Vous êtes sur la page 1sur 114

FRAUDE NAS URNAS ELETRNICAS?

Caso de Alagoas de 2006 eleio para governadores Um candidato no satisfeito com o resultado solicitou uma anlise dos arquivos digitais gerados pelas urnas aos quais os partidos tm o direito de acesso. Analisando os arquivos o candidato detectou mal funcionamento de 1/3 das urnas com arquivos incoerentes. Ministro Ricardo Lewandovsky Quem ousar questionar as urnas eletrnicas ser condenado por litigncia de m f. Se voc desconfiar do mal funcionamento das urnas eletrnicas e solicitar uma auditoria perante justia voc ser processado por Litigncia de ma f mesmo que voc apresente provas materiais.

Confiabilidade das Urnas Eletrnicas no Jurdico News - JustTV - 23/05/12 http://youtu.be/kpinZwI3gfs FRAUDE URNAS BAND http://youtu.be/l2sGotJMseM Eng. Amilcar Brunazo Filho especialista em Urnas Eletrnicas http://youtu.be/Ms7OuIatxLw Ele fala desse relatrio no vdeo: http://www.brunazo.eng.br/voto-e/textos/RelatorioCMind.pdf Deputado Joo Herrmann fez denuncia ONU acerca do risco de fraude e de manipulao do processo eleitoral brasileiro http://www.fraudeurnaseletronicas.com.br/2009/04/deputado-joao-herrmann-fez-denuncia-onu.html Urnas abertas para fraudes http://www.estadao.com.br/noticias/impresso,urnas-abertas-para-fraudes-,933663,0.htm DEPUTADO JOO HERRMANN NETO MORRE EM PRESIDENTE ALVES http://youtu.be/IyUzJU_zE3w Fraude nas Urnas Eletrnicas - Denncia Final http://youtu.be/uKVr9UYMedU Fernando Chiarelli http://youtu.be/vl1q9yPPO_4 As urnas so seguras mesmo? http://www.istoe.com.br/reportagens/243315_AS+URNAS+SAO+SEGURAS+MESMO+ Vulnerabilidades no software da urna eletrnica brasileira http://youtu.be/in6JTwNGZCo Urna eletrnica Diego Aranha I http://youtu.be/r4jBYWJShX8 Vulnerabilidades no software da urna eletrnica brasileira http://youtu.be/in6JTwNGZCo

Deputado Joo Herrmann fez denuncia ONU acerca do risco de fraude e de manipulao do processo eleitoral brasileiro
Sr. Walter Franco (Representante da ONU no Brasil), Na condio de brasileiro, democrata e internacionalista, como deputado federal, lder da bancada de meu partido na Cmara dos Deputados, e de observador da ONU em processos eleitorais nos mais diversos pases do mundo, lamento ver-me obrigado a dirigir-me Organizao das Naes Unidas nos termos em que o fao. Atitude que no tomaria, no estivesse o processo democrtico em meu pas correndo grave risco. Venho buscar guarida para a democracia, como tantas vezes a buscamos e encontramos na Justia de meu pas, durante o regime autoritrio que enfrentamos de 1964 a 1985. Com pesar, constato que hoje ela j no me traz mais segurana. Entretanto, ainda tenho esperana de que no se torne o cadafalso da democracia, que conquistamos ao preo de muitas vidas e sofrimento. A lisura do processo eleitoral brasileiro, pela primeira vez desde as eleies a bico-de-pena, sistema viciado pela fraude que provocou a revoluo de 1930 e o advento do voto secreto, jamais esteve to ameaada. O candidato oficial, senador Jos Serra, patrocinado pela mquina estatal, comanda um estado paralelo integrado por foras policiais, servios de espionagem e por campanhas verdadeiramente cientficas de destruio da imagem e da biografia de seus adversrios. A justia eleitoral, presidida por um ntimo amigo seu, integrada, lamentavelmente, por uma maioria de juzes sob os quais a sociedade hoje lana seus olhares de desconfiana mais atentos, tem para desgosto e vergonha dos democratas de meu pas julgado com dois pesos e duas medidas. Jamais os brasileiros assistiram isso. Sinto confessar: nem na ditadura militar que nos governou. No custa lembrar que, naquele tempo duro de represso e arbtrio, tentamos, de todas as maneiras, levar ao conhecimento da humanidade as desgraas que o nosso povo enfrentava. Muitos davam de ombros e explicavam a nossa ao como a de uma esquerda simplesmente derrotada, valendo-se apenas do direito de espernear. Foi preciso que surgissem alguns cadveres, sados dos subterrneos do arbtrio para que nossa posio fosse entendida. Os cadveres do atentado que se pretende fazer contra a nossa democracia, neste momento, j foram desenterrados. Urnas falsas, previamente programadas e j com votos para o candidato oficialista computados, foram encontradas na periferia da capital da Repblica, o que mereceu destaque, inclusive, da imprensa internacional, e uma indita representao ao Tribunal Regional Eleitoral firmada por todos os partidos de oposio no Distrito Federal. A sociedade brasileira, mesmo que lentamente, atenta para o fato de sermos a nica rande democracia em todo o mundo que resolveu utilizar urnas eletrnicas em seus pleitos eleitorais. Sistema esse que no oferece possibilidade de recontagem voto a voto. Ora, se hoje os celebrados hacker`s adentram sistemas virtuais sofisticados e teoricamente inexpugnveis, como os da NASA e do prprio Pentgono, qual a segurana que ns, brasileiros, podemos ter em tal sistema se urnas j so encontradas grvidas na periferia pobre de Braslia? No incio deste ano, em pronunciamento histrico na tribuna do Senado Federal, o ex-presidente Jos Sarney, meu adversrio poltico, mas sabidamente um democrata, no s vaticinou o processo eleitoral

viciado que agora se revela, como responsabilizou o ento ministro da Sade, o hoje candidato Jos Serra, pela destruio da candidatura presidencial de sua filha, a ex-governadora do Maranho Roseana Sarney. Na oportunidade, o ex-presidente lembrou os dossis ameaadores, os grampos telefnicos, a vigilncia compulsiva da vida pessoal e dos passos de todos os adversrios, que se transformaram na especialidade de Serra. Esse modus operandi tornou-se to conhecido que hoje, no meio poltico e no seio da sociedade, disseminou-se o receio de atender uma simples ligao telefnica e estar sendo bisbilhotado. Um dos jornais mais conceituados de meu pas, a Folha de So Paulo, em artigo de seu editor, Otavio Frias Filho, publicado h pouco tempo, chamou a ateno para o apetite de Jos Serra pelo poder. Os que, como eu, o conhecem de longa data, sabem que ele um homem capaz de qualquer coisa pelo poder. Nosso saudoso ex-presidente Tancredo Neves, instado a nome-lo ministro, respondeu que no colocaria pessoas autoritrias em seu governo. No podemos ns, democratas que defendemos a democracia no Peru ou no Timor Leste, em Kosovo ou na Venezuela, que lutamos pela liberdade em todos os continentes, estar alheios conspurcao do sistema eleitoral democrtico no Brasil, com a entronizao de um projeto poltico atico, concebido por uma mquina poltico-partidria movida pela corrupo do Estado, ante a complacncia e a omisso do senhor presidente Fernando Henrique Cardoso? Denuncio, pois, Organizao das Naes Unidas, a qual tenho servido, quando chamado pelos quatro cantos do mundo, que se busca a entronizao em meu pas de um regime poltico semelhante ao que vigiu por dcadas no Mxico, sob a batuta do PRI e de um estado corrupto e violento, referendado por eleies fraudadas, a que Mario Vargas Llosa chamou ditadura perfeita. Denuncio que o jogo democrtico em meu pais est comprometido por um sistema onde o capital financeiro, parte da justia eleitoral, a maioria da grande imprensa, a poderosa mquina estatal e alguns partidos polticos, notadamente o PSDB, se aliaram na tentativa de levar ao poder um homem com claros traos ditatoriais. Denuncio que se prepara uma grande fraude eleitoral a partir do sistema eletrnico de votao. Denuncio que a democracia em meu pas corre risco. No cabe admitir, como querem os ulicos palacianos, que estejamos, ao buscar a guarida da ONU, agredindo a soberania nacional. Esta, entristece-me afirmar com clareza e concretude, porque de conhecimento de toda a Nao brasileira, foi lanada, h muito, ao pntano dos negcios escusos, das privatizaes descabidas, porque danosas ao patrimnio pblico, da sujeio absoluta aos ditames do capital internacional, notadamente o especulativo, em detrimento dos interesses da sociedade. Tenho, com a responsabilidade de 30 anos de vida publica servio de meu povo e da democracia, a exata noo da gravidade deste alerta, desta denncia, deste chamamento que fao ao frum onde se congregam as Naes de todo o mundo. Lembro o descompromisso do governo de Fernando Henrique Cardoso para com a liberdade em diversas oportunidades. Lembro de seu empenho contra os governos democrticos de toda a Amrica Latina, alm dos governos da Frana e da Espanha, em levar a OEA, atravs de presses ao seu presidente, Senhor Csar Gaviria, em

aceitar o resultado da re-reeleio do tirano Alberto Fujimori, do Peru, bancando, sozinho, a maior fraude eleitoral da historia de nosso continente... Lembro de sua solidariedade ao mesmo regime fujimorista, quando gestionou junto presidenta Mireya Moscoso, do Panam, pelo asilo poltico para o facinoroso Vladimiro Montesinos, crebro da corrupo, do narcotrfico e da tortura na dcada de Fujimori, hoje cumprindo pena de priso perptua em uma cela de segurana mxima na Base Naval de Callao, ao lado de Abmael Guzman, o terrorista do Sendero Luminoso... Lembro de sua relao siamesa com o governo corrupto de Carlos Menem, seu dileto amigo, a quem ajudou em sua reeleio e foi por ele ajudado na sua, at com a manifestao pblica do ento mandatrio argentino nas vsperas das eleies de 1998, quando Fernando Henrique conseguiu, a um alto custo, o seu segundo mandato... Lembro de seu apoio ao regime decadente de Fernando De La Rua, quando o povo entupia a Plaza de Mayo para derrubar um governo que j caia de podre. Lembro que o embaixador brasileiro em Buenos Aires, Sebastio do Rego Barros, um dos melhores diplomatas brasileiros, foi desautorizado e humilhado quando, um dia antes da queda, declarou imprensa brasileira que no restava outro caminho ao presidente argentino seno a renncia... Est formado o caldo de cultura para a entronizao de uma democracia sem povo nem voto. Est se preparando uma ditadura perfeita, sob a capa de eleies que sero fraudadas, num processo eleitoral viciado e vicioso. No se iluda a Organizao das Naes Unidas: o Brasil experimenta os estertores de um governo seriamente avariado pelas denncias no apuradas de corrupo administrativa em seu seio. Desmoralizado por privatizaes a preo vil, direcionadas para interesses de grupos empresariais nem sempre decentes, e que agora, poucos anos aps serem feitas, redundam em expressivos fracassos para os consumidores de seus servios e para a prpria economia nacional. O futuro deste pas, na inexorabilidade do processo histrico, mostrar o fracasso do governo de Fernando Henrique Cardoso nos planos econmico, social e tico. Alerto, pois, atravs do ilustre representante da ONU em meu pas, para o grave risco de corroso de nossa estabilidade democrtica, por meio de um processo eleitoral que se anuncia eivado de suspeitas procedentes e irregularidades comprovadas. Julgo, a meu critrio e de ponderveis setores da opinio pblica nacional, que a Organizao das Naes Unidas deve, no mnimo, avaliar a convenincia de sua presena ostensiva no decorrer do processo eleitoral brasileiro. Respeitosamente, Joo Herrmann Neto (Lder do PPS na Cmara dos Deputados)

