Disponível p/ download
em Word7, .ZIP, 13 Kb
Avaliação da inviolabilidade do voto
na Urna Eletrônica 98
por Amilcar Brunazo Filho
engenheiro e programador de computadores especializado em segurança de dados
Artigos e Textos do
Voto Eletrônico
Tópicos
Apresentação
Legislação citada
Funcionamento da urna
Perguntas e respostas
Laudo Técnico
Elaborado em 22 de outubro de 1998, para o Sr. Carlos Techeberani Haddad

1 - Apresentação

O presente laudo técnico traz uma avaliação de aspectos de segurança de dados relativos a Urna Eletrônica utilizada no dia 04 de Outubro de 1998, dia de eleição no Brasil. Em especial, foi fixada a atenção sobre a possibilidade de violação do sigilo do voto uma vez que o número do título do eleitor é digitado num terminal conectado eletricamente à urna, no momento do voto.
Para a elaboração deste laudo não se teve acesso livre direto à Urna Eletrônica, nem a seus programas, de forma que este parecer foi emitido a partir da observação da urna em operação no dia 04 de Outubro de 1998, dia da votação do 1 turno, da análise da legislação em vigor sobre o assunto, de informações sobre o funcionamento da urna e dos seus ritos de segurança obtidos em entrevistas com fiscais de partidos políticos e em matéria publicada em jornais a este respeito.
Tentativas de consultas foram feitas diretamente ao TSE, via Internet, mas não surtiram efeito pois foram totalmente ignoradas pelo órgão publico. As informações que obtivemos nos cartórios eleitorais de Santos foram pouco utilizadas pois careciam de qualidade técnica confiável. Ainda assim, obteve-se informação suficiente em quantidade e confiabilidade que permitiram a emissão da conclusão deste relatório.
O laudo apresenta a legislação que regula a utilização da urna eletrônica nos aspectos que interessam à inviolabilidade voto, segue com uma descrição física e do funcionamento da urna eletrônica apresentando-se apenas os detalhes que fundamentam os argumentos apresentados a seguir sob a forma de respostas aos quesitos formulados.










 
Artigos e Textos do
Voto Eletrônico
Tópicos
Apresentação
Legislação citada
Funcionamento da urna
Perguntas e respostas
2 - Legislação pertinente

A Urna Eletrônica deve garantir a Inviolabilidade do Voto do eleitor conforme está disposto no artigo 61 da Lei n 9.504 de 30 de Setembro de 1997:

    Art. 61. A urna eletrônica contabilizará cada voto, assegurando-lhe o sigilo e inviolabilidade, garantida aos partidos políticos, coligações e candidatos ampla fiscalização.
Como forma de assegurar o cumprimento deste direito a lei oferece o artigo 66, caput e 1.:
    Art. 66. Os partidos e coligações poderão fiscalizar todas as fases do processo de votação e apuração das eleições, inclusive o preenchimento dos boletins de urna e o processamento eletrônico da totalização dos resultados, sendo-lhes garantido o conhecimento antecipado dos programas de computador a serem usados.
    1. No prazo de cinco dias, a contar do conhecimento dos programas de computador a que se refere este artigo, o partido ou coligação poderá apresentar impugnação fundamentada à Justiça Eleitoral.
Este artigo da lei foi posteriormente regulamentado pelo artigo 51 da resolução 20.103 do TSE de 3 de Março de 1998:
    Art. 51. A totalização dos votos mediante processamento eletrônico de dados, nas eleições de 1998, far-se-á pelo Sistema de Totalização de Votos desenvolvido pelo Tribunal Superior Eleitoral.
    1 O Sistema de Totalização de Votos é composto pelos subsistemas de segurança, de entrada de dados, de apuração eletrônica, de transmissão de dados e de totalização dos resultados e outros procedimentos diretamente relacionados ao processo de totalização de votos.
    2 Os subsistemas desenvolvidos para as eleições de 1998 somente poderão ser instalados em equipamentos indicados pela Justiça Eleitoral.
