http://www.cic.unb.br/~rezende/sd.htm > urna eletrônica: modelo segurança

Eleição Eletrônica com ou sem auditoria?

Publicado no portal
ComCiência - LabJor Unicamp

Amilcar Brunazo Filho *
Pedro Antonio Dourado de Rezende **
30 de Junho de 2005


Aproxima-se o Referendo de 2005 no Brasil, sobre a venda de armas de fogo, quando serão utilizadas, mais uma vez, urnas eletrônicas que não permitem auditoria da apuração eletrônica dos votos. A lisura do resultado deste referendo pode não interessar a todos, mas levanta, novamente, a questão das salvaguardas em processos eleitorais. A fiscalização de eleições governamentais processadas eletronicamente tem sido mundialmente debatida no meio acadêmico, no Brasil desde a adoção das urnas eletrônicas, em 1996, e mesmo antes, a partir do caso proConsult, em 1982.

A questão central do debate gira em torno da auditabilidade desses processos. Mais precisamente, da pertinência ou da necessidade, ou não, de se reter uma representação material de cada voto no sistema, para fins de fiscalização através de recontagem manual. Nos EUA, onde a implementação do processo eleitoral é definida por Lei estadual, o debate teve início no final dos anos 80, ganhando impulso e manchetes na mídia depois do “Fiasco da Flórida”, em 2000. No Brasil, só ganhou atenção equivalente durante dois breves períodos: na estréia de computadores em processo apuratório, no Rio de Janeiro em 1982, e em 2001, em conseqüência do escândalo do painel do Senado.

Nos EUA e na Europa, diferentemente do Brasil, participam hoje do debate muitos técnicos em informática e em segurança na informática, além de alguns especialistas em ergonomia e acessibilidade, que, na sua maioria, são favoráveis à obrigatoriedade das máquinas eletrônicas de votação imprimirem cada voto, para conferência visual sem interferência manual do eleitor. O objetivo de tal medida é não só possibilitar eventuais recontagens da apuração eletrônica, mas principalmente, reter o lastro de convencimento da lisura de pleitos na experiência e participação individual do votante, espírito mesmo do processo democrático, quer na democracia grega, quer na moderna.

Também participam oficiais de justiça e empregados de cartórios eleitorais, organizadores e executores de processos eleitorais, que, por sua vez, em grande maioria são contra tal medida, devido ao trabalho extra que isso lhes causa. Mas certamente também, embora raramente admitido em público, pelo fato de eventuais discrepâncias entre a apuração eletrônica e auditorias manuais exporem eventual inépcia ou má fé no desempenho de suas funções, ao leque de suspeições de causa.


O quebra-cabeças da segurança eleitoral

Muitos especialistas em Tecnologias da Informação defendem a retenção material do voto em sistemas eleitorais eletrônicos devido aos recursos científicos e técnicos disponíveis, ou possíveis à segurança computacional, serem insuficientes para oferecer, em grau condizente com o espírito da democracia, confiabilidade do resultado de eleições com voto secreto processadas e apuradas apenas eletronicamente. Dentre eles, ícones vivos da Ciência da Computação como Ronald Rivest (inventor do método RSA de assinatura digital), David Chaum (inventor do “dinheiro digital”) e Bruce Schneier (criptógrafo e autor dos maiores best-sellers sobre segurança computacional).

Todos esses eminentes cientistas já publicaram artigos seminais onde explicam porque é mais fácil, por exemplo, proteger transações financeiras contra fraudes eletrônicas do que apurar votação secreta e puramente eletrônica com a mesma segurança. Segurança, aqui, entendida em seu legítimo e implícito
e não num ilegítimo

A arriscada corrida pela modernidade

A dificuldade apontada por esses cientistas, relativa à segurança – no primeiro sentido acima – desses processos eleitorais, tem origem na incongruência, adiante explicada, entre dois requisitos operando nas condições do mundo da vida. Os requisitos são o de sigilo e o de desmaterialização do voto, operando num contexto que encena pelo menos três interesses potencialmente conflitantes: os de pelo menos duas candidaturas, e os de eleitores que acreditam na democracia através de eleições limpas, ou que assim a desejam (este último comungado pelos autores). Tal incongruência torna inseparáveis esses dois sentidos de segurança, donde o perigo, já que o primeiro, legítimo, só será eficaz conjugado à negação do segundo, ilegítimo. Ou seja, a garantia de lisura do pleito somente ocorrerá se o eleitor estiver, também, protegido contra a ocorrência de fraudes de origem interna, e portanto, somente se qualquer organizador ou executor do processo porventura a favor da ocorrência de fraudes ao seu alcance estiver, para alcançá-la, desprotegido.

