[GUFSC] urna eletrônica, começando o debate.
..
Ricardo Grutzmacher
grutz@terra.com.br
Wed, 14 Aug 2002 15:05:14 -0300
Para começar a ler sobre a urna eletrônica, sugiro começar pelo portal
Voto Seguro: http://www.votoseguro.org/
Depois leiam os artigos que indiquei e mais estes aqui:
Não se esqueça de comentar e sugerir perguntas na lista!
Obrigado,
===============
1) Fonte: http://www.observatoriodaimprensa.com.br/cadernos/cid140820021.htm
VOTO ELETRÔNICO
Confusão entre segurança e sigilo
Pedro Antonio Dourado de Rezende (*)
"É preciso exigir de cada um o que cada um pode dar", disse o rei ao
Pequeno Príncipe. "A autoridade repousa sobre a razão. Eu tenho o
direito de exigir obediência porque minhas ordens são razoáveis."
No clássico de Saint-Exupéry há lições para nossa vida democrática.
Somos pioneiros na informatização total do processo eleitoral. Nesta
aventura, os instrumentos do processo se desmaterializam em bits, sua
natureza não muda. Muda apenas a de seus instrumentos. O que pode
emprestar-lhe confiança coletiva segue sendo a medida de sua
transparência, e não o sigilo, nele restrito à autoria do voto.
Em processos sociais com vários interesses em jogo, a falta de
transparência induz tentações para trapaça ou conluio em quem sabe
demais. Só se pode neles buscar segurança através do controle de risco
às tentações, e, portanto, num delicado equilíbrio entre transparência e
sigilo. Este entendimento está nas regras dos jogos de azar,
contabilidades financeiras e leis eleitorais. E sua falsa percepção
atinge os alvos de vigaristas, estelionatários e ilusionistas.
Mas, na informática, o senso comum tende a confundir segurança com
sigilo. Os interesses seriam, apenas, ou dos que fazem ou usam um
sistema, ou dos que dele abusam. Quem usa raramente sabe analisar ou
construir um, vendo-se compelido a confiar em quem o fez. Com a
informatização de tais processos, o senso comum entra em crise e põe em
risco a cidadania que aqueles sustentam. No processo eleitoral, o
direito de fiscalização se torna assim mais crucial. A Lei 9.504/97 dá
aos partidos o direito de ampla fiscalização nos softwares do processo
(art 66). Porém, a regulamentação do dispositivo ocupou o centro de uma
crise.
Amor à liberdade
Em recente debate na TV Cultura, perguntado da possibilidade de fraude
por meio de inserções maliciosas nos softwares, o presidente do TSE
admitiu-a em tese, mas retrucou com uma pergunta retórica: quem iria
inseri-las, se ninguém de fora tem acesso aos softwares? A pergunta já
traz a resposta: alguém de dentro. O desafio é apresentar os softwares
sem abrir, com isso, brechas à inserção maliciosa de fora. Apresentá-los
antes que entrem na urna, como ocorre, por exemplo. Porém, como saber se
o que irá na urna depois é o mesmo que foi mostrado? Por que não
mostrá-los durante ou depois?
Infelizmente, o equilíbrio não pode ser decretado com argumentos de
autoridade. Estes podem, ao contrário, gerar desconfiança. Exemplos:
prometer ao Senado mostrar todos os softwares e voltar atrás na véspera
da apresentação, com argumentos técnicos posteriormente desmentidos pelo
relatório da Unicamp. E depois, quando judicialmente interpelado,
engavetar e ignorar a violação do dispositivo, como na eleição de 2000.
Ou manobrar no Legislativo para esvaziar a eficácia de novos mecanismos
de equilíbrio, como o voto impresso em paralelo (por que antecipar o
sorteio para verificação do voto impresso para a véspera da eleição?)
Tanto é que, após refazer as promessas para esta eleição, desta vez à
Câmara, o presidente do TSE foi judicialmente interpelado para que as
expressasse em atos normativos. Alegar, em resposta, que ninguém pode se
achar credor daquelas promessas, ou que já as havia instruído tendo a
tal instrução tocado apenas em duas das oito que proclamou, são outros e
novos exemplos.
E mais. O preço pelo "conhecimento" dos softwares só foi divulgado no
ato da apresentação aos partidos, em 5/8/02: compromisso formal e
irrestrito de manter todo esse conhecimento em sigilo [veja, abaixo,
reprodução do teor do "Termo de Compromisso de Manutenção de Sigilo"].
Código Penal e o escambau. E agora, José? Quem critica o sistema
analisando sinais externos é tido por paranóico: critica sem conhecê-lo
por dentro. E quem o critica pelo conhecimento interno é criminoso:
viola o compromisso de calar-se a respeito.
O Pequeno Príncipe pôde chegar ao 325 e aconselhar-se com o rei porque
amava sua liberdade de pensamento e expressão. Também amo a minha.
Renunciei à indicação partidária e dispensei a mordaça. Prefiro carregar
com humildade o estigma, em paz com minha consciência. O que já conheço
me basta. A segurança do TSE pode não ser a do eleitor e meu compromisso
é com a cidadania.
