. Nestes, os agentes e seus interesses em sistemas são distintos e por vezes antagônicos, e a ocultação dos programas introduz desequilíbrio de riscos em desfavor do usuário. Estes novos cenários impeliram a evolução desta ciência em direção aos sistemas criptográficos abertos, cuja vantagem principal em relação aos sistemas fechados é o de poder contrabalançar este desequilíbrio. Entretanto, a preferência ocultista ainda persiste nesses novos cenários, com pessoas obcecadas pela segurança (a própria) ou estacionadas no tempo, sem mencionar os mal-intencionados. Eles subestimam e menosprezam o valor dos vários programas criptográficos abertos e famosos, que todo criptógrafo sério conhece e que nenhum conseguiu até hoje, ao que se saiba, quebrar.

Para subestimá-los, enfeitiçam o "ao que se saiba". Afirmam que os programas criptográficos abertos, conhecidos de muitos, poderiam ser quebrados por quem não queira divulgar suas fragilidades. Ouvimos ecos desta lógica nos jornais, em explicações oficiais para a ocultação da biblioteca criptográfica da urna. Subestima-se com isso o desejo pela fama de quem houvesse encontrado fragilidades nos sistemas famosos. Mas principalmente, subestima-se a competência ou o senso ético de quem busca tais fragilidades no jogo aberto da ciência, vis a vis a de quem as busca no jogo secreto das guerras, frias ou quentes, sujas ou limpas.

Quem supõe ser a competência ético-criptológica mais eficaz no mundo secreto do que no mundo da cooperação científica, sucumbe à varinha de condão dos vendedores de tecnologias, e ignora fatos históricos que apontam em direção oposta. A história da criptologia moderna tem hoje apenas 60 anos. Nela, a longa corrida pela descoberta dos algoritmos de assinatura digital – a mais importante e sofisticada de suas conquistas –  é um exemplo eloqüente de como essas competências e sensos éticos se comparam. Enfim, ignora-se e subestima-se, como na fábula da raposa e das uvas.

Enquanto alguns desdenham uvas criptográficas e outros escolhem raposas para vigiar galinheiros, o mundo segue sua marcha. Os EUA acabam de escolher, por concurso público, um novo padrão aberto de cifragem para substituir o antigo DES. Mais de duzentas equipes participaram, submetendo seus programas abertos à livre criptoanálise. E a vencedora, uma equipe belga, inclui o brasileiro Dr. Paulo Barreto, da empresa Scopus. O DES, também assim escolhido, foi aposentado por obsolescência, devido ao custo computacional fixo de ataque, especificado no seu concurso e barateado pela evolução do hardware ao longo de seus 23 anos de uso[7,8,9].

8.3 Triunfos Diversos da Criptografia

O padrão de autenticação do governo americano, o SHA, também é aberto, como o são o da indústria bancária, o MD5, e o da Comunidade Européia, o RIPE-MD160. O comércio eletrônico de varejo usa o SSL desde o início, um padrão de fato para criptografia na internet, também aberto, que consolidou os padrões abertos PKCS para interoperabilidade dos algoritmos de assinatura digital. Duas empresas de cartão de crédito se associaram para promover o SET, também um padrão aberto para a internet com assinatura digital. Novos padrões abertos para aplicações criptográficas vem sendo propostos e escolhidos com a freqüência necessária, como na telefonia móvel digital no padrão GSM e no protocolo WAP. Padrões abertos pressupõem, antes mesmo da transparência, a liberdade de escolha.

Criptografia significa escrita oculta. O conceito será paradoxal se a predicação for ignorada (oculta de quem? para que?) Criptografia não faz mágica de verdade, só de mentira. Ela não pode criar confiança a partir do nada. Ela apenas articula, em busca de eficiência, os pontos, modos e momentos em que a confiança é pressuposta nas comunicações humanas. Esta eficiência é paralela ao princípio da transparência. Quem precisa de sigilo deve ocultar o mínimo necessário, pois segredos são como buracos negros no universo da confiança. Por isso, entendemos que a metáfora obscurantista é um completo fiasco quando aplicada à criptografia-como-ciência, justamente o contrário do que ocorre na criptografia-como-engodo e na criptografia-como-poder. Esta dualidade é o paradigma dos ilusionistas profissionais e dos déspotas esclarecidos, e a exploração dessa dualidade são os seus triunfos.

