Vantagens e desvantagens da cédula Punchscan

A cédula Punchscan tem várias semelhanças com a votação baseada em criptografia visual e a cédula do Prêt à Voter. Entretanto, como acontece com o CVV, possui duas partes, e somente quando as partes são sobrepostas a votação é visível. Além disso, no CVV, o eleitor pode escolher qualquer uma das partes como contraprova. Por outro lado, Popoveniuc (2006) afirma que o problema de alinhamento no Punchscan é mais prático do que no CVV. Suas vantagens são:

1) A criação do recibo é automática, o eleitor simplesmente separa as duas páginas e mantém uma. A verificação do eleitor e a resolução de conflito de interesses são mais fáceis de

resolver, pois o eleitor só precisa verificar se o furo correto aparece marcado no site e se a ordem dos símbolos em seu recibo é a mesma postada no site.

2) O sistema de votação e administração eleitoral é prático, e o custo é baixo, independente do número de seções eleitorais, a zona eleitoral só precisa ter um scanner, um computador e um picotador de papel.

3) O Punchscan pode produzir cédulas mantendo a ordem fixa dos nomes dos candidatos em todas as cédulas. Isto pode ser uma exigência se as regras da jurisdição eleitoral determinam que a lista de candidatos deva ser ordenada em um modo pré-determinado.

Podemos citar como desvantagens do Punchscan: 1) o formato da cédula Punchscan não suporta facilmente pressão na escrita (marcar a cédula imprimindo força); 2) necessidade de uma rigorosa cadeia de custódia das cédulas antes de chegar às mãos dos eleitores para proteger a privacidade dos mesmos; 3) a recontagem manual não é possível, pois não há nenhum voto em texto claro que fique mantido em nenhum lugar; 4) produzir as cédulas é caro, uma vez que duas páginas são necessárias para a votação, as páginas superiores precisam ser perfuradas com extrema precisão e ambas as páginas devem ser impressas em impressoras especiais que permitam a utilização de papel pré-perfurado e respeitem as coordenadas exatas dadas pelo computador.

4 VERIFICAÇÃO DOS VOTOS COM BASE NA MIXNET

Na analise dos processos que envolvem uma eleição existem dois papéis principais desempenhados pelos componentes do sistema, o front-end que produz as cédulas e interage com os eleitores e back-end que registra os votos de uma forma publicamente verificável. O front-end transforma uma entrada do voto de um eleitor em um voto criptografado, enquanto o back-end faz o caminho inverso. A verificabilidade é possível para ambos os componentes.

O front-end é a parte do sistema que garante aos eleitores o registrado dos seus votos, já o back-end é a parte que garante que todos os votos sejam contabilizados conforme coletados, e que pode ser verificado por qualquer pessoa, diferentemente do front-end que só o eleitor pode verificar (POPOVENIUC,2009)

O autor supracitado ressalta que um sistema de votação segue algumas etapas no que diz respeito a sua estrutura funcional tais como: 1) o back-end é iniciado; 2) o back-end dá todas as informações necessárias para o front-end; 3) o front-end é iniciado; 4) tanto o back-end como front-end são verificados quanto à exatidão; 5) o front-end imprime as cédulas e as distribui para os locais de votação; 6) as cédulas são montadas; 7) as cédulas são entregues aos eleitores que expressam o seu voto. O front-end prova que os votos foram impressos de maneira correta; 8) cada voto é desmontado e o recibo produzido é entregue ao eleitor, o recibo é a criptografia do voto. A criptografia é correta se e somente se o voto impresso for correto; 9) o front-end envia o recibo para o back-end e este publica os recibos; 10) os recibos apresentados pelo eleitor são confrontados com os recibos publicados; 11) os processos de back-end decriptografam os recibos e publicam as cédulas em purotexto; 12) o back-end prova que os recibos publicados decriptografam as cédulas em purotexto.

Na etapa um, o back-end pode secretamente gerar chaves, alguns dados da eleição e publicar autorizações para o mesmo. Cada back-end tem que especificar a implementação dessa etapa.

Na etapa dois, suponhamos a existência de um canal privado utilizado pelo back-end para enviar todos os dados necessários para o front-end. Estes dados podem ser públicos, como as chaves públicas do back-end, ou não. Caso esses dados sejam publicados posteriormente podem resultar na quebra da privacidade de alguns votos.

Na etapa três, o front-end pode gerar algumas chaves secretas ou dados, com base nas informações confidenciais que recebeu na etapa dois, podendo publicar alguns compromissos para ele. Cada front-end tem que especificar a implementação dessa etapa.

Em um cenário em que o front-end tem que gerar dados na etapa três, com base nos dados que recebeu do back-end na etapa dois, há a possibilidade de que o front-end pode ignorar completamente os dados que recebeu do back-end, e decide por gerar de maneira aleatória alguns dados. Isso pode ter conseqüências graves para a integridade do sistema. Para assegurar que isto não aconteça, a etapa quatro é imprescindível. É a primeira auditoria do sistema e a verificação desta deve ser feita de forma pública, é importante que qualquer indivíduo verifique através do site da autoridade eleitoral e se convença que a prova é irrefutável. Tanto o front-end quanto back-end podem participar desta etapa, pois o intuito maior é provar a garantia na corretude da configuração do sistema.