Pode-se aqui perguntar: Onde o perigo? Em processos com mais de dois interesses em jogo, como o eleitoral, conflitos de interesses representam risco de conluio. Conluio é uma ação conchavada entre dois ou mais interesses, opostos ou não, para induzir outro ou outros interesses a confundi-los, em benefício deles. No caso, a confusão serve inclusive para despistar motivos para a escolha das condições sob as quais os dois sentidos de segurança acima citados, legítimo e ilegítimo, se tornam mutuamente canceláveis e parecidos. Daí ao prato cheio do conluio é um pulo: a camuflagem do segundo, para se passar pelo primeiro. Por isso, a segurança dos legítimos interesses em jogo não pode, sob o risco de conluio, ser buscada em controle unilateral do processo ou sigilo dos seus mecanismos. A proteção contra o risco de conluio, ao contrário, só é possível com adequado equilíbrio entre transparência do processo e distribuição de controles. Entre interesses legítimos e potencialmente conflitantes, através de medidas regulatórias que se harmonizem e se integrem para constituir um (sub)processo fiscalizatório eficaz.

Pela suas naturezas, esse tipo de risco ameaça qualquer democracia. Conforme nos ensinam nossos livros de História, ele contaminava o processo eleitoral na República Velha. Na República Velha o conluio envolvia a organização do processo e duas canditaturas, que ocultavam o prévio conchavo do resultado a ser divulgado, e que a cada eleição alternava no poder os respectivos Partidos Políticos, independentemente da votação. Chamava-se "política café-com-leite". O povo brasileiro levou décadas para disso aquilatar conseqüências nefastas, mora que nos levou à Revolução de 30, pelo aperfeiçoamento democrático. Duas interrupções do regime depois, agora sob o fascínio das tecnologias da informação, vendidas como panacéia para mazelas humanas, as lições da República Velha parecem esquecidas. Essas tecnologias maravilhosas e seus sistemas desmaterizadores, capazes de capitalizar a imaterialidade no voto em agilidade na apuração, estão nos sendo vendidas, a preço mui caro, como irrefreável modernidade e moderna proteção contra antigas formas de fraude. Como se isso constituisse, por si só, um bem em si. Será que constitui?


Duas faces de uma mesma moeda...  que não gira


Em eleições secretas, nas quais o nome do votante não pode ser associado ao voto na votação ou apuração, a eficácia do processo fiscalizatório se faz, por isso, sensível ao suporte que registra materialmente cada voto. Em conseqüência, se o processo de votação eletrônica desmaterializar o voto, registrando-o – ou suas somas parciais – apenas digitalmente, a eficácia de qualquer processo fiscalizatório será tolhida. Tolhida no sentido de que qualquer medida para detectar ou impedir fraudes de origem interna (conluio entre um organizador e alguma candidatura) servirá, também, para proteger fraudadores externos, fiscais de candidatura empenhados em sabotar (anular uma eleição perdida) ou subverter a fiscalização (contaminar o sistema com mencanismo de fraude). Enquanto qualquer medida para detectar ou impedir sabotagem ou subversão na fiscalização protegerá, também, fraudadores de origem interna que detenham privilégios de acesso para programar, controlar ou operar o sistema.  É a incongruente luta entre espiões e contra-espiões, que liga sentidos de segurança legítimos e ilegítimos.

Quem, como cidadão, não se importa com o risco da legítima segurança ser, sob qualquer pretexto, cavalgada pela ilegítima, não dá valor à democracia ou, no fundo, não a aceita. E quem, como cientista, quiser estudar seus mecanismos, deve separar tal conhecimento e crença dos problemas e limites inerentes aos mecanismos. Foi assim que o estudo científico desses limites atingiu um marco importante, com a tese de Doutorado em Ciência da Computação da Dra. Rebecca Mercury, defendida na Universidade da Pensilvânia em 2000. Sua tese demonstra que a inviolabilidade do sigilo do voto e a garantia de correta apuração – garantia que nega o segundo sentido acima – são propriedades excludentes em sistemas puramente eletrônicos. Ou seja, não há como proteger, em qualquer eleição processada e apurada apenas eletronicamente, o sigilo do voto e a corretude da apuração, pois, nela, tais proteções são como faces opostas duma mesma moeda. Moeda que corresponde ao sistema eletrônico puro, e cujo valor corresponde ao do processo eleitoral que o sistema executa, mas moeda que não se pode "girar" durante uma eleição, para se ver seus dois lados, pois o processo é executado sem possibilidade de auditoria.