Já tratamos do que faz um sistema operacional, e agora precisamos tratar da confiança que inspira. O único processo que pode trazer segurança, a quem usa um tal sistema, é a depuração de vulnerabilidades através de variadas situações de uso, de análise e de correções, pois se trata de um programa complexo. A pergunta é: Você gostaria de ir ao espaço num foguete cujo modelo será estreado por você, e que só o fabricante sabe como foi testado? Por que as cláusulas proprietárias de um contrato particular de licença de uso do sistema operacional da urna podem se sobrepor a interpretações menos esotéricas da lei eleitoral, com tanto risco de imprudência? Por que este modelo de contrato de licença, que não é o único (ex: Java) mas é o mais prejudicial ao eleitor, foi o contemplado? Enquanto você pensa na resposta, o fornecedor do painel eletrônico do Senado segue afirmando que o sistema dele foi projetado e implementado exatamente de acordo com as especificações fornecidas.

A metáfora obscurantista tem sido pintada com a pecha de inquestionável, sob a aura de autoridade evocada pelo dono da urna, a partir de sua posse. Esta aura é muitas vezes apresentada como se fora a luz do sol, e muitas vezes com ela confundida por ouvintes, nos discursos enfeitiçantes sobre a segurança das urnas. Esta confusão desvia a atenção do fato da metáfora ser apenas uma escolha, implícita no modo de narração que se articula para se descrever e entender o jogo dos riscos. Por trás desta escolha e desse brilho, não podemos distinguir estreiteza de esperteza, ou inocência de arrogância. Mas, como o jogo admite pelo menos duas metáforas, a discussão realmente importante, e potencialmente construtiva, é justamente a que lhe antecede: Por qual metáfora vamos jogar, de agora em diante, o jogo de confiança da urna eletrônica?
 
 

9- A Cabra-Cega e o Graal, à Luz da Lanterna

A importância da escolha de metáfora para o jogo da polarização dos riscos não pode ser subestimada, pois guiará a visão e as decisões no processo de segurança.

9.1 O Graal da Urna Eletrônica

Para ilustrar esta importância, vamos examinar a funcionalidade desejada para a biblioteca criptográfica da urna, o santo graal do voto eletrônico. A especificação da biblioteca fala em uso da criptografia para proteção da comunicação entre a urna e a rede de apuração. Implementa-se a cifragem, que protege sigilo, ao invés da autenticação, que protege integridade. Mas, para que serve aqui a cifragem? Por que é preciso sigilo nos boletins de urna durante seu transporte, se eles têm que ser impressos na origem e no destino?

A resposta óbvia, nua e crua, é que este sigilo não é necessário. Este sigilo só seria necessário se, no transporte, o voto pudesse ser associado ao eleitor que o digitou. A impossibilidade desta associação é a única obrigatoriedade de sigilo do voto, de que fala a lei. E a lei menciona sigilo de voto no singular. E o boletim de urna não fornece esta associação, exceto no caso hipotético de seções com apenas um votante, nos quais o sigilo do voto precisa ser quebrado para ser apurado, com ou sem o computador em cena. A confusão entre o sigilo do voto – que está na lei –  e o sigilo no transporte do boletim de urna –  que está no sistema – representa um grande risco no referencial do eleitor, principalmente se for proposital. Esta confusão, mencionada como exemplo de esoterice em 3.3, só é possível sob a metáfora obscurantista.

O que realmente importa no transporte do boletim de urna é a preservação da sua integridade, e não do seu sigilo. E para isso a autenticação, e não a cifragem, é a proteção criptográfica indicada, contra adulterações no transporte de dados, como explica qualquer texto técnico sobre criptografia-como-ciência[7,8,9]. Para autenticá-lo neste contexto, bastaria assiná-lo digitalmente na urna e verificar esta assinatura na rede de apuração. A assinatura digital automatiza a detecção de burlas no transporte, dando redundância eficiente à salvaguarda de se imprimir in loco o boletim, algo que a cifragem não é talhada para fazer.

Se esta cifragem, que ninguém de fora pode conhecer, for simétrica, quem na rede de apuração detiver a chave para leitura do boletim poderia, em princípio, adulterá-lo a caminho (decifrando, burlando e recifrando). O que invalida a redundância que a criptografia estaria oferecendo à salvaguarda da impressão in loco. E se for assimétrica, poderia estar, ao invés, autenticando por assinatura, com a reversão do uso das chaves. Todo o sigilo criptográfico de que a urna possa carecer, seria para proteger internamente sua chave de assinatura, contra leitura externa. Porém ao custo do risco que qualquer criptografia introduziria na urna, no referencial do eleitor.