    3 O subsistema de totalização dos resultados será instalado, exclusivamente, em equipamentos de propriedade da Justiça Eleitoral, o subsistema de apuração eletrônica será instalado, exclusivamente nas urnas eletrônicas, enquanto que os subsistemas de entrada de dados e de transmissão poderão ser operados mediante a utilização de computadores e impressoras de terceiros.
    4 É vedada a utilização pelas Juntas Eleitorais e Tribunais Regionais Eleitorais de qualquer subsistema de entrada de dados, de apuração eletrônica, de totalização dos resultados ou de transmissão de dados que não seja o fornecido pelo Tribunal Superior Eleitoral, já apresentado aos partidos políticos.
    5 Os partidos e coligações poderão fiscalizar o processamento eletrônico da totalização dos resultados, sendo-lhes garantido, assim como aos meios de comunicação e aos cidadãos que o desejarem, o acesso antecipado aos programas de computador a serem utilizados, para o que serão convocados pelo Tribunal Superior Eleitoral, no prazo de até 60 (sessenta) dias antes das eleições para conhecerem os programas a serem utilizados na totalização dos resultados, e, se for o caso, realizarem auditoria de sistemas em ambiente próprio do Tribunal Superior Eleitoral (Lei n 9.504/97, art. 66, caput).
    6 No prazo de cinco dias a contar do conhecimento dos programas de computador a que se refere o 5, o partido ou coligação poderá apresentar impugnação fundamentada junto à Justiça Eleitoral (Lei n 9.504/97, art. 66, 1).
    7 Os partidos concorrentes ao pleito poderão constituir sistema próprio de fiscalização, apuração e totalização dos resultados, contratando, inclusive, empresas de auditoria de sistemas que, credenciadas junto à Justiça Eleitoral, receberão, previamente, os programas de computador e, simultaneamente, os mesmos dados alimentadores do sistema oficial de apuração e totalização (Lei n 9.504/97, art. 66, 2).
    8 Os órgãos encarregados do processamento eletrônico de dados são obrigados a fornecer aos partidos e coligações, por intermédio do Comitê Interpartidário de Fiscalização, no mesmo momento da entrega ao Juiz encarregado, cópias dos dados do processamento parcial de cada dia, contidos em meio magnético (Lei n 9.504/97, art. 67).
    9 Na hipótese do parágrafo anterior, o Tribunal Superior Eleitoral divulgará, até sessenta dias antes da eleição, a especificação do meio magnético, o qual deverá ser entregue pelo partido até 48 horas antes da entrega dos dados.
    10. Os programas utilizados na totalização ficarão à disposição dos partidos políticos pelo prazo de sessenta dias após o trânsito em julgado da diplomação de todos os candidatos eleitos nos pleitos realizados simultaneamente.
A identificação do eleitor é regulada em parte pelo artigo 54 da Resolução n 21.132 de 19 de Março de 1998 do TSE:
    Art. 54 - A Folha de Votação, da qual constarão apenas os eleitores regulares ou liberados, e o Comprovante de Comparecimento, serão emitidos por computador.
    1 - A Folha de Votação, obrigatoriamente, deverá :
    a) identificar as eleições, a data de sua realização e o turno;
    b) conter dados individualizadores de cada eleitor, como garantia de sua identificação no ato de votar; e
    c) ser emitida em ordem alfabética de nome de eleitor, encadernada e embalada por Seção Eleitoral.
    2 - O Comprovante de Comparecimento (canhoto) conterá o nome completo do eleitor, o número de sua inscrição eleitoral e referência à data da eleição.
