[pt_BR] Registro físico do voto eletrônico?
Versão arquivada de matéria publicada no blog Ciência & Matemática.
A urna eletrônica foi implantada gradualmente entre 1996 e 2000, até as eleições se tornarem inteiramente digitais. O objetivo era eliminar fraudes na contagem pública dos votos, que aconteciam de maneira centralizada e com muita interferência. Foi um projeto pioneiro e audacioso na época, quando o impacto do voto eletrônico ainda era desconhecido. Por se tratar de tecnologia nova, a primeira eleição eletrônica contou com impressão de votos individuais. O mecanismo foi também tentado em algumas urnas em 2002 e posteriormente abandonado por ser considerado redundante e caro pelo Tribunal Superior Eleitoral (TSE).
Testes de segurança
A (in)segurança do sistema continuou obscura até o começo dessa década, quando o TSE deu início aos Testes Públicos de Segurança. Foram 4 edições até hoje e, em todas elas, alguma vulnerabilidade foi encontrada afetando propriedades de segurança do equipamento, seja o sigilo do voto ou integridade dos resultados. Falhas cada vez mais graves foram descobertas ao longo do tempo, na medida que os participantes foram se familiarizando com o sistema e aprendendo a contornar as restrições dos testes. Para citar algumas dessas restrições, são apenas 3 dias para examinar dezenas de milhões de linhas de programação e é proibido usar papel para anotar trechos de código. Há recursos que ainda persistem fora de escopo dos testes, como a identificação biométrica.
Mesmo com esses obstáculos, os testes tem sido úteis para detectar algumas vulnerabilidades e erros de projeto. A edição de 2009 mostrou como quebrar o sigilo do voto após captura de rádio emitido pelo teclado da urna. Na edição de 2012, primeira com acesso ao código-fonte, coordenei o time que mostrou como quebrar o sigilo do voto de autoridades ou seções eleitorais inteiras utilizando apenas informação pública para recuperar os votos de maneira ordenada. Também detectamos falhas em outros mecanismos de segurança, como compartilhamento massivo e armazenamento inseguro de segredos para proteção do sistema (as chamadas chaves criptográficas). Para uma analogia com o mundo real, considere um cadeado que imediatamente perde sua segurança caso a chave seja roubada. No caso da urna, o segredo estava armazenado no próprio código-fonte, de forma análoga a embaixo do tapete.
A próxima edição aconteceu apenas anos mais tarde, em 2016, mostrando como adulterar resultados de eleição em pequena escala utilizando o Sistema de Apuração, acionado em caso de contingência para digitação manual de resultado parcial da urna. Esse foi o primeiro ataque com sucesso à integridade dos resultados, mas a maior surpresa estava reservada para 2017, quando duas equipes alcançaram objetivos inéditos. Peritos da Política Federal conseguiram recuperar chaves criptográficas ao inicializar o sistema em um simulador. O time que integrei, composto por Pedro Barbosa (UFCG), Thiago Cardoso (Hekima), Caio Lüders (UFPE) e Paulo Matias (UFScar), explorou uma série de vulnerabilidades para adulterar o comportamento do software de votação. Injetamos pequenos programas de nossa autoria para fazer várias maldades, como violar o sigilo do voto de eleitores específicos, inserir mensagens na tela para fazer boca de urna e interferir com armazenamento dos votos. Só não conseguimos desviar votos entre candidatos por uma questão de poucas horas, pois tínhamos controle sobre o programa. Nossa abordagem foi pensada para um fraudador que captura cartões de memória que instalam software nas urnas antes das eleições, sabendo que cada cartão instala até 50 máquinas. Uma das vulnerabilidades utilizadas foi o armazenamento inseguro de segredos, detectado em 2012 e ainda não totalmente resolvido.
A urna eletrônica é segura e transparente?
Mesmo com todas as restrições e a impossibilidade de se fazer uma análise de segurança completa do sistema, os testes produzem relatórios dos problemas encontrados, com recomendações de ajuste. Dessa forma, a equipe de desenvolvimento do TSE tenta determinar qual a melhor forma de se mitigar ou resolver os problemas. Ainda assim, algumas falhas são estruturais e exigem esforço importante de reformulação que às vezes tomam anos. Também não há garantia de que a correção vai persistir, já que o desenvolvimento continua até bem perto da eleição, passando pela janela em que os partidos políticos podem inspecionar o código. Nada impede que existam outras vulnerabilidades mais graves ou correções sejam revertidas. Essa é a natureza de qualquer software e é por isso que a comunidade técnica não acha boa idéia realizar eleições utilizando apenas programas de computador, agravada pela necessidade de se auditar dezenas de milhões de linhas de código (“linha a linha”, segundo o TSE).