Urnas abertas para fraudes


Washington Novaes - jornalista A menos de um ms das eleies municipais, o Pas continua mergulhado em dvidas quanto aos caminhos definidos para suas escolhas - e sujeito a eventuais acontecimentos que podero ser graves. Trata-se do modelo de urna eletrnica adotado para a votao, que especialistas j h algum tempo vm mostrando que suscetvel a fraudes e teve seu modelo recusado por dezenas de pases. Mas, ainda assim, o Tribunal Superior Eleitoral (TSE) insiste em mant-lo, sob a alegao de que outro modelo teria custo alto, permitiria identificar o votante (quebrando o sigilo do voto) e poderia retardar a votao, se implantado. A histria recente nessa rea tem lances dramticos. Para ficar apenas em um, pode-se retornar eleio presidencial de 1989, quando um dos candidatos, Leonel Brizola, contestou a deciso do TSE de mandar para o segundo turno, contra Collor de Mello (que tivera 20,6 milhes de votos), o candidato Lula, com 11,62 milhes (Brizola tivera 11,16 milhes, 456 mil menos). Mas o presidente do TSE, o ento ministro do Supremo Tribunal Federal (STF), Francisco Rezek, alegou que a recontagem seria impossvel, porque as cdulas usadas pelos eleitores j haviam sido incineradas. Rezek depois renunciou ao STF, tornou-se ministro de Collor e, ao deixar o Ministrio, foi nomeado de novo ministro do STF - caso nico na Histria nacional. De l para c houve denncias em outros casos, escaramuas. Mas no se avanou. H uns poucos anos a Cmara dos Deputados, que pretendia preparar um novo sistema para 2014, pediu parecer do TSE sobre os caminhos a seguir. O tribunal, entretanto, alegou no ser necessrio, dada a confiabilidade que atribua ao sistema vigente. A Cmara pediu, ento, a um "comit multidisciplinar independente" (CMI), composto de dez pessoas, entre elas juristas e especialistas em tecnologias de informao, um parecer sobre o sistema brasileiro de votao eletrnica, dadas as dvidas levantas aqui e em outros pases. A principal delas que, com as regras e os formatos atuais, impossvel para os representantes da sociedade auditar o resultado da apurao. Como diz o relatrio do CMI, "caso ocorra uma infiltrao criminosa determinada a fraudar as eleies, a fiscalizao externa dos partidos, da OAB e do Ministrio Pblico, do modo como permitida, ser incapaz de detect-la". Por isso julga necessrio "regulamentar mais detalhadamente o princpio da independncia do software em sistemas eleitorais, definindo claramente as regras de auditoria com o voto impresso confervel pelo eleitor". Fraudes eleitorais ocorrem no mundo todo (basta relembrar as que Al Gore alegou na sua disputa com Bush). E no mundo todo, em dezenas de naes, o sistema adotado pelo Brasil no aceito. O ltimo pas que o adotava, a ndia, mudou no ano passado. A Venezuela j mudara em 2004, assim como a Argentina, o Peru, o Equador, a Costa Rica e o Mxico. O Paraguai desistiu desse caminho, que no aceita o controle da sociedade - basicamente, porque no permite recontagem e concentra poder na autoridade eleitoral. O eleitor no tem como fiscalizar; a segurana eletrnica no suficiente, "no substitui o exerccio da soberania pelo eleitor-mdio". E mesmo que fosse possvel, como diz o procurador da Repblica Celso Antnio Trs, citado no parecer do CMI, "isso no seria suficiente; impe-se disponibilizar aos cidados, atravs de suas faculdades normais, motu prprio, a possibilidade de sindicar a devida observncia sua vontade eleitoral". No atual sistema brasileiro, diz o relatrio do CMI, "h exagerada concentrao de poderes, resultando num comprometimento do princpio da publicidade e da soberania do eleitor". Lembra o engenheiro Amilcar Brunazo Filho, especialista em tecnologia de informao e um dos autores do parecer do CMI, que a Alemanha em 2009 considerou contrrio ao princpio da publicidade e sua Constituio o uso de mquinas apenas, sem o voto impresso do eleitor, verificvel por ele. "Mquina eletrnica no basta", concluram os tcnicos alemes, se o eleitor no tem como ver o que foi gravado no registro digital do voto.

"O princpio da publicidade no processo eleitoral era perfeitamente atendido no sistema da votao manual", observa o parecer. "O eleitor via o contedo do Registro do Voto - a cdula eleitoral - antes de ser colocada na urna. Na apurao, todos esses registros do voto eram abertos para serem vistos e contados perante os representantes dos candidatos. Porm, com a adoo das mquinas DRE no Brasil em 1996 o princpio da publicidade no processo eleitoral eletrnico teve seu alcance restringido". E se o eleitor no tem como ver ou conferir o que foi gravado no Registro Digital do Voto - feito depois que ele confirma sua escolha -, nunca ter como saber se o registro consignou seu voto conforme digitado. Trata-se, no todo, de parecer feito por uma comisso independente de partidos ou de qualquer organizao, com colaborao espontnea de seus membros, todos experientes na rea da legislao e das tecnologias de informao. E que ainda tem o acerto de suas concluses referendado pelo professor Diego Aranha e por um grupo de especialistas do Departamento de Cincia da Computao da Universidade de Braslia, que em agosto mostrou na prtica que o sistema referendado pelo TSE vulnervel, permite a quebra de sigilo dos votos. No preciso ter muita imaginao para supor que, num pas com as dimenses do Brasil, mais de 5.500 municpios, existe a possibilidade de tentativas de fraude. Se o mundo todo est dizendo que nosso sistema vulnervel, por que no mudar ou corrigi-lo? Identificao digital apenas no resolve, como j se mostrou: de que adianta pr no papel as impresses de dez dedos se depois s se podem reconhecer duas? E ainda preciso ter em conta que todos os dias surgem notcias de hackers que invadem sites eletrnicos, at de rgos das naes mais poderosas do mundo.

As urnas so seguras mesmo?


Especialistas em informtica driblam sistema de segurana da votao eletrnica e dizem que a eleio no est imune a violaes Claudio Dantas Sequeira

NO SO SEGURAS O professor Diego Aranha, que violou a urna em teste: As falhas existem. As urnas no so 100% seguras como dizem

H 16 anos, os brasileiros depositam suas expectativas polticas em urnas eletrnicas. O sistema se notabilizou principalmente pela agilidade na apurao e pela garantia, por parte do Tribunal Superior Eleitoral, de que imune a violaes. Se a velocidade do trabalho de contagem dos votos indiscutvel, a segurana das urnas nunca foi uma unanimidade. Neste ano, a preocupao ganhou fora depois que um grupo de especialistas em informtica descobriu falhas graves na proteo do software utilizado nas urnas. A ao desses hackers fez parte de um teste pblico realizado no TSE. Em vez de ajudar a aperfeioar a votao eletrnica, a iniciativa acabou reforando a impresso de que o processo eleitoral precisa evoluir e se tornar mais transparente. Em entrevista ISTO, o responsvel pela equipe que conseguiu violar a urna eletrnica de teste, o professor Diego Aranha, da Universidade de Braslia, disse que foi pressionado para no divulgar a ntegra do relatrio em que apontou as falhas de segurana do programa desenvolvido pelo TSE. Apenas a verso aprovada pelo Tribunal foi publicada, diz Aranha. As informaes sensveis foram suprimidas.

Doutor em cincias da computao pela Unicamp e especializado em criptografia, Aranha decidiu arriscar sua reputao, convicto das vulnerabilidades da urna eletrnica. Elas existem e ns demonstramos isso, afirma. As urnas no so 100% seguras como dizem. Quase seis meses depois do incio dos testes, em maro, o pesquis ador resolveu publicar um relatrio independente no qual aponta uma srie de fragilidades do processo eleitoral. O software utilizado no sistema de votao eletrnica brasileiro no satisfaz requisitos mnimos de segurana e transparncia, afirma Aranha. Entre as principais falhas, estariam a proteo inadequada do sigilo do voto, que permitiria saber em qual candidato determinado eleitor votou, o uso de apenas uma nica chave criptogrfica para cifrar as mdias de todas as urnas eletrnicas do Pas e a aplicao de algoritmos obsoletos cujo uso para segurana em computao j no recomendado h pelo menos seis anos. Seria o mesmo que proteger milhares de urnas que sero usadas na eleio com cadeados que podem ser abertos pela mesma chave e ainda esconder essa chave debaixo do tapete, o lugar mais bvio.

A equipe de informtica do TSE formada por cerca de 150 servidores pblicos da rea de tecnologia da informao e metade desse quadro responsvel pelo desenvolvimento do sistema eleitoral. Nossa democracia est sob controle absoluto de 70 pessoas e o TSE parte do princpio de que esses funcionrios so absolutamente incorruptveis, afirma o professor. O secretrio de Tecnologia da Informao do Tribunal Giuseppe Janino, rebate as crticas. Nos 16 anos de uso do sistema automatizado, no houve sequer um caso de fraude ou tentativa registrada, afirma Janino. Sobre suspeitas j levantadas em outros pleitos, ele diz que todas foram devidamente apuradas. Uma delas se deu na disputa pelo governo do Maranho, em 2010. Roseana Sarney decidiu a eleio no primeiro turno por uma margem de 0,08% (ela obteve 50,08% dos votos). Candidato pelo PCdoB, Flvio Dino questionou a vitria no Tribunal Regional Eleitoral maranhense. Em relatrio, ele indicou falhas nos arquivos de auditoria das urnas e a ocorrncia incomum de votos rpidos e tardios, conforme descrito na denncia. O caso, porm, foi arquivado pelo TRE. Professor da Universidade Federal de Pernambuco e um dos criadores do polo tecnolgico Porto Digital, Slvio Meira diz que no h dvidas quanto lisura do processo eleitoral, mas defende maior transparncia por parte do TSE, que planeja, executa e fiscaliza as eleies, alm de julgar os processos. um sistema monoltico e opaco, diz Meira. O e leitor deveria poder fiscalizar o seu voto.

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica O RelatorioCMind

COMIT MULTIDISCIPLINAR INDEPENDENTE

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

O TSE pode fazer mais. Alm da apurao rpida, que j nos oferece, deveria propiciar uma apurao confervel pela sociedade civil

Comit Multidisciplinar Independente Srgio Srvulo da Cunha Augusto Tavares Rosa Marcacini Maria Aparecida Cortiz Clovis Torres Fernandes Jorge Stolfi Pedro Antonio Dourado de Rezende Amilcar Brunazo Filho Frank Varela de Moura Marco Antnio Machado de Carvalho Mrcio Coelho Teixeira

1 edio Edio dos Autores Braslia

Maro de 2010

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Direitos do Autor Copyleft


Comit Multidisciplinar Independente - CMind, 2010 Esta obra foi produzida coletivamente para publicaes sob a licena CC BY-NC/BR 2.5: livre para remisso, distribuio e republicao sem fins comerciais desde que mantidas a integridade de contedo, referncias de autoria e os direitos aqui cedidos. Texto da licena CC BY-NC/BR 2.5 disponvel em: http://creativecommons.org/licenses/by-nc/2.5/br Cpia digital deste Relatrio disponvel em: http://www.votoseguro.org/textos/RelatorioCMind.pdf

Para demais usos, contate os autores do CMind, em: Srgio Srvulo da Cunha <sergioservulo@uol.com.br> Augusto Tavares Rosa Marcacini <amarcacini@adv.oabsp.org.br> Maria Aparecida Cortiz <maria.cortiz@uol.com.br> Clovis Torres Fernandes <clovistf@uol.com.br> Jorge Stolfi <stolfi@ic.unicamp.br> Pedro Antonio Dourado de Rezende <prezende@unb.br> Amilcar Brunazo Filho <amilcar@brunazo.eng.br> Frank Varela de Moura <frank.varela@camara.gov.br> Marco Antnio Machado de Carvalho <gersisbr@yahoo.com.br> Mrcio Coelho Teixeira <mlista@tasco.com.br> CMind telefone 4004 0435 ramal 5030 (ligao local no Brasil; falar com Amlcar)

Dados Internacionais de Catalogao Sistema de Bibliotecas da Universidade Catlica de Santos SibiU

R382 2010

Relatrio sobre o sistema brasileiro de votao eletrnica / Srgio Srvulo da Cunha...[et al.].-- Braslia : Edio dos Autores, 2010. 105 p.; 29 cm Inclui bibliografia 1. Fraude eleitoral - Brasil. 2. Justia eleitoral - Brasil. 3. Voto eletrnico - Brasil. 4. Separao de poderes - Brasil. 5. Equilbrio de poderes. 6. Sigilo do voto. I. Cunha, Srgio Srvulo da. II. Marcacini, Augusto Tavares Rosa. III. Cortiz, Maria Aparecida Silva da Rocha. IV. Fernandes, Clovis Torres. V. Stolfi, Jorge. VI. Rezende, Pedro Antonio Dourado de. VII. Brunazo Filho, Amlcar. VIII. Moura, Frank Varela de. IX. Carvalho, Marco Antonio Machado de. X. Teixeira, Mrcio Coelho. XI. Comit Multidisciplinar Independente. XII. Ttulo CDU 324 1997

Comit Multidisciplinar Independente

SUMRIO

INTRODUO
1.1 1.2 1.3 1.4 1.5 HISTRICO SOBRE A COMPOSIO DO COMIT MULTIDISCIPLINAR INDEPENDENTE SOBRE ESTE DOCUMENTO RESUMO DAS CONCLUSES TERMINOLOGIA ADOTADA

3
3 5 8 8 10

ANLISE DE ASPECTOS FORMAIS


2.1 2.2 2.3 SOBRE A COMPOSIO DO COMIT MULTIDISCIPLINAR DO TSE SOBRE A ESCOLHA DOS ASSESSORES DO CMTSE SOBRE AS REFERNCIAS BIBLIOGRFICAS 2.3.1 Os Relatrios da CCJC da Cmara dos Deputados 2.3.2 O Relatrio Brennan e as Diretrizes VVSG