(*) Professor do Departamento de Ciência da Computação Universidade de
Brasília
"Termo de Compromisso de Manutenção de Sigilo"
"Eu, _______________, portador do documento de identidade nº
____________, expedido em ___________ comprometo-me a guardar sigilo
acerca de tudo a que tiver acesso ou de que tiver conhecimento, na
qualidade de representante credenciado do Partido ou Coligação
Partidária ____________, por ocasião da 'Análise dos Programas a serem
utilizados nas Eleições de 2002', no Tribunal Superior Eleitoral,
facultada pelo art. 66 da Lei nº 9.504, de 30.9.97, com a redação dada
pelo art 3º da Lei 10.408, de 10.01.02, submetendo-me às penalidades e
demais conseqüências previstas na legislação, em especial o disposto nos
arts 153, 154, 325 e 327 do Dec. Lei nº 2.848, de 7.12.40 (Código Penal
Brasileiro), no art 207 do Dec. Lei nº 3. 689 de 3.10.41 (Código de
Processo Penal), nos arts 13 e 14 da Lei nº 7.170, de 14.12.83 (Lei de
Segurança Nacional), nos arts. 1, 2, 3, 4 e 5 da Lei 8.027, de 12.3.90
(Normas de Conduta dos Servidores Públicos Civis), nos arts 116, 117 e
132 da Lei número 8.112, de 11.12.90 (Regime Jurídico Único); no Decreto
número 1.171, de 22.6.94 (Código de Ética Profissional do Servidor
Público Civil do Poder Executivo); nos arts 4, 5, 23 e 26 da Lei número
8.169, de 8.1.91 (Lei dos Arquivos), no Decreto número 2.134, de 27.1.97
(Documentos Públicos Sigilosos) e no Decreto número 2.910 de 29.12.98
(Normas para Salvaguarda de Documentos, Materiais, Comunicações e Sistemas).
E como assim me comprometo, sob as penas da lei, assino o presente Termo
de Compromisso, em presença das testemunhas abaixo nomeadas.
Brasília DF, ____ de agosto de 2002
assinatura do representante do partido politico
testemunha (nome e RG)
testemunha (nome e RG)"
===============
2) Fonte: http://www.observatoriodaimprensa.com.br/caixa/cp140820026.htm
VOTO ELETRÔNICO
Desinformação institucional
Realmente as evidências de que a democracia é violada de forma tão
primária no Brasil nos envergonha perante o mundo. Tanto por termos nos
deixado enganar desde a invenção do inusitado inexistente "programa
virtual seguro", intocável, como o "voto seguro". Aceitamos como
reeleição a imposição de FHC, até agora, pela nossa inércia diante de
tamanha evidência, como a impunidade caminha de mãos dadas com a
mentira. Como a mídia faz parecer a idiota idéia de que a imaterialidade
do voto é segura, legal e constitucional, enquanto a própria razão nos
adverte do contrário.
O pior de tudo é sabermos que os idiotas estão no poder, tendo
perspicácia para declarar que a água é jazida finita, no intuito de
cobrar por ela, contrariando o direito de todos terem acesso a ela.
Contrariando a ciência daquilo que aprendemos no primeiro ano do ensino
básico, o ciclo da água.
Contrariando toda a ciência da computação, com o mesmo grau de
imbecilidade, os governantes afirmam que o voto virtual existe, sendo
que toda a ciência comprova que a água é renovável e só por esta sua
qualidade existe vida no planeta; com a mesma lucidez a ciência da
computação diz que não há segurança na informática, e por esta mesma
qualidade é que pode servir à criatividade humana de maneira quase
infinita, sendo sua qualidade principal, pela qual, para se limitar esta
capacidade, é necessário que seja o voto materializado no ato de votar,
naquele instante, sendo visto e aceito pelo eleitor, como expressão
secreta da sua vontade.
Apresenta-se como principal evidência de fraude e de má fé o fato de ser
tão simples resolver os problemas com a impressão de todos os votos, e
não o fazerem. A insegurança não pára por aí, há muito mais a ser
desvendado, mas a mídia mente e se perde pela "ridicularização" do
mentiroso, que é evidente para todos, menos para ele mesmo, que acha que
está enganando e pode enganar facilmente.
Jefferson Abreu
===============
3) Fonte: http://www.observatoriodaimprensa.com.br/cadernos/cid310720021.htm
VOTO ELETRÔNICO
Segurança da urna e a alma da cidadania
Pedro Antonio Dourado de Rezende (*)
Uma portaria do Tribunal Superior Eleitoral de 19/7 regulamenta a
fiscalização nos softwares da eleição de 2002. A importância? Eleição é
tripé: votação, apuração e fiscalização. Uma falha em qualquer das
pernas pode derrubar a democracia que nele se equilibra. A
informatização tende a robustecer duas em detrimento da última, razão
pela qual a mais admirada das democracias restringe a desmaterialização
do voto, para preservar seu delicado equilíbrio.
