Propostas dos Cr´ıticos

Proposta de Brunazo no 1o_{Simp´osio sobre Seguranc¸a na Inform´atica}

Segundo Brunazo [BRU 99]:

“Primeiro, a identificac¸˜ao do eleitor deveria ser feita da maneira isolada, poderia ser feita com o aux´ılio de m´aquinas eletrˆonicas desde que estas n˜ao permitam a gravac¸˜ao da ordem de chegada dos eleitores em mem´oria per- manente e, obviamente, n˜ao tenham conex˜ao el´etrica ou eletrˆonica com as m´aquinas que forem receber os votos ou pode ser feita a conferˆencia dos documentos contra a listagem dos eleitores, como sempre era feita.

Uma vez identificado e liberado para votar, o eleitor recebe uma c´edula vazia que poderia servir como senha liberadora da urna para receber um novo voto. O voto, depois de confirmado pelo eleitor, seria impresso nesta c´edula.

As c´edulas preenchidas com o voto devem primeiro ser mostradas para conferˆencia pelo eleitor para depois serem depositadas automaticamente nu- ma urna convencional sem que o eleitor a manipule (para evitar o voto-de- cabresto). Estas urnas convencionais ser˜ao apuradas na sua totalidade ou apenas em parte, dentro de uma programac¸˜ao de auditoria do software real da urna.

Desta forma se unem as vantagens do voto tradicional (impossibilidade de violac¸˜ao do voto e possibilidade de auditoria da apurac¸˜ao) com as vanta- gens do voto eletrˆonico (rapidez na apurac¸˜ao, inibic¸˜ao do voto-de-cabresto e das fraudes na apurac¸˜ao). Tamb´em s˜ao eliminados alguns defeitos da urna e- letrˆonica como a necessidade de preparac¸˜ao diferente para sec¸˜oes diferentes e a impossibilidade de m´ultiplas urnas por sec¸˜ao.

101 Com essa proposta, a Urna Eletrˆonica Segura, tem as seguintes carac- ter´ısticas:

• Inibe o voto-de-cabresto. • Inibe as fraudes na apurac¸˜ao.

• Permite ao eleitor conferir para quem foi dado o seu voto.

• Elimina a possibilidade de violac¸˜ao do voto atenuando a vulnerabili- dade do eleitor `a press˜ao psicol´ogica.

• Permite a recontagem e conferˆencia da apurac¸˜ao quando necess´ario. • Permite a auditoria de urnas durante o seu funcionamento.”

Proposta de Jeroen no 3o_{Simp´osio sobre Seguranc¸a na Inform´atica}

Em [GRA 01] ´e proposto um protocolo para melhorar a seguranc¸a da urna eletrˆonica de forma significativa. As melhorias sugeridas s˜ao:

• “Uso de um n´umero de identificac¸˜ao p´ublico para cada urna: O objetivo ´e tornar cada urna ´unica, dificultando a troca de urnas ou a c´opia dos resultados de uma urna para outra.”

J´a existe um n´umero que identifica cada urna eletrˆonica.

• “Chave privada para cada urna: Essa chave ´e mantida na mem´oria da urna e ´e usada para assinar cada voto, ap´os o eleitor apertar a tecla “Confirma”. Ela tamb´em ´e utilizada para assinar o resultado final da urna ap´os o encerramento da eleic¸˜ao. A chave privada ser´a compartilhada por trˆes mes´arios e pelo hardware (cart˜oes flash interno e externo e disquete).

• Votos s˜ao guardados individualmente: Todos os votos s˜ao guardados dentro da urna, da seguinte maneira: voto, n´umero aleat´orio, n´umero de identificac¸˜ao da urna e cada voto ´e assinado com a chave secreta da urna.

• Hash do resultado final: Ap´os a apurac¸˜ao dos votos, todos os arquivos s˜ao compac- tados em um ´unico e grande arquivo e ent˜ao copiado para o disquete. Esse arquivo ´e assinado digitalmente e a assinatura passa por uma func¸˜ao resumo. Essa s´ıntese ser´a mostrada no display da urna para que todos o copiem e tamb´em ´e impresso no boletim final gerado pela urna. O objetivo deste resumo ´e selar os resultados da urna, para que seja imposs´ıvel modific´a-la sem ser detectado.