11
11 15 16 17 19

INFORMAES PRELIMINARES
3.1 DIFICULDADES DE FISCALIZAO PELOS PARTIDOS DESCRIO DE CASOS 3.1.1 1998 e 2008 - Coao em Massa de Eleitores 3.1.2 2000 - Programas Modificados 3.1.3 2000 - Caso Diadema, SP 3.1.4 2002 e 2008 Assinaturas Digitais Divergentes 3.1.5 2004 - Caso Marlia, SP 3.1.6 2006 - Caso Campos, RJ eleio suplementar 3.1.7 2006 - Caso Alagoas 3.1.8 2006 - Caso Maranho 3.1.9 2008 - Caso Itaja, SC 3.1.10 2008 - Diferenas nos Cdigo-fonte 3.1.11 2008 - Travamento de Urnas Eletrnicas DIFICULDADES DE FISCALIZAO PELA OAB DESCRIO DOS CASOS 3.2.1 2004 A Tentativa de Fiscalizao Correta 3.2.2 2006 e 2008 O Abandono da Fiscalizao Efetiva 3.2.3 Resumo das Dificuldades da OAB INDEPENDNCIA DO SOFTWARE EM SISTEMAS ELEITORAIS

21
21 22 23 24 25 26 28 30 33 34 37 38 40 40 42 43 44

3.2

3.3

continua

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

ANLISE DOS ARGUMENTOS TCNICOS DO CMTSE


4.1 TEMAS OMITIDOS PELO CMTSE 4.1.1 Direito do Eleitor a conferir o destino do seu voto 4.1.2 Concentrao de Poderes no Processo Eleitoral Brasileiro 4.1.3 Verba para Fiscalizao 4.1.4 Voto em Transito 4.1.5 A Experincia com o Voto Impresso em 2002 SALVAGUARDAS DO SISTEMA ELETRNICO DE VOTAO BRASILEIRO 4.2.1 Processo de desenvolvimento dos softwares da urna eletrnica 4.2.2 Lacrao dos sistemas de software da urna 4.2.3 Processo de distribuio e carga do software das urnas eletrnicas 4.2.4 Histrico de apurao de alegaes de fraudes IDENTIFICAO DO ELEITOR IMPRESSO DO VOTO 4.4.1 Votao manual e vulnerabilidades da impresso do voto SOBRE AS CONCLUSES E RECOMENDAES DO CMTSE

46
46 46 54 59 62 64 67 68 70 72 73 75 77 79 82

4.2

4.3 4.4 4.5

CONCLUSES FINAIS e RECOMENDAES do CMind


5.1 5.2 CONCLUSES SOBRE O RELATRIO CMTSE CONCLUSES GERAIS E RECOMENDAES DO CMind

84
84 85

ANEXOS
ANEXO 1 INFORMAO N 002/2008 STI-TSE ANEXO 2 2002 E 2008 - ASSINATURAS DIGITAIS DIVERGENTES ANEXO 2.1 2002 - Memorando do TRE-PB ANEXO 2.2 2008 Resumos Criptogrficos Chaves da Urna ANEXO 3 EXTRATOS TRADUZIDOS DAS DIRETRIZES VVSG ANEXO 4 A VERIFICAO DAS ASSINATURAS DIGITAIS NAS URNAS ELETRNICAS ANEXO 5 VOTO ELETRNICO E TRANSAES FINANCEIRAS DIGITAIS ANEXO 6 CONTRADITA EXPLICAO DO CASO CAXIAS-MA ANEXO 7 O REGISTRO DIGITAL DO VOTO

86
86 89 90 91 92 94 97 100 101

Comit Multidisciplinar Independente

INTRODUO

Este relatrio foi escrito por advogados e especialistas em tecnologia da informao com experincia no processo eleitoral brasileiro, reunidos sob a denominao de Comit Multisciplinar Independente, e apresenta uma avaliao sobre o Sistema Brasileiro de Votao Eletrnica. Este documento tambm constitui uma rplica ao relatrio elaborado pelo Comit Multidisciplinar do TSE, criado em maro de 2009 para avaliao de propostas apresentadas pela Subcomisso Especial de Segurana do Voto Eletrnico da Comisso de Constituio e Justia e Cidadania da Cmara dos Deputados (CCJC). O presente Relatrio e Rplica se destina a subsidiar os deputados da CCJC da Cmara Federal na elaborao de legislao destinada a elevar o nvel de confiana e de segurana do sistema de votao eletrnica do Brasil. Ainda, pretende reforar e ampliar as justificativas s propostas encaminhadas pela CCJC ao TSE, no que possam ter sido mal interpretadas, distorcidas ou desconsideradas no relatrio do Comit Multidisciplinar do TSE (CMTSE). Tem por objetivo mostrar as inconsistncias e problemas do Relatrio do CMTSE, alm de enfatizar o que precisa ser aperfeioado no sistema eletrnico de votao brasileiro, de modo a garantir a integridade e o bom funcionamento do software que controla a urna eletrnica brasileira, em consonncia com as propostas apresentadas pela Subcomisso Especial de Segurana do Voto Eletrnico da CCJC. Na Seo 1.1, apresenta-se um histrico dos passos que levaram escrita deste relatrio e rplica. Na Seo 1.2, apresenta-se a composio do Comit Multidisciplinar Independente. Na seo 1.3, apresenta-se a estrutura deste documento. Na Seo 1.4, apresenta-se um resumo das concluses deste relatrio. Na Seo 1.5, apresenta-se a terminologia empregada neste documento.

1.1

HISTRICO

Aps audincia pblica em 29 de maro de 2007 na Comisso de Constituio e Justia e de Cidadania (CCJC) da Cmara dos Deputados, foi criada a Subcomisso Especial de Segurana do Voto Eletrnico , presidida pelo dep. Geraldo Magela (PT-DF), para avaliar projetos de lei relativos ao sistema de votao informatizada em uso no Brasil. Ao longo de 2007 e 2008, a subcomisso promoveu 7 audincias pblicas, tendo ouvido 11 especialistas no processo eletrnico de votao e em segurana de dados, incluindo-se nesse rol tanto o Diretor Geral quanto o Secretrio de Tecnologia da Informao do TSE, e elaborou dois relatrios aprovados posteriormente no plenrio da CCJC. O primeiro destes teve como relator o dep. Vital do Rgo (PMDB-PB) e foi aprovado em novembro de 2007. O segundo, relatado pelo dep. Gerson Peres (PP-PA), foi aprovado em fevereiro de 2009.

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Para referncia no presente trabalho, esses relatrios sero denominados respectivamente por Relatrio CCJC 2007 1 e Relatrio CCJC 2008 2. Ambos apresentam propostas para incremento da confiabilidade do sistema eletrnico de votao e foram entregues em mos ao Presidente do TSE, Min. Ayres Britto, em audincias em 18 de fevereiro de 2009 e em 03 de maro de 2009. As propostas nos dois relatrios da CCJC divergem bastante, havendo em comum apenas o seguinte item: Criar Auditoria Independente do Software das urnas eletrnicas, por meio da recontagem automtica dos Votos Materializados Conferveis pelo Eleitor. No dia 20 de maro de 2009, por meio da Portaria TSE 192/2009, foi criado o Comit Multidisciplinar do TSE, doravante designado como CMTSE, indicado e coordenado pelo seu Secretrio de Tecnologia da Informao, com o seguinte objetivo, assinalado em seu art. 1: analisar as sugestes apresentadas no Relatrio da Subcomisso Especial do Voto Eletrnico da CCJC da Cmara dos Deputados Obs.: o motivo do termo Multidisciplinar aparecer entre aspas, quando se refere ao CMTSE, ser explicado na Seo 2.1 do Captulo 2 desta Rplica. Em 26 de maio de 2009, o CMTSE apresentou 3 o seu relatrio4 onde, por iniciativa prpria, informou o seguinte: ... no se limitou aos temas abordados pela subcomisso da CCJC mas, em funo do rico debate e apresentao de ideias, ampliou seu escopo. Em julho de 2009, com o intuito de prosseguir esse rico debate, alguns dos especialistas ouvidos pela CCJC, professores universitrios e tcnicos em informtica especializados em urna eletrnica, juntaram-se a juristas e advogados eleitorais bem como com os representantes tcnicos de Partidos Polticos e da OAB que acompanharam o desenvolvimento dos sistemas eleitorais, compondo-se o Comit Multidisciplinar Independente, doravante designado como CMind, para elaborar este relatrio e rplica ao Relatrio do Comit Multidisciplinar do TSE, aqui denominado, por simplicidade, apenas por Rplica.

1 2 3 4

Texto disponvel em: http://www.votoseguro.org/textos/sve2007-relatorio.pdf Texto disponvel em: http://www.votoseguro.org/textos/sve2008-relatorio.pdf Notcia do TSE: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1187457 Relatrio do Comit Multidisciplinar nomeado pela Portaria TSE 192 . Braslia: TSE, 26/05/2009 http://www.votoseguro.org/textos/comiteTSE-1.pdf

Comit Multidisciplinar Independente

1.2

Sobre a Composio do Comit Multidisciplinar Independente

O CMind composto por dez membros, sendo trs professores universitrios de cincia da computao, um jurista, autor de livro sobre Direito Eleitoral, um advogado especializado em informtica jurdica que j acompanhou o desenvolvimento dos sistemas no TSE, uma advogada eleitoral com larga experincia na fiscalizao do voto eletrnico no Brasil e quatro tcnicos em informtica com experincia junto ao sistema de votao eletrnica brasileiro. Seis membros do CMind possuem experincia pessoal prpria como agentes credenciados para acompanhar o desenvolvimento dos sistemas eleitorais junto ao TSE, conforme 1 ao 4 do Art. 66 da Lei 9.504/97, na qualidade de representantes de Partidos Polticos ou da OAB , e, neste sentido, CONSTITUEM A TOTALIDADE dos representantes de ENTIDADES EXTERNAS que de fato acompanharam a apresentao e o desenvolvimento dos sistemas do TSE desde 2004. Isso carateriza e ilustra o aspecto multidisciplinar do CMind, uma vez que seus integrantes tm formao apropriada, capacitaes diferentes mas correlatas, complementares e condizentes com o objetivo do comit. Com relao rea de informtica, registra-se que os especialistas tm conhecimento terico e prtico qualificado em sistemas de segurana informacional, em engenharia de software, em criptografia, em projeto de circuitos, em programao geral e em linguagem de mquina. Alm disso, todos eles possuem conhecimento expressivo de aspectos relevantes do sistema eleitoral brasileiro, seja por seu histrico de trabalhos em sistemas que exigem alto grau de segurana, seja por trabalhos realizados junto ao prprio sistema eleitoral brasileiro. Quanto ao aspecto de independncia, em especial do TSE, cumpre assinalar que a reunio dos autores ocorreu de forma espontnea e pessoal. Nesse sentido, os autores membros do CMind declaram o seguinte: No receberam nenhuma orientao, ajuda ou apoio financeiro de nenhuma entidade pblica, privada, acadmica ou partidria para elaborar o presente trabalho. Nunca prestaram nenhum servio remunerado ao TSE. No existe hierarquizao dentro do CMind , inexistindo a figura de coordenador. Todos os membros participam das decises do grupo com igual direito palavra e ao voto. Este Relatrio reflete a opinio conjunta dos autores e no deve ser creditada a terceiros, sejam pessoas ou entidades. Finalmente, nenhum dos autores fala em nome da entidade em que trabalha ou presta servios.

A seguir, apresenta-se um resumo das qualificaes profissionais e da atuao no tema do relatrio de cada um dos membros do Comit Multidisciplinar Independente, dentro de uma categorizao pela atuao principal do membro:

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Juristas e Advogados: Adv. Srgio Srvulo da Cunha, 74, jurista, foi presidente da Subseco de Santos da OAB (1981/83); coordenou o Bureau de Acompanhamento da Constituinte, do Conselho Federal da OAB; Assessor da Presidncia do Conselho Federal da OAB; Membro da Comisso Permanente de Direito Constitucional do Instituto dos Advogados Brasileiros; Chefe de Gabinete do Ministro da Justia, Dr. Mrcio Thoms Bastos (2003/04); autor de inmeros textos publicados inclusive o Manual das Eleies 5, em coautoria com o Prof. Roberto Amaral. Adv. Augusto Tavares Rosa Marcacini, 45, advogado em So Paulo. Bacharel, Mestre e Doutor em Direito pela Faculdade de Direito da USP. Presidente da Comisso de Informtica Jurdica da OAB-SP, nos trinios 2004/2006 e 2007/2009. Membro da Comisso de Tecnologia da Informao do Conselho Federal da OAB, no trinio 2004/2006, e indicado como representante da OAB junto ao TSE para a fiscalizao dos sistemas eletrnicos de votao, em 2004 . Professor de Direito Processual Civil e Direito da Informtica em cursos de Graduao e Ps-Graduao. Autor de Direito e Informtica: uma abordagem jurdica sobre a criptografia 6, dentre outros livros e artigos jurdicos publicados. Adv. Maria Aparecida da Rocha Cortiz, 49, advogada em So Paulo. Bacharel com curso de extenso em direito administrativo pela PUC-SP, credenciada como representante de partidos polticos e especializada em fiscalizao eleitoral. Acompanha o desenvolvimento dos sistemas eleitorais junto ao TSE desde 2002. Coautora do primeiro relatrio7 de anlise dos arquivos digitais de auditoria de Alagoas em 2006, e do livro Fraudes e Defesas no Voto Eletrnico 8, alm de outros artigos publicados.