A identificação do eleitor também é regulada em parte pelo Cap. II, art. 35 da Resolução n 21.105 de 04 de Março de 1998 do TSE:
    CAPÍTULO II
    DAS SEÇÕES ONDE FOR UTILIZADO O SISTEMA ELETRÔNICO DE VOTAÇÃO

    Art. 35. Observar-se-ão na votação as seguintes normas:
    I - o eleitor, ao apresentar-se na Seção e antes de penetrar no recinto da Mesa, deverá postar-se em fila organizada pelo Secretário; se necessário, o Presidente da Mesa poderá convocar força pública para manter a ordem;
    II - admitido a penetrar no recinto da Mesa, segundo a ordem da fila, o eleitor apresentará o seu título, o qual poderá ser examinado por fiscal, delegado de partido ou coligação;
    III - o Presidente ou Mesário localizará o nome do eleitor na folha de votação e no Cadastro de Eleitores da Seção constante da Urna Eletrônica, que serão confrontados com o título, podendo estes documentos ser examinados por fiscal, delegado de partido ou coligação;
    IV - estando em ordem o título e a folha de votação e a identificação do eleitor no Cadastro de Eleitores da Seção constante da Urna Eletrônica, o Presidente da Mesa o autorizará a votar, após o que o convidará a apor sua assinatura ou impressão digital na folha de votação;
Artigos e Textos do
Voto Eletrônico
Tópicos
Apresentação
Legislação citada
Funcionamento da urna
Perguntas e respostas







 
Artigos e Textos do
Voto Eletrônico
Tópicos
Apresentação
Legislação citada
Funcionamento da urna
Perguntas e respostas
3 - A Urna Eletrônica

A Urna Eletrônica utilizada nas eleições deste ano de 1998 é um microcomputador monoprocessado, compatível com processadores da família Intel 80x86, de amplo uso em todo mundo inclusive no Brasil, que foi adaptado com equipamentos periféricos e programas para exercer a função de acolher os votos dos eleitores brasileiros e apurar o resultado da votação naquela urna.
A urna possui MEMÓRIA TEMPORARIA, chamada RAM, onde ficam guardados valores que estão sendo processados e que se apaga ao ser desligada. A urna possui, também, MEMÓRIA PERMANENTE para guardar os resultados da apuração (votos, quantidade de votos, etc.), que poderão ser lidos e acessados mesmo depois da urna ter sido desligada. Parte desta MEMÓRIA PERMANENTE está localizada numa pequena placa rígida denominada FLASH-CARD, que pode ser retirado de uma urna para ser lida e acessada em outro computador, desde que devidamente equipado.
Como dispositivos de entrada de dados a urna tem um teclado numérico, tipo telefônico, e mais três teclas para funções especiais (Branco, Corrige e Confirma) para receber o voto e um segundo teclado para receber as senhas e comandos do mesário.
Como dispositivos de saída de dados a urna tem um visor de cristal líquido para o eleitor acompanhar o voto, outro visor de cristal líquido para emitir mensagens ao mesário e uma impressora para emitir os relatórios impressos. O teclado e o visor do mesário ficam numa caixa externa denominada miniterminal que é eletronicamente conectado a urna, formando uma unidade.
O programa da urna, quando em operação regular, fica em posição inerte após receber o voto de um eleitor e só entra em modo de recepção de um novo voto depois que o mesário digitar no seu terminal, uma senha adequada.
Houve-se por bem escolher que tal senha fosse o próprio número do eleitor, o que demonstra que nem existe a necessidade de tal senha ser secreta.











 
Artigos e Textos do
Voto Eletrônico
Tópicos
Apresentação
Legislação citada
Funcionamento da urna
Perguntas e respostas
4 - Respostas aos quesitos
Quesito:
  • Para que o número do eleitor é digitado pelo mesário no momento da votação?
    Resposta:
    A digitação do número do título do eleitor no miniterminal conectado a urna atende a duas funções:
  • é a senha que libera a urna para o modo de recepção do próximo voto.
  • permite identificar se o eleitor está inscrito naquela seção e se ainda não votou.
    Além disso informa ao mesário em que página da Folha de Identificação está o nome e recibo do eleitor.
    Quesito:
  • A identificação do eleitor na urna é procedimento necessário para o processo de votação?
    Resposta: NÃO É NECESSÁRIO.
    O artigo 35 da Resolução n 21.105 diz que a identificação do eleitor terá de ser feita pela localização do "nome do eleitor na Folha de Votação E no Cadastro de Eleitores da Seção constante da Urna Eletrônica", caraterizando-se assim uma dupla identificação do eleitor.