Além das vulnerabilidades já encontradas, há um problema ainda maior e que termina ofuscado. Conforme demonstrado na tentativa inconclusiva de auditoria após a eleição de 2014, o sistema de votação falha em uma de suas principais finalidades: provar para a sociedade que o resultado está correto. Eventuais auditorias ficam restritas a especialistas que precisam examinar toneladas de arquivos produzidos pelas urnas, sem a garantia de que funcionaram honestamente. O grande problema é que uma fraude minimamente sofisticada em escala razoável, especialmente se montada com colaboração interna, pode terminar indetectável.
O que fazer?
O voto impresso é um recurso adicional de transparência e consiste em um registro em papel apresentado para o eleitor, para fins de conferência e recontagem. O objetivo é aprimorar a transparência do sistema, possibilitando que cada eleitor verifique seu voto individual, mas sem fornecer uma prova material de suas escolhas. Em resumo, a introdução do voto impresso procura tornar transparente a contagem eletrônica dos votos, ao produzir uma evidência verificada pelo eleitor do comportamento honesto do sistema.
Há certa confusão entre o mecanismo proposto e a “votação em papel”, mas são coisas bem diferentes. O voto é impresso e autenticado pela urna eletrônica, permanecendo na seção eleitoral. Fica evidente também que não basta imprimir o voto e pronto. É preciso instruir os eleitores a verificarem seus votos impressos e alertar contra manipulações indevidas na trilha física. Em caso de disputa ou conferência preventiva, a comparação das contagens em papel e eletrônica revela qualquer divergência que não seja feita de maneira compatível nos dois registros, aumentando em muito o custo de uma fraude. A ideia é forçar o fraudador a manipular tanto o software quanto os votos impressos depositados nas seções eleitorais.
A tentativa atual de introdução do voto impresso veio de lei aprovada por ampla maioria em 2015, após várias tentativas sem sucesso. Citando dificuldades logísticas e de orçamento, o TSE decidiu implementá-la gradualmente, começando com 30 mil urnas (ou 5% das seções eleitorais). Apesar de ser um número pequeno, a decisão da implantação gradual foi acertada, pois alterar a tecnologia e procedimentos de uma só vez em todas as seções eleitorais não é decisão sensata do ponto de vista de segurança.
Mas o voto impresso não viola o sigilo?
A implantação do voto impresso foi suspensa no dia 6 de junho, após julgamento pelo Supremo Tribunal Federal. O principal argumento foi o risco de violação do sigilo do voto, mas a possibilidade é remota. O voto impresso é examinado dentro da cabine de votação e não revela informação além da disponível na tela da própria urna. É também estranha essa argumentação, quando o sigilo já foi quebrado nos testes de segurança por erro de projeto; e o mesmo dispositivo é utilizado para receber tanto a identidade do eleitor quanto o seu voto. Outros pontos mencionados foram o valor do investimento, ignorando o custo social da falta de transparência e o montante gasto em privilégios do Judiciário; e a ineficiência de se contar milhões de votos manualmente, que pode ser facilmente contornada por amostragem estatística.
O principal obstáculo à adoção do voto impresso é a oposição declarada do TSE, muito influente no STF. A manifestação técnica do Tribunal defende o velho argumento de que o voto impresso resgata as fraudes de antigamente e reintroduz a ação humana no processo eleitoral. Ora, o software é programado e instalado por humanos, que concentram poder desproporcional sobre o sistema! O voto impresso apenas tenta distribuir parte do controle para o eleitor, maior interessado na lisura do pleito.
Por mais que tecnólogos muitas vezes observem apenas as virtudes da tecnologia, vale lembrar que as eleições servem à sociedade, e não o contrário. A grande maioria dos países que adotam voto eletrônico já implementaram registro físico. O Brasil não pode simplesmente ficar para trás e continuar com eleições impossíveis de verificar.