Professores Universitrios na rea de Cincia da Computao: Prof. Dr. Jorge Stolfi 9, 59, Ph.D pela Stanford University em 1988 Professor Titular do Instituto de Computao da UNICAMP. Apresentou-se em audincias pblicas, para discorrer sobre a segurana das urnas eletrnicas, no dia 04 de dezembro de 2008 perante a CCJC da Cmara Federal e no dia 20 de agosto de 2009 perante as comisses CCJ e CCT do Senado Federal. Prof. Dr. Clovis Torres Fernandes 10, 56, Professor Associado da Diviso de Cincia da Computao do ITA, especializado em Engenharia de Software. Organizador do SSI - Simpsio sobre Segurana em Informtica, realizado no ITA de 1999 a 2006, onde teve incio o debate acadmico sobre voto eletrnico no Brasil. Autor do segundo e principal relatrio11 sobre as urnas eletrnicas usadas na eleio em Alagoas 2006. Apresentou-se perante a CCJC da Cmara dos Deputados em 29 de maro de 200712.

Amaral, R. e Srvulo da Cunha, S. - Manual das Eleies, 3 edio - So Paulo: Editora Saraiva, 2006 http://www.livrocamp.com.br/produtos_descricao.asp?lang=pt_BR&codigo_produto=1801 6 Marcacini, A.T.R - Direito e Informtica: uma abordagem jurdica sobre a criptografia So Paulo: Ed. Forense, 2002 7 Brunazo F., A. , Cortiz, M.A.R. e Carvalho, M.A.M. - Laudo de Avaliao dos Dados Oficiais da Eleio de Alagoas 2006 . Alagoas: outubro de 2006 http://www.votoseguro.org/arquivos/AL06-laudoBCC.zip 8 Brunazo F., A. e Cortiz, M.A.R. - Fraudes e Defesas no Voto Eletrnico . So Paulo: All Print Editora, 2006 http://www.brunazo.eng.br/voto-e/livros/F&D-texto.pdf 9 Mais informaes a partir de: http://en.wikipedia.org/wiki/Jorge_Stolfi , e em: http://www.ic.unicamp.br/~stolfi/ 10 Currculo Lattes em: http://lattes.cnpq.br/6635354260645535 11 Fernandes, C. T. - Radiografia das Urnas Eleitorais. S. J. dos Campos: ITA, dezembro de 2006 http://www.votoseguro.org/arquivos/AL06-laudoFerITA.zip obs.: no incio deste relatrio, o autor explicita que fala em nome prprio e no da instituio que trabalha. 12 udio da palestra em: http://www.votoseguro.org/arquivos/CCJaudio1Clovis.mp3

Comit Multidisciplinar Independente

Prof. Pedro Antnio Dourado de Rezende 13, 57, matemtico e criptgrafo, Professor de Criptografia e Cincia da Computao da Universidade de Braslia, UnB, ex-representante da Sociedade Civil na Infra-Estrutura de Chaves Pblicas Brasileira (ICP-BR) e membro do Conselho Consultivo do Instituto Brasileiro de Direito e Poltica de Informtica. Participou do I Seminrio do Voto Eletrnico ocorrido no Centro Cultural da Cmara dos Deputados em 25 de maio de 2002 e apresentouse perante a CCJC da Cmara dos Deputados em 25 de novembro de 2008.

Tcnicos em informtica com experincia no sistema eleitoral brasileiro: Eng. Mrcio Coelho Teixeira, 46, engenheiro e programador em linguagem de mquina. Projetista do prottipo de urna eletrnica apresentado pelo TRE-MG em 1995, que foi considerada a melhor proposta pela Comisso de Informatizao do Voto do TSE. Acompanhou a apresentao dos sistemas eleitorais do TSE em 2000. Em 2001 foi nomeado assistente tcnico pela Subcomisso do Voto Eletrnico da CCJ do Senado, para acompanhar a auditoria da UNICAMP. Eng. Amilcar Brunazo Filho, 60, engenheiro pela Poli-USP e representante tcnico de partido poltico para acompanhamento do desenvolvimento dos sistemas eleitorais desde 2000. Assistente Tcnico de diversos partidos polticos em percias eleitorais. Coautor do livro Fraudes e Defesas no Voto Eletrnico e do primeiro relatrio de anlise dos dados eleitorais de Alagoas em 2006. Apresentou-se perante a CCJC da Cmara Federal em 29 de maro de 2007 14 e em 04 de junho de 2007 e perante as comisses CCJ e CCT do Senado Federal no dia 20 de agosto de 2009. Em 2001 foi nomeado assistente tcnico pela Subcomisso do Voto Eletrnico da CCJ do Senado, para acompanhar a auditoria da UNICAMP. Frank Varela de Moura, 38, analista de sistemas e ps-graduando em Cincia da Computao na rea de "Desenvolvimento de Sistemas Distribudos com orientao a objetos" pela UnB/FINATEC. Acompanha o desenvolvimento dos sistemas eleitorais do TSE desde 2004. Ministrou cursos de fiscalizao eletrnica e autor de manuais de fiscalizao eleitoral 15 nas ltimas trs eleies, em conjunto com a Dra. Stella Bruna Santo e com a Sra. Gisa Guimares. Palestrante no Carter Center16, em Atlanta, GA/USA, sobre o tema "Eleies Eletrnicas no Brasil", como representante da delegao enviada pela Cmara dos Deputados para observao das eleies nos EUA em 2004. Marco Antnio Machado de Carvalho, 44, analista de sistemas e programador de computadores, representante tcnico de partido poltico para acompanhamento do desenvolvimento dos sistemas eleitorais em 2008 e especializado em recuperao profissional de dados digitais17, civil e forense. coautor do primeiro relatrio de anlise dos arquivos digitais de auditoria de Alagoas em 2006.

13 Ver produo acadmica em: http://www.cic.unb.br/~pedro/sd.htm 14 udio da palestra em: http://www.votoseguro.org/arquivos/CCJaudio2Brunazo.mp3 15 Manual 2008 de fiscalizao eleitoral geral em: http://www.assessoriadopt.org/manualfiscaliza.pdf Manual 2008 de fiscalizao da carga das urnas em: http://www.assessoriadopt.org/manualcarga.pdf 16 Carter Center - instituio criada e presidida pelo ex-presidente americano Jimmy Carter 17 Ver em: http://www.sosdados.com.br/

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

1.3

Sobre este Documento

No Captulo 2 deste documento so analisados alguns aspectos formais preliminares relativos ao Relatrio do CMTSE. No Captulo 3, como Informaes Preliminares, so apresentados casos concretos que revelam as dificuldades na fiscalizao do voto eletrnico pelos Partidos Polticos (Seo 3.1) e pela OAB (Seo 3.2). Ao final desse captulo, introduzido o conceito de Independncia do Software, que vem sendo adotado nas normas tcnicas internacionais sobre equipamentos de votao e que ser usado como paradigma na avaliao de mrito desenvolvida no captulo seguinte. No Captulo 4, que contm a avaliao de mrito, apresenta-se inicialmente uma descrio dos temas citados nos Relatrios da CCJC mas que foram omitidos ou desconsiderados no Relatrio da CMTSE. Em seguida, apresenta-se uma avaliao crtica e a rplica aos argumentos tcnicos centrais do CMTSE. No Captulo 5 apresentam-se as concluses e recomendaes do CMind para o sistema eleitoral brasileiro . Como Anexos, foram includos documentos de difcil acesso por outros meios e informaes complementares relevantes para a anlise e concluses apresentadas. Nas referncias bibliogrficas, procurou-se, sempre que conhecido, indicar um endereo na Internet onde seja possvel encontr-la de forma rpida. Todos esses endereos foram conferidos quanto disponibilidade no dia 25 de maro de 2010. Todas as incluses de textos de terceiros foram marcadas em azul, mas eventuais destaques dentro delas, em negrito ou sublinhado, so dos autores deste relatrio.

1.4

Resumo das Concluses e Sugestes A concluso final do CMind que o TSE pode e deveria fazer mais.

Alm do sistema de apurao rpida, que j nos oferece, o TSE deveria propiciar uma sistema eleitoral de apurao confervel pela sociedade civil. Concluiu-se, ainda, que h exagerada concentrao de poderes no processo eleitoral brasileiro, resultando em comprometimento do Princpio da Publicidade e da soberania do eleitor em poder conhecer e avaliar, motu prprio, o destino do seu voto. Como consequncia disso, constata-se que no atual sistema eleitoral brasileiro IMPOSSVEL para os representantes da sociedade conferir e auditar o resultado da apurao eletrnica dos votos. Em outras palavras, desde 1996 a sociedade civil brasileira no tem como conferir e confirmar o resultado publicado pela autoridade eleitoral. Esta impossibilidade de auditoria independente do resultado eleitoral que levou rejeio de nossas urnas eletrnicas em todos os mais de 50 pases que aqui vieram avali-la.

Comit Multidisciplinar Independente

Com relao ao Relatrio do CMTSE verificou-se que consiste basicamente numa reproduo fiel dos argumentos apresentados anteriormente por seu coordenador - o Secretrio de TI do TSE, Sr. Guiseppe Dutra Janino - em audincias pblicas perante a Comisso de Constituio e Justia e de Cidadania (CCJC) da Cmara dos Deputados. Em seu relatrio, o CMTSE foi a extremos, chegando a CITAR COM EXPLCITA INVERSO DE MRITO, trabalhos tcnicos de terceiros para emprestar crdito a seus argumentos, conforme pode-se constatar na Seo 4.4 do Captulo 4 e no Anexo 4 desta Rplica. A anlise dos argumentos tcnicos defendidos no Relatrio do CMTSE mostrou que ele se encontra eivado de OMISSES, PARCIALIDADE e SUPERFICIALIDADE, como exaustivamente demonstrado nos Captulos 3 e 4 desta Rplica e registrado nas concluses finais da mesma, no Captulo 5. Diante dessas condies, conclui-se que o Relatrio do Comit Multidisciplinar do TSE no construiu a credibilidade necessria para o fim que se props, devendo ser desconsiderado em qualquer anlise sria com o fim de aperfeioar o nvel de confiana e de segurana do sistema de votao eletrnica brasileiro. As principais recomendaes do CMind so as seguintes: 1. Propiciar separao mais clara de responsabilidades nas tarefas de normatizar, administrar e auditar o processo eleitoral brasileiro , deixando Justia Eleitoral apenas a tarefa de julgar o contencioso. 2. Possibilitar uma auditoria dos resultados eleitorais de forma totalmente independente das pessoas envolvidas na sua administrao. 3. Regulamentar mais detalhadamente o Princpio de Independncia do Software em Sistemas Eleitorais, expresso no Art. 5 da Lei 12.034/09, definindo claramente as regras de auditoria com o Voto Impresso Confervel pelo Eleitor.

10

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

1.5

Terminologia Adotada

Apurao e Totalizao So processos separados que ocorrem em momentos e locais diferentes. A Apurao ocorre primeiro e consiste na soma dos votos colhidos por uma mquina de votar que resulta no Boletim de Urna, expresso em forma digital e impressa. J a Totalizao ocorre depois, nos computadores dos Tribunais Eleitorais, e consiste na soma dos Boletins de Urna para se gerar o resultado final da eleio. Arquivos Digitais de Auditoria um conjunto de arquivos digitais gerados numa mquina de votar, destinados a uso na auditoria do seu funcionamento, que inclui a preparao, a coleta de votos e a apurao. No caso das urnas brasileiras, os principais, mas no nicos, arquivos digitais de auditoria so, a saber: BU, LOG e RDV, tambm descritos nesta seo. Arquivo BU (de Boletim de Urna) - Arquivo digital da urna eletrnica brasileira onde gravado o resultado da apurao. Arquivo LOG Arquivo digital da urna eletrnica brasileira onde so registrados a data e hora de eventos importantes ocorridos durante determinado processo. Arquivo RDV (de Registro Digital do Voto) Arquivo digital da urna eletrnica brasileira onde fica gravado o conjunto de todos os votos confirmados pelos eleitores. Auditoria Independente do Software Procedimento de conferncia da apurao eletrnica de votos de forma que no depende, para tanto, da integridade ou do bom funcionamento do software da mquina de votao e apurao. Boletim de Urna: Resultado da apurao em cada mquina de votar e que pode ter a forma de arquivo digital ou ser impresso em papel logo que calculado. CMind - Comit Multidisciplinar Independente Conjunto dos dez autores desta Rplica. CMTSE - Comit Multidisciplinar do TSE Comit de cinco integrantes nomeados pela Portaria TSE 192/2009 de 20/03/2009. Independncia do Software em Mquinas de Votar Conceito necessrio para permitir a Auditoria Independente do Software. Foi proposto18 em 2006 por um dos inventores da tcnica de assinatura digital, depois de concluir que essas tcnicas criptogrficas no so suficientes para oferecer garantia de integridade lgica do software das mquinas de votar eletrnicas durante a votao. Mquinas DRE (de Direct Recording Electronic Voting Machines) - Tipo de equipamento eletrnico de votao que grava os votos em Arquivos RDV para posterior apurao. As urnas eletrnicas brasileiras so do tipo DRE. Registro Digital do Voto O mesmo que Arquivo RDV ou, simplesmente, RDV. Registro Independente do Voto Confervel pelo Eleitor (RICE) Qualquer forma de registro do voto cuja exatido possa ser conferida pelo eleitor assim que gerado e de uma maneira que no dependa do software da mquina de votar. Os RICE so necessrios para viabilizar a Auditoria Independente do Software. Voto Impresso Confervel pelo Eleitor (VICE) o meio pelo qual se pode obter RICE em mquinas DRE, atravs da impresso do voto e da sua apresentao para confirmao pelo eleitor antes da gravao do voto no Arquivo RDV. Assim, podem existir Mquina DRE com VICE e Mquina DRE sem VICE. Voto Materializado Confervel pelo Eleitor um sinnimo de RICE usado tanto no Relatrio CCJC 2007 quanto no Relatrio CCJC 2008.
18 Rivest R.R. , Wack, J.P. - On the notion of "software independence" in voting systems : USA, NIST, 28/07/2006 - http://vote.nist.gov/SI-in-voting.pdf

Comit Multidisciplinar Independente

11

ANLISE DE ASPECTOS FORMAIS DO RELATRIO CMTSE

Antes da apresentao da anlise dos argumentos tcnicos desenvolvidos no Relatrio CMTSE, discutem-se alguns aspectos formais preliminares, relativos composio do CMTSE, escolha da sua assessoria e sobre as referncias bibliogrficas citadas.