    A identificação do eleitor pela Folha de Votação é um procedimento completo e sempre necessário pois só ela contém o Comprovante de Comparecimento, instituído pelo artigo 54 da Resolução n 21.132, e que deverá ser entregue ao eleitor depois deste assinar a Folha de Votação como regula o inciso IV, art. 35 da Resolução n 21.105.
    Já a identificação do eleitor no Cadastro de Eleitores da URNA é procedimento redundante e incompleto, já que não fornece o Comprovante de Comparecimento nem permite colher a assinatura do eleitor, tornando-se desnecessário.
    Quesito:
  • A adoção do número do eleitor como senha de liberação do próximo voto cria algum risco para a inviolabilidade do voto?
    Resposta: SIM.
    Sendo o número do eleitor digitado no mesmo momento em que o eleitor vai declarar o seu voto à urna, torna-se possível que um programa fraudulento grave em sua memória permanente o voto de forma vinculada ao número do eleitor, caracterizando-se assim a violação do voto.
    Se a senha de liberação da urna para receber o próximo voto fosse qualquer outra, não seria possível para um programa fraudulento identificar o voto.
    Quesito:
  • A adoção do número do eleitor como senha de liberação do próximo voto cria algum outro inconveniente para a urna eletrônica?
    Resposta: SIM.
    Além de desnecessária para o processo de votação e apuração e de abrir uma brecha para a violação do voto, a identificação eletrônica do eleitor tem outro efeito nocivo a este processo que é a limitação de apenas uma urna por seção eleitoral, já que não pode haver dois sistemas de identificação independentes numa mesma seção.
    Como conseqüência disso onde haviam até três cabinas indevassáveis, que permitiam que a fila de eleitores não ficasse bloqueada por eleitores lentos, há apenas uma única urna eletrônica, que provocou a demora de duas a três horas na fila de votação.
    Outra conseqüência nociva é que torna-se necessário fazer a dupla identificação do eleitor criando-se um procedimento mais complexo para os mesários, pois é preciso registrar a presença do eleitor tanto na Folha de Votação quanto no Cadastro de Eleitores da Urna.
    Quesito:
  • Existe motivo impositivo para que a senha de liberação da urna para receber o próximo voto seja o número do eleitor?
    Resposta:NÃO.
    NÃO EXISTE CONDIÇÃO IMPOSITIVA QUE TORNE NECESSÁRIO A ESCOLHA DO NÚMERO DO ELEITOR COMO SENHA DE LIBERAÇÃO DA URNA PARA RECEBER O PRÓXIMO VOTO.
    Tal senha poderia ser QUALQUER conjunto de números que fosse de conhecimento do mesário e do próprio programa da urna. Poderia ser um único digito ou uma série de dígitos, poderia ser, também, apenas uma única senha ou ser uma senha diferente para cada eleitor.
    Esta afirmação é comprovada pela existência de Urnas Eletrônicas especiais criadas pela empresa Procomp, a pedido do TSE, nas quais se pode colocar todos os votos de uma seção e fazer a sua apuração sem que seja necessário digitar o número de cada eleitor da seção.
    Tais urnas especiais foram regulamentadas pela Resolução n 20.230 de 17 de Junho de 1998 do TSE para se fazer apenas a apuração em municípios onde não é utilizada a urna eletrônica para votação. A função de identificação do eleitor foi desabilitada dentro destas urnas especiais e ainda assim nelas pode-se fazer a introdução dos votos e sua apuração, o que demonstra que não existe necessidade imperativa da digitação do número do eleitor para o processo de votação numa urna eletrônica.
    Quesito:
  • O NÚMERO do eleitor fica gravado na memória do computador?
    Resposta: SIM.
    O número do eleitor que é digitado pelo mesário é imediatamente gravado na memória temporária e lá fica disponível para o uso que o programador tiver imaginado para ele.
