Arquitetura do modelo

O modelo em questão pode ser representado por uma arquitetura (Figura 28), onde, caso o eleitor opte pela impressão da CRV, conforme mencionado na Seção 6.1.1, o sistema deverá fornecer os respectivos mecanismos que implementam a proposta em questão:

1) Geração e impressão da CRV: Utilizando como base os mecanismos de

encriptação visual sugeridos por David Chaum em (CHAUM, 2004), o sistema brasileiro deverá imprimir as vias de uma CRV. Ou seja, a CRV deverá ser visivelmente destacável e existirão duas vias impressas em papel especial (transparente) contendo as informações do candidato selecionado durante a fase de votação (Seção 4.2.2). A Figura 27 ilustra um exemplo das duas vias de uma Cédula de Registro do Voto (CRV);

2) Geração do CCV na CRV: Utilizando como base os mecanismos de

encriptação aplicados em diversos sistemas eletrônicos de votação (Seção 5.1), o sistema brasileiro deverá gerar como saída para o eleitor o CCV, resultado da aplicação de um algoritmo de dispersão (Ex. XYZ) sob os dados previamente selecionados (o NIS, por exemplo). As seguintes características deverão ser garantidas pelo processo de geração do CCV:

a) O código deve ser único dentro de cada CRV. Como dito, isso pode

ser garantido a partir da utilização de uma função de dispersão (Seção 5.1.8) confiável e de conhecimento público;

b) O CCV correspondente deve ser mantido em segredo para o eleitor

até o que se efetue o processo de sobreposição das vias impressas de uma CRV;

3) Geração do NIS na CRV: Os CCVs poderão ser gerados a partir do NIS,

que por sua vez também será gerado pelo sistema (Ex. 00001) e, por conseguinte impresso na Cédula de Registro do Voto (CRV), ou ainda a partir de outro parâmetro que seja comprovadamente único. As seguintes características devem ser garantidas pelo processo de geração dos NIS em cada CRV:

a) O número deve ser único dentro de cada CRV. Essa unicidade pode

ser garantida a partir da aplicação de uma função que contemple a pseudoaleatoriedade da geração desses números. Pode-se aplicar nesse caso o modelo usado pelo sistema Wombat abordado na Seção 3.6, que faz uso de um sistema de criptografia de chave pública: Encpk(c, s), onde s é uma semente pseudoaleatória;

b) O número não deve fornecer a mínima probabilidade de vínculo com o

registro eletrônico do voto;

c) O número não deve retratar a sequência de uma votação.

4) Sobreposição das partes de uma CRV: Conforme descrito anteriormente,

tendo como base as funções de encriptação visual sugeridas por David Chaum (CHAUM, 2004), o sistema brasileiro deverá imprimir as duas vias de uma CRV. Em ambas, deverá constar o NIS correspondente à CRV e, quando devidamente sobrepostas, o eleitor deverá visualizar o CCV, juntamente com outras informações que comprovem que a CRV expressa verdadeiramente o voto capturado e registrado pelo software da urna eletrônica. Conforme ilustrado na Figura 25 (Direita) Essas informações podem ser, por exemplo:

a) A identificação da eleição: Ex. Presidente; b) O nome do candidato: Ex. Fulano de tal; c) O número do candidato: Ex: 202020

5) Conferência do registro eletrônico do voto: No momento da sobreposição

das vias encriptadas e impressas pela urna, o eleitor poderá conferir se as informações contidas na CRV compreendem o seu registro eletrônico. Nesse momento, o eleitor também poderá anotar em algum papel, ou mesmo na sua via da CRV, o resumo criptográfico (Hash) que foi revelado (CCV). É importante lembrar que apenas de posse desse resumo criptográfico (Hash), o eleitor não poderá sofrer ataques de um agente

coercitivo ou, ainda que intencionalmente, revelar o seu registro, visto que para comprovação íntegra do voto seria necessário efetuar a sobreposição das vias, que foram devidamente impressas em papéis especiais (transparente) a partir da aplicação da criptografia visual (Seção 5.2). Caso ocorra algum erro na conferência, como por exemplo, não ser possível visualizar o CCV, ou ainda se for o desejo do eleitor, o sistema deverá permitir o retorno ao processo inicial de votação, conforme ilustrado na Figura 28;

6) Depósito da CRV numa urna tradicional: Se não houver nenhum erro

gerado durante a sobreposição das vias de uma CRV, o eleitor então depositará uma das vias numa urna tradicional (Seção 2.4.1). Esse processo tem como objetivo principal garantir uma futura auditoria dos votos, caso haja necessidade. O processo de auditoria e verificabilidade universal dos votos estão descritos na Seção 6.2.3.

7) Marca d’água e finalização da votação: Após a inserção de uma das vias

da CRV numa urna tradicional, o eleitor deverá se dirigir até o responsável pela seção eleitoral, que estará responsável pela aplicação da marca d’água do Selo Nacional do Brasil (Figura 26) no local reservado da via da CRV escolhida pelo eleitor, finalizando assim o processo de votação.

A Figura 28 representada a seguir ilustra a arquitetura geral do modelo proposto e suas respectivas etapas.

Figura 29 – Arquitetura geral do modelo proposto

Etapas do modelo proposto:

1) Voto do eleitor na urna eletrônica (DRE);

2) Escolha do eleitor pela impressão do registro do voto;

3) Processo de sobreposição e conferência das vias de uma CRV; 4) Depósito de uma das vias da CRV em uma urna tradicional; 5) Carimbo do selo nacional na outra via da CRV;

6) Fim da Votação.

É importante lembrar ainda que o processo de sobreposição das vias de uma CRV deverá ser efetuado pelo eleitor durante o processo de votação ainda dentro da “cabine indevassável” e, nesse momento, o sistema possibilitará a comprovação do registro eletrônico do voto. A Figura 29 ilustra um exemplo do

resultado da sobreposição das duas vias de uma Cédula de Registro do Voto (CRV), contendo as possíveis informações a serem utilizadas para a confirmação do registro eletrônico do voto.

Figura 30 – Exemplo do resultado da sobreposição das duas vias de uma CRV