Quanto a nós, temos sucumbido ao fascínio da tecnologia como panacéia:
informatização total. De pronto se esquece do painel do Senado. E quem
avisa que o tripé assim balança é chamado de conspirador, retrógrado,
paranóico. No mito, Ícaro disse o mesmo de seu pai ao alçar vôo rumo ao
sol. E nos EUA, auditores contábeis de incestuosa criatividade também o
dizem dos críticos, ilustrando o comportamento de manada do "homo
gananciosus".
Com a informatização, o cerne da fiscalização se desloca. Da vigilância
nas urnas e na apuração para a confecção, instalação e operação dos
softwares. Porém, bits não são fáceis de serem vigiados. O grande
desafio é saber se, no dia da eleição, os programas em ação são os
mesmos antes auditados. Auditoria de software se faz com conhecimento
técnico, protocolos e técnicas criptográficas próprias. E não com
notinhas na imprensa ou argumentos de autoridade.
O deslocamento impõe-nos uma barreira de competência que pode ser
explorada para romper limites éticos a possíveis interesses incestuosos
na "modernização" da segurança eleitoral. Pela troca de um modelo
objetivo e maturado em lutas civilizatórias, de equilíbrio entre riscos
e interesses, por um modelo intersubjetivo no qual só cabem os do TSE e
os de etéreos hackers, com o TSE nos dizendo onde podem estar aqueles e
o vácuo cultural do deslocamento absorvendo a troca.
A eleição de 2000 se deu com softwares inauditáveis, ao arrepio da lei
9504/97, com solenes promessas oficiais quebradas sob argumentos ad
hominem. Homens "garantindo" o software à prova de fraudes, sendo eles
os mesmos com legítimo acesso necessário para introduzi-las; e de forma
indevassável se o software inoculado for inauditável. Desta vez, novas
promessas e poucos detalhes na portaria, há menos de duas semanas da
auditoria.
Argumentos de autoridade
Como o fiscal irá verificar se o software na urna será o mesmo que foi
auditado? Nada é dito. Todos os softwares serão auditáveis, como reza a
lei 9504/97? Fala-se de alguns. Fala-se, também, de um termo de
compromisso que o fiscal terá que assinar. Será que o fiscal terá que
prometer nada impugnar para poder auditar? Enquanto isto, a mídia abre
espaço para autoridades eleitorais, assessores técnicos de partidos
(inclusive do PT) e até colunista social ou ex-presidente da Sociedade
Brasileira de Computação (SBC) defenderem obscurantismos, desmentirem as
novas promessas do presidente do TSE ou apresentarem a fiscalização como
uma esmola aos paranóicos de plantão.
Um colunista reitera a garantia do presidente do TSE e dá o recado: ele
reconhece boa-fé na maioria dos incrédulos, ignorantes que são do
funcionamento do sistema. Sofisma-se. Quem descrê não o faz de boa-fé
por desconhecer o sistema, mas sim porque não lhe é dado conhecê-lo. Há
aqui uma clara inversão de soberania, na premissa implícita sobre quem
deve confiança a quem. Doutra parte, será que o TSE veria má-fé nos que
buscam conhecer o sistema por meios lícitos, à procura de falhas? Há
indícios.
O XII Congresso da SBC promoveu um simpósio sobre o tema, em 18/7, em
Florianópolis. Na pauta, análise do relatório da Unicamp e debate. O
coordenador de programa comunicou-me que gostaria de me convidar, mas
não poderia custear minha ida - só a de peritos da Unicamp, bancados
pelo co-patrocinador, o TSE. Soube-se na véspera da desistência destes,
e ofereci-me para ir no lugar, por minha conta.
Em assessoria voluntária a um partido, na apresentação das linhas gerais
do sistema de 2002 no TSE, em 6/6, aberto a sugestões, eu havia proposto
um protocolo criptográfico para verificação cruzada da integridade dos
softwares auditados. Queria discutir a proposta, até agora sem resposta
do TSE. O presidente do simpósio declinou, alegando já estar fechada a
sua programação. Exceto para um convidado de última hora do TSE ao
debate, que ainda iria confirmar presença: um deputado governista, cujas
credenciais incluem a defesa intransigente do status quo do sistema e
densidade eleitoral deveras atípica, com votações redondas e salpicadas
pelo mapa de municípios.
Não fui o único especialista vetado. Afinal, é possível explicar como
poucas linhas extras de código malicioso podem transformar as atuais
garantias da votação simulada e votos impressos em meros truques de
mágica. Num congresso acadêmico, as portas se abrem para políticos
governistas que defendem o status quo do sistema, mas não para
acadêmicos que, fiéis a seu rigor profissional, querem conhecer para
crer e contribuir. É lamentável que associações de classe científicas
atinjam esse grau de servilismo. Quanto às garantias, a um supremo
magistrado convém reservar seus argumentos de autoridade para as
sentenças, evitando desgastá-los no debate público sobre a alma da
cidadania. A fé é pessoal e moralmente relativa.
(*) Professor do Departamento de Ciência da Computação da Universidade
de Brasilia; http://www.cic.unb.br/docentes/pedro/segdadtop.htm;
MetaCertificate Group member http://www.mcg.org.br