    Também há gravado na memória permanente do computador uma lista completa e ordenada dos números dos eleitores autorizados naquela seção no chamado Cadastro de Eleitores da Urna. Os números constantes deste cadastro tanto podem ser os próprios números do título de eleitor quanto um outro valor codificado que se obtenha por função matemática bijetora, de forma que sempre é possível para quem conheça tal função saber a que eleitor ele pertence. Assim, um eleitor pode ser identificado apenas pela posição que seu respectivo número ocupa em tal lista.
    Quesito:
  • O VOTO do eleitor fica gravado na memória do computador?
    Resposta: SIM.
    Ao ser digitado pelo eleitor no referido teclado, o conjunto de valores numéricos associados ao voto é gravado em outra área da memória temporária e lá fica disponível para o uso previsto no programa.
    Obtive informações de funcionários da Procomp, fabricante da urna, e de técnicos de partidos políticos de que o voto individual de cada eleitor seria guardado de forma "embaralhada" na memória permanente, mas não consegui informação oficial do TSE sobre como seria feito tal embaralhamento.
    Caso se confirme que houve tal embaralhamento ficaria comprovado que os votos estariam sendo guardados na memória permanente, apesar deste procedimento não ser recomendável do ponto de vista da garantia da inviolabilidade do voto. O voto de cada eleitor deveria ser apurado e depois descartado, ou seja, apagado da memória permanente ou temporária.
    Quesito:
  • É possível para um programa fraudulento criar uma vinculação do número do eleitor com seu voto, caracterizando-se assim a violação do voto?
    Resposta: SIM.
    O fato de se ter escolhido o número do eleitor como senha para liberação do voto cria a condição necessária caso se queira fazer um programa da urna que identifique o voto.
    Para isto, é suficiente que se copie o valor do voto para alguma área da memória permanente que seja determinada pela posição do número do eleitor na lista de números. Tal procedimento é muito fácil de ser programado bastando umas poucas linhas de programa no meio de milhares outras.
    Quesito:
  • Que medidas poderiam ser tomadas para que o eleitor possa ter certeza que o seu voto não será violado pelo programa da urna eletrônica?
    Resposta:
    A medida mais simples e mais eficaz para dar 100% DE SEGURANÇA ao eleitor de que seu voto não será violado seria NÃO UTILIZAR O NÚMERO DO ELEITOR COMO SENHA DE LIBERAÇÃO DA URNA, visto que tal tipo de senha não é necessária.
    Uma outra alternativa seria permitir que auditores externos independentes do TSE (os partidos políticos, por exemplo) analisassem o CÓDIGO COMPLETO contido na urna NO MOMENTO DE SUA OPERAÇÃO NORMAL. Mas tal alternativa não é de execução prática viável devido ao seu enorme custo e demora para ser efetuada.
    Qualquer outro tipo de medida que não seja impossibilitar a identificação pela mudança da senha utilizada ou efetuar uma auditoria externa ao TSE em urnas em operação são insuficientes do ponto de vista do eleitor.
    Quesito:
  • Estas medidas foram adotadas no projeto e execução da urna eletrônica?
    Resposta: NÃO.
    Nenhuma das duas medidas acima foram adotadas.
    Quesito:
  • Que medidas foram tomadas para impedir que o voto não seja violado pelo programa da urna eletrônica? Elas são suficientes?
    Resposta:
    Oficialmente, foi oferecido aos partidos políticos o código-fonte dos programas para análise, para que verificassem que a identificação do voto não seria programada na urna, mas tal tipo de analise NÃO É SUFICIENTE para garantir que o programa real contido na urna não conterá um vício de programação que leve a identificação do voto, visto que:
    • o programa-fonte não é o mesmo que será carregado na urna.
    • o programa compilado que é gerado a partir do programa-fonte analisado é apenas uma parte da totalidade de programas que são carregados na urna. Existem ainda o Sistema Básico de Entrada e Saída (BIOS), Sistema de Inicialização (POST), o Sistema Operacional (DOS), os Monitores de Dispositivos (Device-drives) e os programas residentes (TSRs). Em qualquer uma destas outras partes podem sem colocados códigos viciados ou fraudulentos.
    • O código viciado ou fraudulento pode ser carregado na urna de várias formas e em momentos que não foram acompanhadas por auditores externos.