2.1

Sobre a Composio do Comit Multidisciplinar do TSE

Nesta seo, discutem-se os aspectos de imparcialidade, de independncia e de multidisciplinaridade dos componentes do CMTSE. O CMTSE teve seus membros indicados e foi coordenado pelo Secretrio de Tecnologia da Informao (STI/TSE), Sr. Giuseppe Dutra Janino, que possui longa experincia com as urnas eletrnicas brasileiras. Como funcionrio da STI/TSE, o Sr. Janino acompanhou o desenvolvimento desse equipamento desde o incio e seu posicionamento a favor de mquinas de votar puramente digitais, sem registro independente do voto (mquinas DRE sem VICE), pblico e notrio: O Sr. Giuseppe Dutra Janino apresentou-se perante a CCJC da Cmara dos Deputados em 23 de maio de 2007 e em 04 de dezembro de 2008 quando descreveu o sistema eletrnico de votao criado pelo TSE, citando com detalhes suas salvaguardas e justificando a opo do TSE de adotar mquinas DRE sem VICE.

Na escolha dos demais membros do CMTSE, o Coordenador do CMTSE procurou evitar o contraditrio, indicando exclusivamente especialistas na rea de informtica alinhados com sua posio contrria impresso do voto, no abrindo espao para especialista de outras reas, ou com opinies divergentes ou favorveis impresso do voto. Alm disso, o Coordenador do CMTSE priorizou escolher, dentre os tcnicos de TI alinhados sua posio, os que j tivessem prestado servios remunerados sua secretaria, sempre que possvel. Apenas um dos membros indicados no havia prestado servio ao TSE antes de participar desse comit, mas foi chamado posteriormente para prestar novos servios. A seguir, apresentam-se os componentes do CMTSE, onde se procura evidenciar a falta de imparcialidade e independncia de todos eles em relao ao TSE, em especial das teses do Coordenador do CMTSE.

12

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Pesquisador Antnio Montes Filho19 Pesquisador Amndio Ferreira Balco Filho20 So pesquisadores do Centro de Tecnologia da Informao Renato Archer do Ministrio da Cincia e Tecnologia (CTI/MCT antigo CenPRA), atuando na rea de segurana de informtica. Foram consultores do TSE sob o Contrato TSE 032/2008 de maio de 2008, para elaborar anlises quanto a segurana do sistema eletrnico de votao. Na clusula 4.3 do contrato com o TSE estabelecida a participao e remunerao de tcnicos do CTI/CenPRA. No item 1.1 do Relatrio do CMTSE os pesquisadores so apresentados como "autores de relatrios de anlise da segurana do sistema eletrnico de votao, o que ocorreu a partir de um detalhado estudo e acompanhamento de todas as etapas de preparao e execuo das eleies 2008". No entanto, tais relatrios no esto disponveis para conhecimento ou avaliao por terceiros visto terem sido declarados secretos pelo coordenador do CMTSE, atravs da Informao n 002/2008-STI-TSE de 12/11/2008 (vide Anexo 1). No prtica comum citar, como referncia curricular, trabalhos secretos que no possam ser acessados ou consultados por terceiros e, talvez por isso, nos seus prprios currculos Lattes e do CNPq no se encontre nenhuma referncia a trabalhos sobre o sistema eletrnico de votao para o TSE.

Professor Ricardo Dahab professor da rea de Cincia da Computao do Instituto de Computao da UNICAMP, atuando em criptografia. Trabalhou para o TSE sob o Contrato TSE 054/2001 de novembro de 2001, produzindo em 2002, em coautoria com outros professores da UNICAMP, o polmico relatrio Avaliao do Sistema Informatizado de Eleies (Urna Eletrnica) 21. Esse relatrio foi alvo de severas crticas no meio jurdico e no meio acadmico, de autores como: Marco Aurlio Aydos 22 (Procurador da Repblica), Roberto Romano 23 (ex-Presidente da Comisso de Percias da UNICAMP), Jorge Stolfi 24 (Diretor do Instituto de Computao da UNICAMP), Jeroen Van der Graaf (UFMG) e Ricardo Felipe Custdio 25 (UFSC) e de Pedro Antnio Dourado Rezende 26 (UnB).

19 Currculo Lattes em: http://buscatextual.cnpq.br/buscatextual/visualizacv.jsp?id=E51301 Currculo CNPq em: http://dgp.cnpq.br/buscaoperacional/detalhepesq.jsp?pesq=9186593293344088 20 Currculo Lattes em: http://buscatextual.cnpq.br/buscatextual/visualizacv.jsp?id=P074182 Currculo CNPq em: http://dgp.cnpq.br/buscaoperacional/detalhepesq.jsp?pesq=5891652594120801 21 Tozzi, C.L. et al. - Avaliao do Sistema Informatizado de Eleies (Urna Eletrnica). Campinas: TSE, maio de 2002 - http://www.tse.gov.br/internet/eleicoes/relatorio_unicamp/rel_final.pdf 22 Aydos, M.A. - A Mulher de Csar. Observatrio de Imprensa, junho de 2002 ver Seo II http://www.observatoriodaimprensa.com.br/artigos/mid100720025.htm 23 Romano, R. - Urnas Eletrnicas, ABIN e UNICAMP. So Paulo: Folha de So Paulo, 11/06/2002 http://www.votoseguro.org/noticias/folha14.htm 24 Stolfi, J. - Sobre o Relatrio TSE-FUNCAMP. Frum do Voto Eletrnico, 22/10/2002 http://www.votoseguro.org/textos/stolfi1.htm e http://www.ic.unicamp.br/~stolfi/urna/04-carta-jornais.html 25 Graaf, J.V. e Custdio, R.F. - Tecnologia Eleitoral e a Urna Eletrnica. Sociedade Brasileira de Computao, 2002 ver item 1.4 - http://www.sbc.org.br/index.php?language=1&content=downloads&id=281 26 Rezende, P.D. - Anlise do Relatrio 'da Unicamp'. Instituto Alberto Pasqualini, 2002 http://www.cic.unb.br/docentes/pedro/trabs/relunicamp.htm

Comit Multidisciplinar Independente

13

Essas crticas ressaltam, de forma unnime, a interferncia e uso poltico desse relatrio pelo TSE, a excluso dos assistentes tcnicos do Senado27 e a omisso em responder seus quesitos e, ainda, ambiguidade de algumas concluses e propostas oferecidas. Como consequncia direta do uso imprprio e abusivo do nome da instituio pelo TSE, que sempre o designa esse texto incorretamente como Relatrio da UNICAMP, a Cmara de Administrao do Conselho Universitrio da UNICAMP baixou, em 13 de junho de 2003, a deliberao CAD-A-4 28, esclarecendo que professores dos quadros da universidade, mesmo quando autorizados pelo reitor a realizar trabalhos externos, no estariam autorizados a falar deles em nome da UNICAMP e que deveriam fazer constar ressalva neste sentido na folha de rosto do relatrio produzido. Ignorando essa deliberao, no consta tal ressalva no Relatrio CMTSE e, na Seo 2.1.3, os autores, incluindo o prprio prof. Dahab, voltam a explorar indevidamente a imagem da instituio universitria, citando o relatrio escrito em 2002 como se representasse a palavra oficial da UNICAMP.

Em considerao deliberao CAD-A-4 do Conselho Universitrio da UNICAMP, nesta Rplica designaremos o relatrio supracitado como o chamado Relatrio Unicamp, com aspas, para caraterizar que no expressa a opinio da instituio. Professor Mamede Lima-Marques Professor Titular da UnB, atuando em arquitetura de informao, com nenhum trabalho anterior ou artigo publicado na rea de votao eletrnica. o nico membro do CMTSE que no havia trabalhado anteriormente para o TSE. Apresentou-se perante a CCJC da Cmara de Deputados , em 30 de maio de 2007, junto com os professores Ricardo Puttini e Andr Tofanello, onde manifestaram-se a favor de controles puramente digitais em mquinas DRE. Na ocasio, ofereceram servios para desenvolvimento de protocolos de segurana para o sistema eleitoral brasileiro.

Caracterizando e confirmando que a natureza da relao profissional que os componentes do CMTSE mantm com o TSE de assistentes tcnicos e no de auditores independentes, os membros do CMTSE foram chamados para prestar novos servios ao TSE, sendo nomeados pela Portaria TSE 648 29 e Portaria TSE 649 30, de 09 de setembro de 2009, para comporem as comisses deliberativas e administrativas dos Testes de Segurana, conforme descrito na Seo 4.1.1 do Captulo 4 deste relatrio. O fato de todos os indicados para compor o CMTSE tenham antes se declarado alinhados com as teses do seu coordenador indica que a fuga ao contraditrio tenha sido um dos critrios para sua escolha.
27 Os assistentes tcnicos do Senado para acompanhar a elaborao desse relatrio, que tambm so membros do CMind, apresentaram quesitos que foram encaminhados, na ocasio, ao Reitor da UNICAMP. Mas os autores do relatrio no permitiram o acompanhamento do estudo e nem responderam aos quesitos. Ver mais detalhes em: http://www.votoseguro.org/textos/relfuncamp1.htm Ofcio do Senado Unicamp em: http://www.votoseguro.org/textos/oficiosve.htm 28 Ver a desautorizao do Conselho Universitrio da UNICAMP para uso do nome da instituio por seus servidores, em: http://www.pg.unicamp.br/delicad/2003/CAD04A03.htm 29 Ver em: http://www.tse.gov.br/internet/eleicoes/arquivos/portaria_comissao_avaliadora_assinado.pdf 30 Ver em: http://www.tse.gov.br/internet/eleicoes/arquivos/portaria_comissao_disciplinadora_assinado.pdf

14

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Sob esses critrios de seleo, a imparcialidade e a multidisciplinaridade do CMTSE restaram prejudicadas pela similaridade da formao, de experincia, de relao profissional e de predisposio de seus membros quanto ao objeto de anlise. No h, entre eles, representantes da rea do Direito . Isso reduziu a abrangncia da anlise que o CMTSE pde produzir, levando omisso em importantes questes, citadas nos Relatrios CCJC, que sobrepujam sua rea tecnolgica estrita, como, por exemplo, o comprometimento do Princpio da Tripartio de Poderes e do Princpio da Publicidade com a informatizao do processo eleitoral brasileiro. Tambm, marcante, no CMTSE, a ausncia de fiscais externos ao TSE representantes dos partidos polticos, da OAB ou do Ministrio Pblico com experincia direta que pudesse contribuir com uma viso externa sobre as dificuldades que as entidades fiscais do sistema eleitoral encontram para exercer, na prtica, essa funo. Essa ausncia de fiscais externos com experincia prtica constituiu uma lacuna marcante, que levou o CMTSE a conhecer apenas a viso terica das salvaguardas criadas pelo administrador eleitoral, deixando de consultar aqueles que poderiam apresentar informaes sobre a efetividade, a eficcia e a viabilidade econmica das formas de auditoria permitidas. Por isso, o uso de aspas ao citar-se o Comit Multidisciplinar do TSE nesta Rplica, j que todos seus componentes so tcnicos da rea de Tecnologia da Informao, descaracterizando a ideia de grupo multidisciplinar real, que, por definio, consiste em reunir membros com atuao em disciplinas e pesquisas em diversas reas do saber, o que no ocorre no caso do CMTSE. Ademais, a relao pessoal e profissional dos membros do CMTSE com a administrao eleitoral os qualifica, do ponto de vista estritamente legal, como assistentes tcnicos do TSE e, portanto, sem iseno formal para a funo de auditores independentes e imparciais neste caso em que o fruto do trabalho administrativo do seu contratante o alvo do questionamento externo a ser avaliado. Enfim, considerando que o Relatrio CCJC 2007 e o Relatrio CCJC 2008 apresentam algumas crticas ao produto da administrao eleitoral e que o CMTSE deveria avaliar essas crticas, com a composio escolhida, o CMTSE foi montado para evitar conhecer o contraditrio e, sob a ptica jurdica estrita, no parece estar qualificado para exercer essa avaliao de forma imparcial. O que faz lembrar a mxima de Upton Sinclair:
It is difficult to get a man to understand something when his salary depends upon his not understanding it dificil fazer um homem entender alguma coisa quando seu salrio depende dele no entend-la Upton Sinclair (1878 - 1968) escritor e ativista poltico norte-americano, vencedor do Premio Pulitzer em 1943