Já sabemos que a criptografia e a impressão in loco do boletim serão ambas proteções inócuas, se a biblioteca criptográfica esconder embustes. E se houver embuste, ele melhor se esconde atrás de uma aparente necessidade. Vocês conhecem algum mágico que transforma lenço em coelho, e que não necessita de cartola? A participação do CEPESC na urna eletrônica pode, se a confusão em torno do significado do sigilo do voto for proposital, estar sendo como a da cartola nas mãos do mágico. E se a confusão for ingênua, o papel do CEPESC pode estar sendo o de bode-na-sala. Um bode que pode, a qualquer momento, virar cartola e vice-versa pelas mãos do mágico.

O grampo de teclado não é o único golpe possível à urna. Aliás, grampos de teclado podem despertar a curiosidade do analista, pois o programa que o implanta teria que estar, para isso, ativo durante todo o tempo de votação. O que, por sinal, ocorre com a biblioteca criptográfica devido a mais uma "decisão estanque" e aparentemente inócua do projeto, a de se especificar na mesma biblioteca as duas funções criptográficas julgadas necessárias. Mas mesmo que separadas essas duas funções, um programa para a cifragem do boletim de urna poderia implantar sozinho seu embuste. Poderia alterar indefectivelmente o boletim, usando os mesmos truques do grampo do teclado, mas desviando os totais da urna antes da impressão e da cifragem. Basta, para isso, o conhecimento do formato do boletim de urna, e que sua inicialização ocorra antes do início da impressão in loco do boletim. Novamente, outro cenário cabeça-no-fogo-e-pés-no-gelo, como aquele em 5.2.

9.2 Erros Gramaticais e Consequências, Revisitados

Uma função para assinatura digital do boletim poderia, da mesma forma, aplicar o mesmo golpe. Ambas podem funcionar como grampo de impressora. A especificação não diz a quem, e contra o que, ou de que modo, a criptografia do boletim da urna o protegeria. Omite-se o sentido da proteção e suas salvaguardas, em agressão ao idioma pátrio, apesar de estarmos repletos de estatísticas sobre crimes de informática, mostrando que quatro em cada cinco deles materializam riscos internos, a grande maioria inqualificados e impunes. No final, ninguém terá errado no caso do painel do Senado. Apenas sido ingênuo, justo onde a ingenuidade é cruel.

Podemos resumir dizendo que o sentido da proteção criptográfica (a quem, contra o que, e como) vai então depender da metáfora escolhida e, principalmente, das intenções por ela autorizadas a dominarem o jogo. Temos, como exemplo, um caso recente de um banqueiro brasileiro rico, obcecado por segurança, e seu enfermeiro americano dedicado, mas incendiário. No caso da urna, quem saberia mesmo em que ordem são executados, com o boletim no final da votação, a sua impressão in loco, e a inicialização do programa do CEPESC que irá cifrá-lo? Quem saberia rastrear a decisão para que a ordem fosse essa?

Ninguém de fora tem a menor pista para a primeira pergunta, pois as respostas dos técnicos do TSE mudam conforme a ocasião[1,2,5]. E este fato é uma pista para a dificuldade da segunda pergunta. Ninguém de fora poderia vir a saber, a menos que o expurgo do referencial de risco do eleitor, no referencial do dono da urna, seja por ele revertido, para a segurança d(os de boa fé, n)as eleições futuras. Resta perguntar com quem, afinal, estaríamos dançando esta dança da confiança. Os possíveis parceiros são um bode tecnológico, um coelho de lenço na cartola, e um mágico com o poder de transmutá-los, que a luz da lanterna filosofal não consegue discernir sob esse expurgo.

No saldo geral, a auditabilidade externa é que tem a oferecer à urna, como nos parece, o melhor nível de proteção possível, em qualquer referencial de risco. Mas desde que venha a ser parte bem planejada do seu processo da segurança, a começar pelas especificações do sistema. Ou seja, sob a metáfora da transparência, e não meramente uma improvisação post mortem, ao estilo do sistema do painel do Senado, sob a metáfora obscurantista. Segurança na informática não é como orégano de pizza, que se coloca por cima ao levá-la a forno. É antes uma filosofia de projeto.

9.3 Os Significados do Funk da Cabra-Cega

O jogo ocultista em torno da votação eletrônica não deveria interessar à sociedade. O eleitor, ao aceitar passivamente a metáfora preferida do dono da urna, entra numa brincadeira semelhante a um funk da cabra cega. A metáfora é encenada, para irmos dançar, apalpar e cantar onde estaria o "botão macetoso" da urna, com a espada de Dêmocles sobre as cabeças cobertas, para a eventualidade de alguém tropeçar num grampo qualquer. Enquanto dono e parceiros se revezam de tigrões ao microfone e disc-jockeys dos programas que tocam na urna. Isso não é propriamente um processo de segurança na informática. É antes um jogo de cartas marcadas, como o de se reaver o dinheiro do TRT paulista. Enquanto a sociedade aceitar a metáfora obscurantista, o monopólio da possibilidade da fraude interna indetectável estará assegurado e intacto.