A natureza da comunicação entre o front-end e do local de votação pode variar de acordo com cada sistema, independente da escolha do canal de comunicação, quer seja um canal de comunicação privado com o objetivo de garantir o sigilo dos votos, ou simplesmente um canal público, sendo que todos os front-end devem especificar o canal usado, caso as cédulas sejam formadas por diversas partes. Estas serão montadas na etapa seis.

A etapa cinco é importante, pois trata da escolha dos eleitores. Nesta etapa, eles podem receber uma cédula específica ou escolher aleatoriamente em uma pilha de cédulas disponíveis. A cédula é o instrumento de encriptação do voto, que obtida pelo eleitor deve ser feita de acordo com os dados gerados pelo front-end na etapa três. Como as cédulas foram impressas após a seleção, na etapa quatro, os dados impressos podem ser corrompidos. A regularidade da verificação garante que todos os votos foram impressos de forma correta. Cada front-end especifica como o eleitor pode verificar se a sua cédula foi corretamente impressa.

Na etapa oito, a informação que irá se tornar o recibo do eleitor é separada do resto da cédula. Esta informação é codificada na cédula, e torna-se a o recibo permanente do eleitor. As outras partes da cédula são cuidadosamente eliminadas pelo eleitor. Cada front-end deve especificar como as cédulas são desmontadas, e como deverão ser marcadas.

A etapa nove é realizada pelo front-end e back-end. O front-end envia todos os recibos ou as cópias coletadas para o back-end, que em seguida pública-os no site da autoridade eleitoral.

Na etapa dez, qualquer indivíduo que tenha acesso a um recibo válido pode verificar os registros no site e ver que todas as informações sobre o recibo estão corretas.

Na etapa 11, o back-end processa todos os recibos no quadro de boletins, recebe as cédulas em texto claro e publica-as de modo que qualquer registro pode produzir os resultados das eleições. O back-end também pode produzir dados intermediários e torná-los públicos.

Apenas os resultados do processamento das cédulas em purotexto e os dados intermediários são tornados públicos no site da autoridade eleitoral. Como o processamento do recibo é secreto, o back-end pode afirmar falsamente que um conjunto de cédulas em purotexto representa o conjunto de entrada de recibo.

A etapa 12 fornece uma prova de que, o conjunto de cédulas em purotexto é obtido decriptografando o conjunto dos recibos públicos. Os dados publicados por intermédio do back-end na etapa 11, e os dados publicados pelo back-end no início, na etapa 1, podem ser utilizados para esta finalidade, durante a verificação é importante que os recibos não estejam associados à cédula em purotexto.

De acordo com Popoveniuc (2009) Ao invés de verificar o material de votação, cada eleição é controlada de forma individual.

Os dados necessários para verificar a eleição estão disponíveis no site da autoridade eleitoral, qualquer pessoa pode desempenhar a função de auditor, sem a necessidade de privilégios especial. Tendo assim um máximo nível de transparência.

É importante que as verificações de integridade não tenham que ser feitas em um único momento. As verificações podem ocorrer a qualquer momento, os auditores podem verificar o site eleitoral e ver que os dados são consistentes. Segue um modelo matemático para a funcionalidade de cada um dos dois componentes segundo o autor supracitado.

Associada a cada cédula, com identificação pelo número de série, uma função criptográfica, ou seja, o front-end implementa um mapeamento , onde é o conjunto de votos em purotexto, o conjunto de números de série de voto, e o conjunto de votos

criptografados. A função criptográfica deve ser de fácil compreensão para os eleitores, por exemplo, pode ser simplesmente uma cifra de substituição.

O voto criptografado é o recibo que os eleitores mantêm no final do processo de votação. Para que aconteça a decodificação do recibo pelo back-end de maneira correta é necessário que exista uma correspondência entre o número de série e a função criptográfica deve ser conhecida pelo back-end. Como o eleitor não sabe que o back-end é uma função que criptografa o seu voto, o front-end deve provar ao eleitor de que usa a função criptográfica na impressão das cédulas comunicando ao back-end. Isso é chamado de auditoria de impressão. Observa-se que o recibo mantido em posse do eleitor não deve conter qualquer indicio de como o eleitor atribui o seu voto.

O back-end decifra um conjunto de votos verificando através de um mapeamento sendo a inversa de ainda que seja incorreto matematicamente. No voto em purotexto não vai estar incluso o número de série da cédula utilizada para votar. O back-end deve ser verificável, ou seja, ninguém deve convencer-se de que o mesmo transformou corretamente o conjunto de entradas de recibos em um conjunto de saída de votos em purotexto. Ademais nenhuns dos recibos devem ser omitidos, injetado ou modificados.

5 COMPONENTES DO SISTEMA DE VOTAÇÃO