Comit Multidisciplinar Independente

15

2.2

Sobre a Escolha dos Assessores do CMTSE

A dependncia do CMTSE ao administrador eleitoral foi reforada pela escolha dos seus consultores e assessores. Na Seo 1.1 do seu relatrio informa-se que o Comit foi assessorado por membros da equipe tcnica do TSE diretamente ligados ao desenvolvimento da urna eletrnica e do sistema eletrnico de votao brasileiro. Essa assessoria foi dada exclusivamente por funcionrios do TSE. Nenhuma pessoa independente ao corpo tcnico do administrador eleitoral foi ouvida pelo CMTSE para apresentar contestaes ou alternativas ao discurso oficial. natural esperar que os tcnicos diretamente envolvidos no desenvolvimento das urnas eletrnicas, o objeto final sob avaliao do comit, filtrassem as informaes apresentadas, omitindo aquelas que, por qualquer motivo, pudessem macular o ideal concebido por eles prprios. Por exemplo, ao avaliar as salvaguardas do sistema, o CMTSE, descreveu nas Subsees 2.1.1 e 2.1.2 do seu relatrio, a concepo ideal da apresentao dos sistemas aos representantes dos partidos, da OAB e do MP durante 180 dias anteriores eleio, sugerindo que o procedimento efetivo e satisfatrio para a transparncia do processo. Porm, por no ter sido ouvido nenhum dos representantes dessas entidades fiscalizadoras, que realmente acompanharam a apresentao dos sistemas desde 2004 - e que so todos membros deste CMind -, no relato do CMTSE no so citados os seguintes fatos observados diretamente pelos fiscais externos em 2008: Dados Secretos foram mantidos secretos e longe do conhecimento dos fiscais, segundo a Informao n 002/2008-STI/TSE do coordenador do CMTSE (vide Anexo 1 desta Rplica), os relatrios parciais desenvolvidos pelas entidades FACTI e CenPRA (atual CTI/MCT), que induziram centenas de alteraes nos programas das urnas, algumas delas introduzidas at nos ltimos minutos antes da compilao final. No dia da compilao e lacrao dos sistemas, foram descobertas diferenas entre os programas-fonte que eram apresentados para anlise dos fiscais externos e os programas-fonte que estavam sendo compilados de fato. Em ato autoritrio, este fato foi omitido na ata da cerimnia, e petio para inclu-lo foi ignorada (vide detalhes na Subseo 3.1.10 desta Rplica). Ao contrrio do citado na Subseo 2.1.2 do Relatrio CMTSE, uma parte dos arquivos fixos das urnas eletrnicas no teve seus resumos criptogrficos calculados ao final da cerimnia oficial em 15/09/2008. Contrariando a lei, esse clculo foi feito no dia 25/09/2008, 10 dias depois de terminada a cerimnia, sem a presena dos representantes externos (vide data no documento oficial no Anexo 2.2). Apesar de ser dito na Subseo 2.1.1 do Relatrio CMTSE que no possvel modificar ou executar qualquer trecho de cdigo neste ambiente de acompanhamento externo, alguns programas, contendo roteiros de compilao (scripts), foram alterados de ltima hora naquele ambiente para corrigir erros que impediam a compilao correta. A maior parte da documentao descritiva do sistema s ficou pronta DEPOIS do encerramento do prazo da apresentao.

16

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Esses fatos comprometem totalmente a finalidade da alegada salvaguarda, pois no adianta projetar uma apresentao ideal dos sistemas eleitorais para conhecimento e fiscalizao externa se, na prtica, as regras estabelecidas para segurana no so cumpridas, se os sistemas apresentados tm diferenas em relao aos que sero usados nas eleies e se valores essenciais para a verificao de integridade dos sistemas (resumos e assinaturas digitais) no so calculados na presena dos fiscais. Todas essas informaes, acima referidas, seriam significativas para a anlise do CMTSE, mas acabaram ignoradas em seu relatrio por serem embaraosas para os assessores escolhidos porque, a rigor, foram consequncias de erro, de falta de planejamento ou de autoritarismo dos prprios assessores do CMTSE. Lembre-se, ainda, que esses problemas na apresentao dos sistemas so apenas um exemplo de como as diferenas entre o ideal descrito pelos assessores do CMTSE e a realidade prtica observada pelos fiscais externos pode apontar para concluses muito diferentes sobre a eficcia das salvaguardas descritas. Outros exemplos, de outras reas, outros atores e em outros momentos, sero detalhados ao longo dos Captulos 3 e 4 desta Rplica.

2.3

Sobre as Referncias Bibliogrficas

So escassas as citaes e referncias bibliogrficas no Relatrio do CMTSE, a comear pela completa omisso relativa especificao dos Relatrios da CCJC, objetos da anlise. No dito qual dos dois foi analisado ou se foram ambos. As citaes e referncias que aparecem no corpo do relatrio do CMTSE so genricas, nunca especificando de forma objetiva o captulo ou ponto referido na obra citada. Ao longo do texto, so apresentadas apenas duas referncias bibliogrficas formais. Somente uma delas permite a identificao do objeto apontado. A outra ambgua e no remete a um documento nico. H, tambm, caso de texto citado sem a devida referncia bibliogrfica correta e explcita, como o relatrio Avaliao do Sistema Informatizado de Eleies (Urna Eletrnica), indevidamente 31 chamado como Relatrio da UNICAMP na Seo 2.1.3 do Relatrio CMTSE. H, ainda, erros de forma at em referncia interna do Relatrio CMTSE. O Anexo I, ao final do documento, referido como Anexo A na Seo 2.4, revelando descompromisso e desateno na reviso final do texto. As duas mais graves dessas impropriedades formais, que comprometem a qualidade formal do Relatrio CMTSE, so descritas, a seguir, nas Subsees 2.3.1 e 2.3.2 desta Rplica.

31 Ver a desautorizao do Conselho Universitrio da UNICAMP para uso do nome da instituio por seus servidores, em: http://www.pg.unicamp.br/delicad/2003/CAD04A03.htm

Comit Multidisciplinar Independente

17

2.3.1

Os Relatrios da CCJC da Cmara dos Deputados

A CCJC da Cmara dos Deputados produziu dois relatrios sobre a questo do voto eletrnico, referenciados como Relatrio CCJC 2007 e Relatrio CCJC 2008. O Relatrio CCJC 2007 foi elaborado aps as audincias pblicas de 2007, com a presena do Dr. Mamede Lima-Marques e do Sr. Giuseppe Janino, membros do CMTSE, e do Dr. Clovis Fernandes e do Eng. Amlcar Brunazo Filho, membros do CMind. O relatrio foi entregue ao presidente do TSE no dia 03 de maro de 2009 32. O Relatrio CCJC 2008 foi elaborado aps as audincias de 2008, novamente com a presena do Sr. Giuseppe Janino, Coordenador do CMTSE, e do Dr. Jorge Stolfi e do Prof. Pedro Antnio Dourado Rezende, membros deste CMind. Foi entregue ao presidente do TSE pelo seu autor, o Deputado Gerson Peres, no dia 18 de fevereiro de 2009 33. O Relatrio CCJC 2007 recebeu o ttulo Relatrio da Subcomisso Especial do Voto Eletrnico da CCJC da Cmara dos Deputados e tem escopo mais abrangente multidisciplinar -, abordando temas tcnicos, econmicos e jurdicos como os seguintes: Consequncias da concentrao de poderes no processo eleitoral brasileiro. Falta de verba oficial para as entidades encarregadas da fiscalizao eleitoral. Auditoria Independente do Software sobre a Apurao, por recontagem de 2% dos votos impressos conferveis pelo eleitor (VICE). Uso de software de cdigo aberto nas urnas eletrnicas. Permisso do voto em trnsito.

Ao final do Relatrio CCJC 2007, referente a face legislativa da questo, so propostos quatro Projetos de Lei sobre esses temas. Destaque-se, no entanto, que no Relatrio CCJC 2007 nada proposto a respeito da separao fsica e lgica entre a mquina de identificar o eleitor e a mquina de votar. J o Relatrio CCJC 2008 tem escopo mais restrito, ficando centrado em duas questes tecnolgicas e apresentando os seguintes itens como necessrios: Separao entre a mquina de identificar o eleitor e a mquina de votar. Registro independente do voto (RICE), impresso ou escaneado, para permitir Auditoria Independente do Software sobre a Apurao.

A Presidncia do TSE formalizou a criao do seu Comit Multidisciplinar atravs da Portaria TSE 192/2009 com o explicito objetivo de: ... analisar as sugestes apresentadas no Relatrio da Subcomisso Especial do Voto Eletrnico da CCJC da Cmara dos Deputados Como a portaria que criou o CMTSE cita literalmente o ttulo do Relatrio CCJC 2007 e denomina o comit como multidisciplinar, aponta que esse seria o seu relatrio-alvo.
32 Ver notcia do TSE em: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1170472 33 Ver noticia do TSE em: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1156471

18

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

No entanto, no Captulo 3 do Relatrio CMTSE, ao citar o relatrio da CCJC analisado, reduz a descrio do seu contedo apenas ao seguinte: 3
ANLISE DAS PROPOSTAS DA SUBCOMISSO DA CCJC A subcomisso da CCJC props que fossem introduzidas as seguintes modificaes no sistema eletrnico de votao: 1. a identificao do eleitor deve ser feita em dispositivo separado da mquina que registra o voto, como garantia do sigilo do voto; 2. impresso do voto como evidncia de sua correta contabilizao.

Essa descrio mais condizente com o Relatrio CCJC 2008, a saber: 1. A separao das mquinas, que aparece citada no item 1 do Captulo 3 do Relatrio CMTSE, no foi abordada no Relatrio CCJC 2007. 2. Outros temas abordados no Relatrio CCJC 2007 no esto citados, como o acmulo de poderes, a falta de verba para a fiscalizao, a adoo de software de cdigo aberto e do voto em trnsito. 3. No h referncia, no Relatrio CMTSE, aos quatro Projetos de Lei eleitorais presentes no Relatrio CCJC 2007. Desta forma, por no reconhecer a existncia de dois relatrios e ao citar o ttulo de um e o contedo do outro, o Relatrio CMTSE no deixa claro e explcito qual dos relatrios da CCJC o objeto de sua avaliao. Trata-se de um evidente erro de forma na especificao do seu objeto - item preliminar essencial - que descredencia do nvel acadmico, implcito na escolha dos autores indicados, o Relatrio CMTSE. Nesta Rplica, para contornar os efeitos desse crasso erro sobre formalidade essencial, consideramos a existncia dos dois relatrios da CCJC na anlise dos argumentos oferecidos pelo Relatrio CMTSE.

Comit Multidisciplinar Independente

19

2.3.2

O Relatrio Brennan e as Diretrizes VVSG

O Relatrio CMTSE apresenta, por duas vezes, a seguinte referncia bibliogrfica:


Brennan; Voluntary Voting System Guidelines Recommendations to the Election Assistance Commission AUGUST 31, 2007).