O peso desses argumentos científicos passou a se refletir, sob pressão de movimentos civis, fortalecidos por duvidosa ética de fornecedores de sistemas eletrônicos puros, na legislação eleitoral norte-americana. Entre março de 2004 e maio de 2005, 14 estados federados aprovaram leis que obrigam máquinas eletrônicas de votação a emitirem voto impresso conferível pelo eleitor, para manter ou recuperar a auditabiliade do processo eleitoral anterior aos computadores. Moeda, afinal, precisa ter lastro. Hoje, 19 Estados já têm leis assim aprovadas, 3 as têm aguardando sanção, 17 têm projetos em tramitação, e apenas 12 ainda não vêem problemas com máquinas do tipo que o Brasil hoje utiliza. Já no Congresso Nacional, tramitam hoje quase uma dezena de projetos exigindo o Voto Impresso Conferível pelo Eleitor como princípio federativo de organização democrática nos EUA. A idéia não é a de pretender, ingenuamente, acabar com fraudes, mas a de tornar suas possíveis formas difíceis, onerosas e arriscadas em igual medida, expondo-as ao risco de serem comprovadas em tempo hábil e por eleitores comuns, até por quem não tem título de PhD em Ciência da Computação registrado no CNPq.


O caminho do voto eletrônico no Brasil


No Brasil, a implantação do voto eletrônico tem seguido outros caminhos. A transparência do processo eleitoral, a de sua organização, a do processo de formação de suas leis e regulamentos, e a participação da sociedade civil nestes, têm deixado a desejar. Mesmo diante das mesmas dúvidas éticas acerca dos mesmos fornecedores de sistemas eletrônicos puros. Em boa parte devido à nossa peculiar organização jurídica, ao que se sabe única no mundo das democracias republicanas, que acumula funções de regulamentação, execução e judicação, cujos poderes uma república deveria separar, do processo eleitoral numa só instituição – a Justiça Eleitoral –, encabeçada pelo TSE.

A Lei 9.100 de 1995, que permitiu o uso do voto eletrônico, e a Lei 10.740 de 2003, que acabou com o Voto Impresso Conferível pelo Eleitor, foram elaboradas dentro do TSE. Foram aprovadas, sempre sob pressão de algum de seus ministros, no Congresso Nacional com participação significativa de parlamentares enredados em litígios na Justiça Eleitoral, e sancionadas com menos de 6 meses de tramitação, sem que fossem permitidas uma única audiência pública ou emenda. Na elaboração, aprovação e sanção destas leis, toda contribuição ao debate oferecido pela comunidade acadêmica foi desprezada, inclusive:
  1. Manifesto de Professores Universitários, hoje com mais de 1700 assinaturas, alertando parlamentares e a sociedade para os riscos de sistemas eleitorais eletrônicos que não permitem auditoria no processo de apuração, e solicitando que os debates para legalizá-los incluam audiências públicas;
  2. Relatórios da Sociedade Brasileira de Computação (SBC) e da Fundação COPPETEC da UFRJ, com avaliações bastante críticas do sistema em uso, um deles – o da SBC – recomendando a impressão de cada voto para conferência visual sem interferência manual do eleitor, para tornar auditável o processo de apuração;
  3. Perícia Técnica de Santo Estevão, Bahia, peça do processo TRE-BA 405/2000.

Reducionismo


Tais documentos indicam graves falhas de segurança (no primeiro sentido) que, posteriormente, puderam ser comprovadas quando uma parte do software utilizado em urnas na eleição de 2000 vazou na Internet e foi, então, analisada por um dos autores, sendo depois identificada com o software analisado pela perícia de Santo Estêvão. A análise e identificação desta, justamente a parte que controla a segurança lógica da urna (setup), revelou quão ridículo era o processo fiscalizatório, sem, contudo, despertar interesse na opinião pública. Tal comprovação só foi possível com uma quebra momentânea do obscurantismo que cerca o sistema eleitoral brasileiro, ainda que muitos confundam esse obscurantismo com segurança, e essa quebra com violação. Esse obscurantismo serve, na verdade, apenas para camuflar o segundo sentido de segurança com a aparência do primeiro.

