[pt_BR] Aprimorando o sistema eletrônico brasileiro de votação
Versão arquivada de matéria publicada em 2012 na revista ADESG.
A confiabilidade dos resultados das eleições brasileiras depende principalmente da qualidade e integridade do software de votação utilizado nas urnas eletrônicas. Por essa razão, durante seis dias do mês de Março de 2012, o Tribunal Superior Eleitoral realizou testes públicos para avaliar a qualidade dos mecanismos de segurança implementados no equipamento.
A equipe sob minha coordenação e composta pelos técnicos da UnB Marcelo Monte Karam, André de Miranda e Felipe Scarel, sagrou-se campeã do evento por detectar e explorar com sucesso uma vulnerabilidade no único mecanismo da urna para proteger o sigilo do voto. Esse mecanismo tem como objetivo dessassociar a ordem de votação dos eleitores da ordem de armazenamento dos votos em um arquivo de acesso público chamado Registro Digital do Voto (RDV), produzido pelo software da urna desde 2003. A recuperação instantânea e exata da lista ordenada de votos dependeu unicamente de informação pública, sendo essencialmente não-rastreável por não exigir alteração de qualquer componente da urna ou invasão de seu perímetro de segurança. Posteriormente, descobriu-se ainda que a urna eletrônica também armazena em arquivo público o instante de tempo em que cada voto é confirmado. Caso não seja corrigida, a vulnerabilidade abre a possibilidade de violação do sigilo do voto de todos os eleitores de uma seção eleitoral, a partir da monitoração da ordem em que votaram; e de revelação de alguns votos específicos inseridos em instantes de tempo conhecidos. Várias outras fragilidades com diferentes graus de gravidade foram encontradas no software, abrangendo desde a utilização de técnicas criptográficas obsoletas ou fora de seus limites de operação, até o compartilhamento massivo de uma mesma chave criptográfica, com impacto devastador em caso de vazamento.
É certo que as fragilidades e vulnerabilidades podem ser corrigidas, mas uma leitura cuidadosa do cenário é bastante reveladora. A vulnerabilidade foi detectada já na primeira hora de estudo do software, a partir da busca de trechos de código conhecidamente inseguros. A reprodução em software de missão crítica de uma vulnerabilidade conhecida desde 1995, quando foi encontrada no navegador Netscape 1.1, permite observar claramente que alguns princípios de projeto empregados são inadequados e que o processo de desenvolvimento do software da urna eletrônica ainda é imaturo do ponto de vista de segurança. O RDV foi instituído como substituto do voto impresso para permitir a verificação dos totais parciais presentes no Boletim de Urna a partir da lista embaralhada de votos, mas é tão vulnerável quanto o que tenta proteger, pois ambos são produzidos exatamente pelo mesmo componente de software. Em seus nove anos de história, o arquivo não serviu a nenhum propósito além de fragilizar o sigilo do voto quando projetado e implementado de forma insegura. O objetivo do voto impresso é aprimorar a transparência do sistema, possibilitando que cada eleitor verifique seu voto individual, sem no entanto fornecer para o mesmo uma prova material de suas escolhas. Se implantado corretamente com depósito automático em urna convencional, permite verificar a integridade da contagem eletrônica a partir da contagem dos registros impressos e conferidos pelos eleitores, aumentando significativamente a dificuldade de uma fraude indetectável ao exigir que intervenções perfeitamente coerentes sejam realizadas nas versões digital e impressa dos votos. Ironicamente, o retorno do voto impresso a partir das eleições de 2014 foi suspenso com o argumento de que supostamente representa ameaça ao caráter secreto do voto.
O Brasil permanece como o único país do mundo a resistir ao movimento internacional na direção da adoção de mecanismos para verificação independente dos resultados de eleição, uma situação curiosa quando se considera que a segurança do sistema eletrônico de votação é componente crítico para fortalecimento da nossa democracia. Não há como aprimorá-lo sem oferecer a oportunidade permanente para especialistas da academia ou indústria contribuir positivamente com avaliações independentes do sistema, sem restrições artificiais de tempo e com métricas e critérios científicos; ou até mesmo para qualquer cidadão brasileiro, por meio do exercício do direito individual de verificar que seu voto foi computado corretamente.