Na Seo 3.2 do Relatrio CMTSE, essa referncia est associada expresso relevantes estudos [que justificariam a adoo de mquinas de votar DRE sem VICE]. Na Subseo 4.1.3 do Relatrio CMTSE, a mesma referncia aparece associada expresso: h estudos que comprovam ineficcias em todos os sistemas, com e sem impresso do voto. Esses mesmos estudos fazem recomendaes caso se adote cada um dos tipos de sistemas. Porm, a referncia, como citada, ambgua. A palavra Brennan, destacada em negrito como se fosse nome do autor, no mundo do voto eletrnico remete ao Brennan Center for Justice da New York University School of Law que, em junho de 2006, publicou um importante estudo 34, denominado The Machinery of Democracy: protecting elections in an electronic world, o qual passa aqui a ser referido como Relatrio Brennan. J o restante da referncia bibliogrfica citada pelo CMTSE, remete diretamente s Voluntary Voting System Guidelines (VVSG)35, preparadas pela agncia federal norteamericana U.S. Election Assistance Commission (US-EAC) com a colaborao do National Institute of Standards and Technology (NIST) em agosto de 2007, as quais passam a ser aqui referidas como Diretrizes VVSG. Tanto o Relatrio Brennan quanto as Diretrizes VVSG fazem jus ao epteto de relevantes estudos. So trabalhos desenvolvidos por grande equipes de especialistas, com composio verdadeiramente multidisciplinar, que analisaram todos os tipos de equipamentos eletrnicos de votao conhecidos, a saber, mquinas DRE sem VICE, mquinas DRE com VICE e mquinas digitalizadoras do voto, estendendo o estudo at sistemas ainda em desenvolvimento terico, referenciados na categoria Innovation Class ou formas alternativas de RICE . O Relatrio Brennan apresentou o primeiro estudo acadmico de avaliao de riscos de sistemas eleitorais eletrnicos. Descreveu 128 possveis tipos de fraude eleitoral e props um mtodo de clculo de riscos e danos potenciais, que inclui a medida da quantidade de participantes ativos necessrios para mudar indevidamente o resultado de uma eleio majoritria.
34 Norden L.D. et al. - The Machinery of Democracy: protecting elections in an electronic world. New York: Brennan Center of Justice, NYU, 27/06/2006 relatrio completo em: http://www.brennancenter.org/dynamic/subpages/download_file_38150.pdf sumrio executivo em: http://organikrecords.com/corporatenewslies/BrennanCenter_ExecutiveSummary.pdf sumrio em portugus: http://www.votoseguro.org/textos/brennan-pt.pdf 35 Voluntary Voting System Guidelines. USA: U.S. Election Assistance Commission, 31/08/2007 pgina virtual em: http://www.eac.gov/vvsg relatrio completo em: http://www.eac.gov/files/vvsg/Final-TGDC-VVSG-08312007.pdf

20

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Deste estudo, sua principal concluso que a fraude menos difcil, ou seja, a de melhor relao custo-benefcio para o fraudador, a adulterao do software em mquinas DRE sem VICE - como as urnas eletrnicas brasileiras. J as Diretrizes VVSG, na prtica, constituem a norma tcnica norte-americana sobre equipamentos de votao. Foram elaboradas em conjunto com o National Institute of Standards and Technology (NIST), contando com quase 600 pginas. Apresentam detalhada lista de normas e recomendaes de segurana para todos os sistemas eleitorais eletrnicos conhecidos e, desde a ltima verso de 2007, passou a exigir a Independncia do Software36 nas mquinas de votar eletrnicas, o que levou ao descredenciamento sumrio das mquinas DRE sem VICE. Nestas condies, por apresentar por duas vezes a mesma referncia bibliogrfica incompleta e ambgua, sem identificar o trecho referenciado na obra citada, o Relatrio CMTSE dificulta a localizao do texto que estaria indicando para sustentar a sua tese, impedindo o leitor de avaliar e confirmar como essa referncia corroboraria seu argumento. Trata-se de mais um erro evidente de forma , e que, neste caso, aparece duas vezes no Relatrio CMTSE. Esse erro formal repetido, ainda agravado com a constatao, descrita na Seo 4.4 desta Rplica, de que consultadas as fontes ambiguamente apontadas, encontrase, em ambas, assero que diz exatamente o contrrio do contexto da citao no Relatrio CMTSE. A associao de trs erros formais distintos incompletude, ambiguidade e inverso de mrito -, a princpio independentes mas repetidos em dois pontos do relatrio, estimula a hiptese de no ter sido simples erro de reviso. Para sustentar esta Rplica, consideraremos tanto a existncia do Relatrio Brennan quanto das Diretrizes VVSG na anlise dos argumentos da CMTSE.

36 Ver a Seo: Introduction: 2.4 das Diretrizes VVSG ; e a Seo 3.3 deste relatrio.

Comit Multidisciplinar Independente

21

INFORMAES PRELIMINARES

Apresenta-se, neste captulo, uma srie de informaes preliminares que ajudaro a ilustrar e esclarecer a anlise que ser desenvolvida no Captulo 4 seguinte. De incio, so descries de alguns casos concretos relacionados s dificuldades de fiscalizao do processo eleitoral eletrnico pelos Partidos Polticos , apresentando situaes vividas pelos fiscais desde a apresentao dos sistemas no TSE at casos ocorridos nos cartrios eleitorais de cidades espalhadas pelo pas. A seguir descrita a experincia de fiscalizao pela OAB, destacando-se suas dificuldades em 2004 e o abandono da fiscalizao em 2006 e 2008. Ao final deste captulo, introduz-se o conceito de Independncia do Software em Sistemas Eleitorais, que vem ganhando cada vez mais espao e tem sido adotado como referncia tcnica em muitos pases que passaram a dar maior ateno s questes de transparncia e confiabilidade geral de sistemas eletrnicos de votao.

3.1

Dificuldades de Fiscalizao pelos Partidos - Descrio de Casos Concretos

A cada nova eleio, crescem muito as denncias de problemas nas urnas eletrnicas, como foto trocada do candidato, votao encerrada antes da confirmao do eleitor, eleitor impedido de votar, etc. Devido carga emocional do evento, frequentemente esses casos vm acompanhados de acusaes de fraudes e repercutem na imprensa. Na Seo 2.4 do Relatrio CMTSE, se generaliza uma explicao simplria de que muitos desses relatos no so apresentados imprensa por m f, mas por falta de conhecimento do processo eletrnico de votao. No Anexo A do Relatrio CMTSE apresentada explicao para 3 casos que repercutiram na mdia televisada. No entanto, existem muitos casos bem documentados de problemas no processo eleitoral eletrnico, que tornam ineficaz a fiscalizao pelos partidos polticos e que nunca receberam explicao convincente do administrador eleitoral e tambm no foram explicados pelo CMTSE, em que pese sua opo espontnea de ampliar o escopo deste rico debate. Os casos documentados aqui descritos no se ajustam aos rtulos de denunciantes desinformados ou de choro de perdedor - h at dois casos em que o denunciante ganhou a eleio - e ainda servem de exemplo de como est desequilibrado o jogo de poder entre fiscais e fiscalizados no processo eleitoral brasileiro, com flagrante desvantagem dos fiscais.

22

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

3.1.1

Coao em Massa de Eleitores - 1998 e 2008

A opo do administrador eleitoral por identificar o eleitor usando a prpria urna eletrnica, seja pelo nmero do ttulo ou pela biometria, um reforo muito forte ideia de que o voto poder ser identificado posteriormente. Em funo desta peculiaridade de nosso sistema, a cada eleio crescem as denncias de coao de eleitores sob a alegao de que o voto ser identificado nas urnas eletrnicas. uma modalidade nova de golpe eleitoral que chegou com nossa urna eletrnica e tem sido denominada como Voto-de-Cabresto-em-Massa. Esse problema j havia sido detectado em 1998, na segunda eleio com urnas eletrnicas, quando surgiu forte boato entre os funcionrios de empresas estatais do Rio Grande do Sul de que a digitao do nmero do ttulo simultnea digitao do voto seria usada para identificar os funcionrios pblicos que no votassem na chapa da situao. O TRE-RS teve que apresentar repetidos esclarecimentos pela grande imprensa37, tentando desconvencer os eleitores intimidados pelo boato. Dez anos depois, notcia38 divulgada pelo TSE pouco antes da eleio de 2008, comprova a persistncia do problema. Revela os esforos do TRE-RJ por meio de campanha publicitria pela TV para: ... esclarecer o eleitores quanto inviolabilidade do voto, em resposta ao de grupos criminosos que atuam em comunidades carentes do Rio de Janeiro que estariam coagindo os eleitores dessas comunidades, afirmando ser possvel identificar aqueles que no votassem nos candidatos impostos pelos criminosos Para viabilizar o voto-de-cabresto-em-massa no necessrio que o agente coator consiga quebrar, de fato, o sigilo do voto do eleitor coagido. Basta convenc-lo de que conseguiria e, para isso, a identificao do eleitor na prpria mquina de votar ajuda muito ao infrator. No se sabe avaliar como o conflito psicolgico, entre o boato e o contra-boato, se resolve nas mentes dos eleitores: eles acreditaro na propaganda corretiva do administrador eleitoral ou preferiro, por via das dvidas, submeter-se ao voto-de-cabresto por medo do poder do coator? O fato que o Voto-de-Cabresto-em-Massa sobrevive e cresce a cada eleio, explorando a equivocada forma de identificar os eleitores na mesma mquina de votar que a autoridade eleitoral escolheu adotar. A projetada adoo de identificao biomtrica do eleitor na prpria mquina de votar, que tem recebido ampla divulgao publicitria pelo TSE, vai reforar, no imaginrio popular, a ideia de que possvel identificar o voto nas urnas eletrnicas e, com boa certeza, vai servir de estmulo para o crescimento desta modalidade de fraude.

37 Ver a reportagem "Justia Eleitoral Garante Sigilo do Voto", Jornal ZeroHora, 23/10/1998 - pg. 20 38 Ver em: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1037407

Comit Multidisciplinar Independente

23

3.1.2

Programas Modificados - 2000

Nas eleies de 2000, o TSE deixou de cumprir vrios mandamentos da lei eleitoral relativos a procedimentos de segurana na apresentao dos programas aos Partidos e ao MP, dentre os quais destacam-se os dois seguintes: 1. Dois teros do software das urnas eletrnicas, que inclua o Sistema Operacional VirtuOS da Microbase e a biblioteca de criptografia da ABIN, foram mantidos secretos aos partidos e at aos prprios funcionrios do TSE. 2. Depois de homologado, gravado em CD-ROM e lacrado na frente do MP e dos Partidos em 06 de agosto de 2000, o software das urnas foi modificado de forma que os programas de computador colocados nas urnas eletrnicas em 2000 eram diferentes da verso oficial homologada. Uma impugnao39 a esses fatos, apresentada por partido poltico, foi rejeitada pela Justia Eleitoral; as mesmas pessoas eram os juzes, peritos e rus no processo. Essas ilegalidades praticadas pela autoridade eleitoral em 2000 acabaram sendo comprovadas pelos seguintes acontecimentos futuros: 1. O chamado Relatrio Unicamp apresentou dados que desmentiam40 o ento secretrio de Informtica do TSE, revelando que eram falsos os argumentos usados para indeferir e arquivar a impugnao. 2. Numa entrevista ao Jornal do Brasil 41, os tcnicos Oswaldo Catsumi e Paulo Nakaya, do TSE, confessaram que os programas das urnas s ficariam prontos no dia 5 de setembro, um ms aps sua lacrao oficial. Uma percia em Camaari 42, BA, comprovou que os programas nas urnas eletrnicas no eram os mesmos homologados em agosto de 2000 no TSE. 3. Em comunicado pblico43, em 2006, a empresa Microbase confirma que o TSE no cumpria a legislao em vigor na apresentao e lacrao dos sistemas. 4. Na audincia pblica perante a CCJC da Cmara, em 25 de novembro de 2008, o Eng. Frederico Gregrio, diretor da Microbase, confirmou que o software denominado VirtuOS, de sua autoria e usado em urnas at as eleies de 2006, nunca teve seu cdigo-fonte apresentado ao MP, OAB ou partidos e nem mesmo aos funcionrios do prprio TSE. Embora as ilegalidades, denunciadas tempestivamente em 2002, tenham sido comprovadas por eventos posteriores, nenhuma consequncia ou responsabilizao da adveio. O administrador eleitoral continua se omitindo sobre esses fatos, sem apresentar explicaes ou esclarecimentos. O CMTSE, nas concluses na Subseo 4.1:5, reconhece o abuso no passado, mas no procura explic-los. Satisfaz-se na esperana que no se repetiro, ao dizer: verdade que, no passado, em vrios momentos o TSE no foi suficientemente responsivo s demandas por maior transparncia. Entretanto, as iniciativas dos ltimos anos mostram claramente uma mudana de atitude, com vrias medidas j implantadas
39 40 41 42 43 Ver em: http://www.pdt.org.br/diversos/acaourna.htm Ver em: http://www.votoseguro.org/textos/unicamp1.htm TSE abre programas aps eleies. Jornal do Brasil, Caderno Poltica, pg. 4 30 de agosto de 2000 Ver item (2.vi) do parecer em: http://www.votoseguro.org/textos/camacari2.htm Ver item (5) da nota em: http://www.votoseguro.org/arquivos/microbase06-nota1.pdf

24

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

3.1.3

O Caso Diadema, SP - 2000

Foi nesse municpio, vizinho cidade de So Paulo, que em 2000 primeiro se constatou e documentou um rol de irregularidades no processo de votao eletrnica e onde se revelaram, com clareza, as nefastas consequncias da concentrao de poderes da Justia Eleitoral. Para se ter ideia da truculncia do administrador eleitoral naquela poca, aos Partidos era negado acesso a todos os Arquivos Digitais de Auditoria gerados pelo sistema, sob o argumento de conterem informaes prprias de segurana nacional. Somente aps 9 meses da eleio, e no antes de se recorrer ao TSE, os partidos concorrentes obtiveram acesso a apenas os Arquivos de LOG das urnas. A anlise desses arquivos revelou que todas as urnas eletrnicas tinham sido carregadas fora da cerimnia oficial de carga e lacrao, dias antes da convocao por edital pblico, tendo todas ficado sem lacres durante dias. A grande maioria das urnas eletrnicas utilizadas - 431 de 451 - foram inseminadas com o software de votao nos dias 22 e 23 de setembro, 2 em 24/9, 7 em 25/9, 2 em 26/9, sendo que todas elas s foram lacradas no dia 28/9. Esses dados mostravam que a totalidade das urnas eletrnicas de Diadema em 2000, estiveram carregadas com os programas mas sem lacre e sem a presena de fiscais dos partidos polticos por vrios dias, em total oposio aos procedimentos de segurana apontados como salvaguardas na Subseo 2.1.3 do Relatrio CMTSE. O resultado do processo judicial aberto contra os procedimentos de preparao das urnas pelos funcionrios da Justia Eleitoral foi pelo indeferimento do pedido, alegando, a prpria Justia Eleitoral, no haver elementos suficientes para infirmar a alegao. Percia nas urnas no foi deferida. Este Caso Diadema 2000, mais um bom exemplo de que no passado, em vrios momentos o TSE no foi suficientemente responsivo s demandas por maior transparncia..., como foi citado no Relatrio CMTSE em suas concluses. A indignao e o sentimento de impotncia perante o tratamento autoritrio e obscuro que o caso recebeu da autoridade eleitoral, levou o candidato denunciante das irregularidades, atitude radical de iniciar uma greve de fome que durou 10 dias.