O último documento (a perícia técnica), exarado em processo de impugnação eleitoral no qual litigavam dois partidos de direita, é de extrema importância pois relata a única perícia até hoje executada por técnico independente, sobre uma uma eletrônica usada em eleições oficiais no Brasil. A perícia de Santo Estêvão revela, dentre outros fatos, a absoluta ineficácia – no primeiro sentido acima – do sistema de lacres físicos então utilizado na urna eletrônica brasileira, conjugada à sua absoluta eficácia no segundo sentido. Revela, também, como a linguagem da regulamentação oficial desse sistema de lacres, e das bravatas oficiais sobre a segurança que proporciona, pode servir para camuflar o segundo sentido com a aparência do primeiro. Esse documento é pedra de toque em quebra-cabeças que busquem revelar como tal aparência é tecida: de tosco ufanismo, de ignorância coletiva e de prepotência (ignorância da ignorância) reducionistas.

Alguns se fazem vítima desse reducionismo ao confundirem sistema eletrônico com processo eleitoral, ou ao confundirem sigilo do voto com sigilo no processo que coleta e soma votos (por cargos, seções, unidades) e divulga resultados. Outros, ao crerem em palpites de que a transparência atual já é suficiente, até por não saberem para que serviria mais transparência, ou o que fazer com ela. Já outros, em palpites de que mais transparência prejudicaria a segurança, esta nalgum sentido vago e indefinido, quando não maniqueísta (os hackers da internet!). Para agravar, há especialistas, de cátedra e de carona, com ambições turvas e escrúpulos ralos, empenhados em explorar esse reducionismo, como se urna eleitoral fosse caixinha de mágico. Daí, a necessidade da quebra desse obscurantismo para se revelar como, em sistemas puramente eletrônicos de votação secreta, esses dois sentidos de segurança legítimo e ilegítimo não só se tornam inseparáveis e mutuamente cancelativos mas, pior, podem se tornar perigosamente parecidos.


A salvação, segundo a seita do Santo Byte


Sistemas esses que
teriam maravilhado Maquiavel, se na Renascença existissem. Principalmente pela pujança da seita do santo byte, o novo credo que com eles surge. Surge ao transformar em dogma palpites circulantes na mídia sobre o que seja suficiente transparência em sistemas eletrônicos, para revelar outra e rósea realidade. A seita do santo byte revela como esse reducionismo, consagrado pelo Poder pleno e absoluto da Justiça Eleitoral, pode "salvar" nossa democracia das mazelas humanas, através da fé na inseparabilidade daqueles dois sentidos, alcançada pela ubíqua pureza eletrônica que nos permite eliminar de vez o mal que nos atormenta há milênios (até para veicular a Bíblia!), o diabólico papel. Fé que protege da tentação e redime do pecado de conluio quem, no exercício desse Poder, programa, controla ou opera seu sistema eletrônico puro (livre da danação do papel). Ou mesmo, em sua vertente farisaica, fé que explica, sob a sofística de argumentos de autoridade, esses dois sentidos como um só.

Basta ingerir, pelos olhos e ouvidos, a beberagem oferecida pela grande mídia, no altar do consumo em nossos próprios lares, e se alcança a visão: seres angelicais programando, configurando, operando maquinetas...
santo byte
Dentre os sinais desta revelação mística, podemos citar:
  1. A contaminação dogmática de estudos, pagos e dirigidos pelo TSE, sobre a segurança do sistema (ex: o caríssimo estudo "da Unicamp", de 2002, à luz da análise do setup, de 2004);
  2. O veto à participação da Dra. Mercury em evento científico sobre eleições eletrônicas, realizado em 2003 na UFSC sob patrocínio do TSE, sob o pretexto de que ela nada teria a contribuir para o "aperfeiçoamento do nosso sistema";
  3. A recusa sistemática do TSE em permitir que representantes dos Partidos Políticos executem testes livres ou de penetração, conforme receituário de normas técnicas nacionais e internacionais para homologação da segurança de sistemas eletrônicos.
O terceiro sinal, a recusa de testes homologatórios independentes, legitimados por padrões técnico-científicos, parece impressionante. Pretende-se justificado pelo argumento, auto-referente e escapista, de que o regulamento do sistema eleitoral brasileiro, elaborado pelos próprios fiscalizados, não os prevê. Os únicos testes legalmente permitidos são aqueles que a sapiência insuperável e incorruptível dos próprios define, e que se limitam à participação dos fiscais na mera observação de urnas emitindo relatórios de auto-indulgência. O valor da nossa moeda eleitoral estaria, assim, lastreada unicamente na palavra de quem, investido da capacidade legalista daquele Poder, exerce simultâneo sacerdócio naquela seita. Por vezes a palavra do mesmo que declara, após ter chefiado a Justiça Eleitoral, ter também contrabandeado dispostivos não-votados para a Constituição Federal, enquanto legislador constituinte.  E que responde, a quem com isso se indigne: azar "dos que assinaram embaixo" (assinaram em papel!). Quem não se impressiona, que aguarde os próximos sinais.