Na metáfora da transparência e sob o referencial do eleitor, em nenhuma hipótese a cifragem do boletim de urna é necessária ou útil. Muito menos com a participação do CEPESC, cujo controlador atual já nos deu mostras de suas habilidades digitais, através da Proconsult no Rio de Janeiro. E em nenhuma hipótese esta participação seria justificada para a implementação, em seu lugar, da autenticação por assinatura digital do boletim de urna. Os protocolos e algoritmos conhecidos para este mecanismo são todos de domínio público, com padrões de fato também abertos, com implementações disponíveis nesses padrões em código-fonte livre, testados e usados em larga escala, há mais de vinte anos em todo o mundo. Tudo dentro da capacidade do próprio TSE.

Além do que, se assinatura secreta fosse oferecida em versão digital, como quiseram representantes do TSE no congresso de segurança computacional Wseg'2001[5], seria a versão digital de um contrato de gaveta. E contrato de gaveta é, para a sociedade, ou engodo ou instrumento de blefe e chantagem. A impedância oficial contra esses fatos será um bom indicador da verdadeira funcionalidade da atual biblioteca criptográfica da urna: um software que talvez nem mesmo a presidência do TSE saiba a quem serve e o que faz, mas que não pode esconder da lanterna o que seria capaz de fazer.

Um poder que reúne o direito de legislar, executar e julgar a distribuição do poder político, e que, no seu exercício, outorga a si mesmo o direito de também definir, para si e para quem deveria servir, o que sejam tecnologia antipirataria e tecnologia antifraude, torna-se extremamente perigoso. A aplicação desta outorga à sua própria ação será juridicamente infalsificável, ao mesmo tempo em que esta ação se faz totalmente opaca. Este perigo é ainda maior quando há delegação deste absoluto poder, por meios capazes de dissolver responsabilidades e investigações, em fluxos retóricos como o vertido na recusa ao desbloqueio da auditoria dos programas da urna, querendo pintar gatos de pardo.

O TSE diz que o conhecimento da criptografia instalada nas urnas eletrônicas é questão de segurança nacional. Isto é apenas o óbvio, que todos já intuem, como também é óbvio o que falta ser dito. É preciso que todos, principalmente o TSE, entendam em que sentidos esta biblioteca representa perigo à nação. E a lanterna do filósofo está aí, nos livros de história, para ajudar-nos a todos.  Esclarecer, afinal, é lançar luz.
 
 

EPÍLOGO


O crédito no mercado da confiança se escasseia com facilidade, como agora. Resta-nos, finalmente e aqui também, parar de fingir ou arcar com as conseqüências. O saldo das decisões desastradas, imprudências entrelaçadas e teimosias altivas já se acumula em níveis questionadores da adimplência, que nesta conta é a percepção pública das verdadeiras intenções. Se quisermos renegociar esta conta, as alternativas se apresentam.

Ou se abandona a farsa da democracia transparente e se encerram as troças de mau gosto com a lanterna do filósofo, em atenção à sua luz, ou se consolida esta farsa e se detém a Diógenes e seus acólitos, em um hospício ideológico. Mas, se o impasse político que reúne incautos, temerosos e espertos prevalecer, estaremos – parodiando o Ministro Nelson Jobim em abertura de sessão no I Congresso Internacional de Direito na Informática e na Internet – entrando na história pela porta da estultice. A mesma porta pela qual avistamos o filósofo cínico de Atenas.
 

O que é Confiança?

Confiança é
Qual mítico Graal,
um valor ardiloso.

Não se vê; e como sopro vital,
a mais ou a menos perigoso,
se inspira.

Se merecida
não carece ser pedida
ou conferida.

Desmerecida,
não parece ser medida;
será perdida.

Desmedida,
perece ao ser imposta
 ou transposta. Decida.

Alguns crêem que há resposta:
que a podem fazer devida.
Mas sabem que só por vezes

A preços aviltantes,
sempre crescentes
e asfixiantes





 

"A filosofia é uma batalha contra o enfeitiçamento da inteligência por meio da linguagem"
Ludwig Wittgenstein: Philosophical Investigations, s. 111.