• Publicac¸˜ao dos resultados na Internet: Todas as informac¸˜oes relevantes devem ser publicadas, incluindo informac¸˜oes cr´ıticas de sistema cifradas, tornando poss´ıvel

a realizac¸˜ao de auditorias de seguranc¸a, bem como detecc¸˜ao de irregularidades, sem a necessidade de acessar a urna fisicamente.

• Chave privada e p´ublica para todo o sistema: Uma chave p´ublica comum ´e ins- talada em todas as urnas para cifrar informac¸˜oes essenciais da urna, como o mo- mento em que as teclas s˜ao pressionadas e o momento da remoc¸˜ao de flash de carga e do disquete. Essas informac¸˜oes cifradas s˜ao decifradas somente para realizar au- ditoria na urna. A chave privada ´e compartilhada entre v´arias entidades.”

Na tabela 6.1 ´e mostrado o protocolo proposto por [GRA 01].

Tabela 6.1: Protocolo de seguranc¸a da urna [GRA 01].

Inicializac¸˜ao da Urna

´

E feito o resumo dos valores de inicializac¸˜ao. O par de chaves p´ublica e privada ´e gerado.

´

E feito o resumo da chave p´ublica (h2).

O identificador da urna (IDu) ´e formado por uma substring de h2. Os valores IDu e h2 s˜ao impressos.

Os valores de inicializac¸˜ao s˜ao salvos.

A chave privada ´e salva para poss´ıvel auditoria. Uma chave sim´etrica K ´e gerada.

A chave privada ´e cifrada com K e salva. K ´e compartilhada em seis partes.

Processo de votac¸˜ao

Cada voto individual ´e assinado. Os votos s˜ao armazenados.

Cada evento que ocorre ´e cifrado e salvo.

Encerramento da Urna

Os dados de inicializac¸˜ao s˜ao decifrados. O conjunto de resultados completo ´e criado.

´

E feito o resumo dos resultados (h4). O h4 ´e assinado com a chave privada (S). A chave privada ´e completamente apagada.

´

E calculado o resumo de S (h5).

h5 ´e convertido em um n´umero de 50 d´ıgitos decimais, R. R ´e lido e impresso publicamente.

´

E gerado o disquete com os resultados e assinaturas. O boletim de urna ´e impresso.

Os resultados s˜ao enviados para o TSE, que ´e respons´avel por public´a-los, inclusive na Internet.

103 Em [OLI 01] s˜ao apresentadas algumas diretrizes b´asicas, as quais po- deriam contribuir com o projeto da urna eletrˆonica:

1. “Adoc¸˜ao de mecanismos de impress˜ao do voto, o qual pudesse ser observado pelo eleitor, sem qualquer contato manual, propiciando a possibilidade de recontagem ou auditoria do processo de votac¸˜ao;

2. Adoc¸˜ao de mecanismos de assinatura eletrˆonica que possam ser verificadas pelos representantes dos partidos, para que se garanta, numa poss´ıvel auditoria, a ori- gem e fidelidade dos programas e dados inseridos em cada uma das mais de 300 mil urnas do pa´ıs;

3. Adoc¸˜ao, em car´ater obrigat´orio, de programas de computador considerados como “software aberto” nos processos e etapas eleitorais, fazendo com que n˜ao exista a possibilidade de programas deixarem de ser verificados e auditados em func¸˜ao da arg¨uic¸˜ao de direitos autorais.”

Em [BRU 01b] recomenda-se evoluir as Urnas Eletrˆonicas brasileiras para uma nova gerac¸˜ao, ou seja, dar `as Urnas Eletrˆonicas a capacidade de recontagem dos votos e conferˆencia da apurac¸˜ao por meio da impress˜ao do voto, o qual seria mostrado ao eleitor antes de ser depositado em uma urna lacrada para posterior conferˆencia quando e se requerido.