Até lá tais fatos, peripécias ou heresias que sejam, não despertam “interesse jornalístico” na grande mídia, já ocupada em proteger as massas contra o risco da "falta de confiança" no sistema, em arrebatá-las em tosco ufanismo recitando o mantra do santo byte: "nossa urna pioneira é segura!". Ou então o mantra dos fundamentalistas da seita: "a urna é 100% segura, pois se não fosse, provas de fraude haveriam". Ou então porque já está ocupada com as peripécias de publicitários, arapongas e políticos, e em identificar com cuidado quais dessas lhe despertam. Enquanto o debate sobre segurança eleitoral, sobre as novas formas de fraude, que, com potência mais concentrada e devastadora que as antigas, nascem na permuta da eficácia fiscalizatória pela agilidade apuratória e lá se ocultam, vai sendo farisaicamente silenciado, sob a bênção do quarto poder. Tal qual a pirataria constitucional. Mesmo assim as lições da República Velha, avaliadas na Revolução de 30 com nota em bandeira – a da Paraíba, não estão esquecidas de todos. Nem o fato da legalidade e da legitimidade serem coisas distintas.


Lições de História


Alguns ainda se preocupam com a História, dentre outros motivos para evitar a repetição de erros históricos. E esses, ao voltarem os olhos para o nosso continente, vêem postura ambígua até mesmo na Organização dos Estados Americanos (OEA). Do único país do mundo a já ter adotado urnas eletrônicas com voto impresso conferível pelo eleitor em todas seções eleitorais, a OEA exigiu, na última eleição lá realizada, que o resultado fosse auditado por recontagem manual dos votos impressos de 1,5% das seções eleitorais. Tratava-se do referendo que poderia derrubar o governo Chavez na Venezuela, em agosto de 2004. Para os demais países latino-americanos a OEA estimula, e em alguns casos até intermedia, o uso do sistema eletrônico brasileiro, que não permite recontagem e auditoria do processo.

Para a pergunta que intitula este artigo, podemos então arriscar uma resposta. Tomando por base não só os discursos oficiais e da grande mídia, com seus dois pesos e duas medidas sobre as maravilhas tecnológicas no processo democrático, mas também a origem dos componentes, softwares e contratos utilizados no Brasil, eleição eletrônica seria:
  1. com auditoria da apuração, a melhor alternativa para o povo dos EUA, fundador da democracia moderna, e para aqueles países da América Latina, fundada no colonialismo hodierno, cujas democracias o governo norte-americano esteja explicitamente interessado em tutelar; e
  2. sem auditoria da apuração, a alternativa para países onde convenha que a tutela não seja explícita.
Como acreditam (talvez sem a tutela) hoje as massas de manobra no Brasil, as carnes do boi-de-piranha da modernidade eleitoral, a dar gosto de sangue na boca de abutres, vendilhões e seus tutores fascistas. Restarão ossos duros de roer.


Autores
* Amílcar Brunazo Filho, engenheiro, representante técnico do PSB e PDT junto ao TSE, coordenador do Fórum do Voto Eletrônico na Internet (
www.votoseguro.org)
** Pedro Antônio Dourado de Rezende, matemático, professor de Ciência da Computação na Universidade de Brasília, Coordenador do Programa de Extensão em Criptografia e Segurança Computacional da UnB, representande da sociedade civil no Comitê Gestor da Infra-estrutura de Chaves Públicas brasileira. (www.cic.unb.br/~rezende/sd.htm)

Direitos Autorais:
Artigo publicado e distribuído sob licença Creative Commons (CC) NC-ND 2.0: Livre para redistribuição e republicação sem fins comerciais.
Termos da licença em: creativecommons.org/licenses/by-nc-nd/2.0/deed.pt

Histórico deste Documento
v.1.0 - 5.7.05 - publicada no Observatório da Imprensa
v.1.1 - 9.7.05 - Revisão literária de v.1.0, publicada no portal ComCiência e no portal do IBDI
v.2.0 - 23.07.05 - Revisão literária da v.1.1 (este documento)
v.2.1 - 27.1.06 - Inclusão da imagem "santo byte"