 
 
 

BIBLIOGRAFIA


[1]- A.Brunazo Filho: "Uma análise da Segurança da Urna Eletrônica".
Anais do Simpósio de Segurança na Informática SSI'2000, Instituto Tecnológico da Aeronáutica, S. J. dos Campos, SP, 24/10/2000.

[2]- Debate sobre o voto eletrônico;
Simpósio de Segurança na Informática SSI'2000, Instituto Tecnológico da Aeronáutica, S. J. dos Campos, SP, 24/10/2000

[3]- M. Teixeira & A. Brunazo Filho: "Reflexões sobre Confiabilidade de Sistemas Eleitorais"
Fórum do Voto Eletrônico, Belo Horizonte, MG, 20/01/2001

[4]-  A. Brunazo Filho: "Critérios para Avaliação da Segurança do Voto Eletrônico"
Workshop em Segurança de Sistemas Computacionais, Wseg'2001,  UFSC, Florianópolis, SC 06/03/2001

[5]- A. Brunazo Filho: "Relatório de Santa Catarina" Forum do voto eletrônico, http://www.mail-archive.com/ voto-eletronico@pipeline.iron.com.br/msg02614.html
Acessado em 10/05/2001

[6]- "Diogenes". Enciclopaedia Britannica,
Ed. Enciclopaedia Britannica, London, 1952

[7]- P. A. D. Rezende: "Criptografia e Segurança na Informática",
Ed. Copymarket, http://www.copymarket.com, 1999

[8]- Schneier, B.: Applied Criptography , 2nd ed.,
Ed. J. Willey, Ney York, USA, 1996.

[9]- Schneier, B.: Segredos e Mentiras Sobre Proteção na Vida Digital.
Tradução Ed. Campus, Rio de Janeiro, RJ, 2001.

[10]- TSE: Portaria 142/00 da Diretoria Geral
Art. 2, Parag. único: Declara que o sistema operacional da UE e sua biblioteca de segurança (criptografia) não serão disponibilizados para análise do código pelos técnicos fiscais dos partidos políticos

[11]- TSE: Decisão do Pedido de Liminar do Mandado de Segurança nº 2.914 –DF do TSE contra a Portaria 142 e a Resolução 20.714.
Contém o seguinte trecho "… a restrição de acesso à segurança do sistema não denota falta de confiança nos integrantes das agremiações políticas, antes demonstra uma preocupação com a própria segurança, pois é fato que menos pessoas tiverem acesso a tais informações, menor a possibilidade de vulneração e risco à segurança das eleições".

[12]- P. Mineiro: "Proconsult- Um Caso Exemplar", em Cadernos do Terceiro Mundo n. 219,
Ed. Terceiro Milênio, Rio de Janeiro, RJ, Maio 2000

[13]- Lessig, L.: Code, and Other Laws of Ciberspace.
Ed. Basic Books, New York, USA, 1999

[14]- TSE: Edital de concorrência para confecção das urnas eletrônicas.
 http://www.brunazo.eng.br/voto-e/ arquivos/EditalUE2000.zip

[15]- Cohen, F.: A Short Course on Computer Viruses
Ed. Wiley Professional Computing, New York USA, 1994

[16]- Simone Lima: "Violação coloca urna eletrônica em xeque". Jornal do Brasil, 29/05/01
http://www.jb.com.br/jb/papel/ brasil/2001/04/28/jorbra20010428001.html

[17]- A. Brunazo Filho:  "Violação coloca urna eletrônica em xeque"
http://www.mail-archive.com/ voto-eletronico@pipeline.iron.com.br/msg03260.html

[18]- P. A. D. Rezende: "Internet e Outras Redes:  Risco nas Tecnologias e Modelos"
Simpósio SSI'2000  Instituto Tecnológico da Aeronáutica, S. J. dos Campos, SP, 25/10/2000
 http://www.cic.unb.br/~rezende/trabs/ssi2000.htm

[19]- P. A. D. Rezende: "Aspectos Legais da Segurança na Informática e do Comércio Eletrônico"
Seminário Técnico Security Day,  Escola Nacional de Administração Pública e TECSOFT/Brasília, Brasília, DF, 5/04/2001
http://www.cic.unb.br/~rezende/trabs/palestra.htm

[20]- P. A. D. Rezende: "A inteligência e os embustes virtuais"
Observatório da Imprensa, Seção Artigos do portal UOL, e Caderno Internet do Jornal do Brasil, 5/06/2000
http://www.cic.unb.br/~rezende/trabs/imunizando.htm

Pedro Antonio Dourado de Rezende
v.1.6
05/08/01