    Outras medidas que eventualmente foram tomadas não foram esclarecidas publicamente como, por exemplo, evitar a troca de informação entre as equipes que desenvolveram e vão operar a urna. Mas, do ponto de vista do eleitor, NÃO SÃO SUFICIENTES pois sempre é possível que exista um conluio entre tais equipes que resultem numa fraude.
    A possibilidade da urna ser fraudada pelas equipes que a desenvolveram foi publicamente admitida pelo Sr. Paulo Cézar Camarão, Secretário de Informática do TSE, quando declarou em reportagem não contestada do Jornal Folha de São Paulo, de 23 de setembro de 1998, no caderno Eleições, pg. 5, o seguinte:
      "Isso não significa que não vá haver tentativas de fraudes. Mas quem for tentar terá de subornar pelo menos uns 30".
    É necessário lembrar que tal possibilidade, de subornando "uns 30" se fraudar toda uma eleição, não existia na urna tradicional.
    Quesito:
  • Foi feita, pelos partidos políticos, alguma análise dos programas completos que estão dentro da urna eletrônica?
    Resposta: NÃO.
    Apesar do artigo 66 da Lei 9504/97 dizer que os partidos poderão fiscalizar todas as fases do processo de votação e apuração das eleições e o processamento eletrônico da totalização dos resultados, a legislação complementar pertinente, criada pelo próprio TSE, não obriga o TSE oferecer todos os programas contidos nas urnas para uma análise externa, pois a Resolução n 20.103 de 03 de Março de 1998 do TSE, no seu artigo 51, 1, diz que o Sistema de Totalização do Votos é composto por:
    • subsistema de segurança
    • subsistema de entrada de dados
    • subsistema de apuração eletrônica
    • subsistema de transmissão de dados
    • subsistema de totalização de resultados
    • outros procedimentos
    No 3 do mesmo artigo especifica que:
    • o subsistema de apuração eletrônica será instalado exclusivamente nas urnas eletrônicas
    • o subsistema de totalização dos resultados será instalado exclusivamente em equipamentos da Justiça Eleitoral
    No 5, ainda do mesmo artigo, que regulamenta a Lei 9504/97, art. 66, caput, diz-se que os cidadãos que o desejarem terão acesso aos programas a serem utilizados na TOTALIZAÇÃO DOS RESULTADOS. Nada dizendo dos programas da apuração eletrônica, ou seja, da urna.
    Assim, pelo artigo 51 da resolução 21.103 o TSE está desobrigado a oferecer os programas completos da urna eletrônica para auditoria dos partidos políticos.
    Quesito:
  • Foi feita pelos partidos políticos algum teste de desempenho na urna que verificasse se a identificação do voto estaria ocorrendo?
    Resposta: NÃO.
    A legislação prevê o teste de até 3% das urnas pelos partidos políticos, antes de serem lacradas, mas são testes elaborados para verificar se a urna desvia os votos.
    Nenhum teste foi feito, em nenhum momento, por nenhum órgão de auditoria externo independente do TSE para verificar se o voto seria identificado.
    Quesito:
  • Os procedimentos que foram tomados pelo TSE no projeto, elaboração e operação da urna eletrônica oferecem garantia de que o artigo 61 da lei 9504/97 será atendido?
    Resposta: CERTAMENTE NÃO.
    No projeto das Urnas Eletrônicas foi introduzido um procedimento espúrio, desnecessário para o processo de votação, a saber, a digitação do número do eleitor num terminal eletricamente conectado à urna, que cria as condições necessárias para a violação do voto e não foram tomadas medidas técnicas de segurança que ofereçam ao eleitor garantia real contra esta possível violação.
    Desta forma entendo que a urna eletrônica, como foi projetada e executada, não oferece as garantias de sigilo e inviolabilidade do voto asseguradas na Lei n 9.504/97, art. 61.
  • Artigos e Textos do
    Voto Eletrônico
    Tópicos
    Apresentação
    Legislação citada
    Funcionamento da urna
    Perguntas e respostas

    O presente laudo está disponível p/ download (em Word7, .ZIP, 13 Kb)