Comit Multidisciplinar Independente

25

3.1.4

Assinaturas Digitais Divergentes - 2002 e 2008

Na Seo 2.1.2 do Relatrio CMTSE dito que gerao de resumos digitais (Tabelas de Hash) durante a cerimnia de lacrao dos sistemas no TSE, perante o MP, a OAB e os Partidos, uma das salvaguardas do sistema. Porm, nem sempre esse procedimento de segurana foi cumprido com o rigor necessrio para sua mnima eficcia. Nas eleies de 2002 - 2 turno - e de 2008, fiscais de partidos, ao verificarem os arquivos carregados nas urnas eletrnicas, detectaram a presena de um conjunto de arquivos com resumos digitais diferentes do oficial homologado nas respectivas cerimnias de lacrao dos sistemas (vide Anexo 2 desta Rplica). Em 2002, a diferena foi descoberta pelo fiscal eng. Hebert Rodrigues Pereira na cidade de Campina Grande, PB, e em 2008 a fiscal adv. Maria Cortiz (coautora desta rplica) encontrou 16 arquivos no assinados ou sobrantes nas urnas de Timon, MA. Nos dois casos, a providncia dada pelo administrador eleitoral foi a de publicar novas Tabelas de Hash, calculadas a portas fechadas, fora de uma cerimnia oficial perante os agentes fiscais externos , impedindo-os de saber quais programas foram assinados, e considerar vlido, a posteriori, o procedimento de carga das urnas onde os erros foram encontrados. Detalhes do Caso Campina Grande 2002, podem ser acompanhados nas mensagens eletrnicas44 trocadas entre os fiscais externos de ento. A deciso do administrador eleitoral, naquela ocasio, foi de esconder o problema do pblico, da imprensa e at dos fiscais externos como mostra o memorando apresentado no Anexo 2.1, onde se passavam instrues aos supervisores dos polos de carga das urnas para procurarem esconder o problema dos fiscais dos partidos e do MP. A percia nas urnas foi indeferida. As Tabelas de Hash originais, que demonstravam a impropriedade, foram retiradas do stio do TSE. Tabelas novas foram publicadas no lugar. Em 2008 a reao do administrador eleitoral foi menos irregular. Foi publicada uma nova tabela de hashs, mas as anteriores foram mantidas publicadas. No Anexo 2.2 apresenta-se o fac-simile da tabela complementar com as assinaturas dos arquivos sobrantes calculada, sem a presena de fiscais, em 25/10/2008, dez dias depois de encerrada a cerimnia oficial de apresentao dos sistemas. Esses dois casos so exemplos acabados de como a concentrao de poderes terreno frtil para a prtica de abusos que acabam por comprometer a transparncia e segurana do processo eleitoral, podendo anular completamente a eficcia dos mecanismos de fiscalizao externa permitidos. O caso de 2002 comprova o dito pelo CMTSE, nas concluses de seu relatrio, que no passado, em vrios momentos o TSE no foi suficientemente responsivo s demandas por maior transparncia.... J o caso de 2008, que praticamente repete a prtica, desmente o alegado em seguida pelo CMTSE, de que ... as iniciativas dos ltimos anos mostram claramente uma mudana de atitude, com vrias medidas j implantadas.
44 Ver detalhes do Caso Campina Grande de 2002, nas mensagens eletrnicas em: http://www.mail-archive.com/voto-eletronico@pipeline.iron.com.br/msg11814.html http://br.groups.yahoo.com/group/votoseguro/message/784

26

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

3.1.5

O Caso Marlia, SP - 2004

Os Arquivos Digitais de Auditoria das urnas usadas em 2004 na cidade de Marlia, SP, foram obtidos no TRE, tempos depois da eleio, posto que os Juzes Eleitorais do municpio se recusaram a entregar os dados. Esses arquivos indicavam ter ocorrido gerao de flashs de carga45 em duplicata e tambm discrepncias no horrio de recebimento dos Boletins de Urna da 400 ZE. Essas trs informaes, em conjunto, a saber: 1. Resistncia dos juzes/administradores auditoria; 2. Flash de carga em duplicata; 3. Discrepncias nos recebimentos dos BU; so compatveis com a hiptese de fraude por clonagem de urnas, que consiste num ataque interno no Cartrio Eleitoral, no qual se prepara um conjunto de urnas com data antecipada para nelas efetuar uma votao prvia que gera documentos com resultados falsos, mas aceitveis pelo sistema totalizador, e se prepara um outro grupo de urnas para serem enviadas s sees eleitorais. No momento de totalizao, os disquetes de resultados dos dois grupos so trocados dentro do Cartrio Eleitoral, o que caracteriza o tipo de fraude como um ataque interno. O Arquivo de Espelhos de Boletins de Urna da 400 ZE, gerado em 14/10/2004 s 15:22:55 h, indicava que muitas sees eleitorais tiveram seus resultados recebidos para totalizao antes do incio da votao. Como exemplo, mostra-se o cabealho da pgina 45 do arquivo, referente seo eleitoral 0008, apresentado a seguir:
Justia Eleitoral/SP pg.:45 Sistema de Gerenciamento - Verso: 2.09 (Oficial) 14/10/2004 Eleies Municipais de 2004 15:22:55 Espelho de Boletim de Urna 1 turno Eleitores Sees Sees Sees N.vagas Municpio ZT Aptos Agregadas Efetivas Vereadores 66818 - MARILIA 0070 141,159 309 7 302 13 Zona Eleitoral: 0400 Seo: 0008 Sees Agregadas: Esta seo no possui sees agregadas. Aptos:530 Comparecimento: 445 Faltosos: 85 Tipo de Urna: Apurada Origem: URNA ELETRNICA Data do Recebimento: 03/10/2004 6:40:28 Cd.UE: 148909 PM Cd. Carga: 090.225.521.369.572.240. 332.446 Data: 27/09/2004 Hora: 15:59:00 Cd.FC: 8D66079F

Nesse cabealho so apresentados a data e hora de trs eventos, a saber: 1. Na segunda e terceira linha tem-se a data e hora em que o arquivo foi criado em 14/10/2004 s 15:22:55 h. 2. Na antepenltima linha, destacado em negrito, tem-se a data e hora do recebimento do Boletim de Urna em 03/10/2004 s 6:40:28. 3. Na ltima linha aparece a data e hora da carga da urna em 27/09/2004 s 15:59:00.
45 Cartes de Memria digitais usados para carregar os programas e dados oficiais nas urnas eletrnicas.

Comit Multidisciplinar Independente

27

A eleio ocorreu em 03/10/2004. A hora 6:40:28 (item 2), incompatvel com o recebimento dos Boletins de Urna, os quais s so oficialmente gerados aps s 17:00 h. Esse problema apareceu em todas as sees eleitorais da 400 ZE. Questionada a respeito, a Seo de Apoio s Eleies do TRE-SP emitiu parecer tcnico em 28/02/2005, onde tentou explicar essa discrepncia, afirmando que a hora de recebimento dos BU estaria grafada em padro americano (12 h mais AM ou PM) devido ao arquivo ter sido gerado em computador no qual o sistema operacional Windows seria de verso em ingls. O padro brasileiro para data e hora segue o formato dia/ms/ano para a data e 24h para a hora, enquanto o padro americano usa ms/dia/ano para a data e 12h mais AM ou PM para a hora. A data e a hora de gerao do arquivo em questo (item 1 - 14/10/2004 s 15:22:55), est obviamente em formato brasileiro pois no existe ms 14 e nem 15 horas no padro americano. Isto indicaria que o arquivo fora gerado em computador configurado no padro brasileiro. A data e a hora da carga da urna (item 3 - 27/09/2004 s 15:59:00) tambm est obviamente em padro brasileiro, mais uma vez indicando que o computador que escreveu esse dado no arquivo estava em padro brasileiro. A data do recebimento do boletim de urna (item 2 - data de 03/10/2004) s pode estar em padro brasileiro, indicando o dia 3 de outubro de 2004, dia do 1 turno das eleies de 2004. Se essa data estivesse em padro americano estaria indicando o dia 10 de maro de 2004, data em que era impossvel se receber Boletins de Urna, visto que o Sistema de Gerenciamento 2004 T1, segundo o parecer tcnico, s foi instalado em setembro de 2004. Confirma-se, assim, que o computador que inseriu esse dado no arquivo estava em padro brasileiro. J a hora de recebimento do BU (item 2 hora 6:40:28) indica que os Boletins de Urna da 400 ZE j tinham sido recepcionados pelo sistema de totalizao antes da eleio ter tido incio. Houve dois processos judiciais decorrentes dessas constataes: um inqurito do Ministrio Publico e uma representao de Partido Poltico. Na primeira instncia, o juiz que tambm era o responsvel administrativo pelos procedimentos questionados, indeferiu os pedidos de percia e recusou-se a mandar lacrar os computadores utilizados, para preservar eventuais provas. Trs anos depois, na terceira instncia, foi reconhecida a necessidade de percia e o processo retornou primeira instncia, mas, nesse momento, os equipamentos j haviam sido modificados pelo uso em outras eleies e as provas estavam perdidas. Ambos processos se encerraram em 2009, sem julgamento final, por decurso de prazo devido a protelao dentro da prpria justia e administradora do sistema contestado. Nenhuma percia foi deferida e as eventuais provas pereceram, no sendo mais possvel a realizao de percia nos meios eletrnicos. Sobre o juiz-administrador que no preservou as provas, nada recaiu.

28

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

3.1.6

O Caso Campos do Goitacases, RJ Eleio Suplementar 2006

Essa eleio suplementar em Campos do Goitacases, RJ, foi realizada em maro de 2006 por anulao do pleito oficial de 2004. As dificuldades de fiscalizao, adiante descritas, so apresentadas pelo lado do candidato que venceu a eleio, desmentindo o refro generalizante de que as denncias contra as urnas eletrnicas so sempre fruto de choro de perdedor. Por interesse do candidato vencedor, foi montado um esquema de fiscalizao preventiva do processo eletrnico de votao desde seu princpio. No entanto, cada passo da fiscalizao, para ser realizado, enfrentou autoritarismo e resistncias nascidas dentro do corpo de membros da administrao eleitoral. As cerimnias de fiscalizao, obrigatrias, s foram marcadas depois de muita insistncia e uma foi negada. As irregularidades encontradas s foram corrigidas quando enfrentado o autoritarismo do agente responsvel. J de incio, a autoridade eleitoral descumpriu frontalmente o Artigo 66 da Lei 9.504/97 que manda apresentar, com antecedncia em cerimnia oficial, os programas de computador do sistema eleitoral aos partidos concorrentes, cerimnia esta que o CMTSE afirma ser umas das salvaguardas de segurana do sistema. O argumento usado para justificar tal ilegalidade revela um exerccio de autoritarismo desmedido. Alegou-se que tal artigo de lei s se aplicaria a eleies oficiais que ocorrem no ms de outubro dos anos eleitorais . Segundo essa interpretao da justia-administrao eleitoral, ela prpria, nas demais eleies complementares, estaria desobrigada dessa norma legal que , teoricamente, uma salvaguarda de segurana. Devido ao calendrio justo imposto pela mesma autoridade, no havia tempo suficiente ou mesmo rgo do poder judicirio capaz de rever a deciso. Sem alternativa adequada, o candidato teve que desconsiderar padres de segurana, e foi forado a participar de eleio eletrnica cujo software era totalmente secreto, embora seus resumos digitais fossem publicados para conferncia de integridade. O passo seguinte da fiscalizao, a conferncia das assinaturas no sistema gerador de mdias, foi dificultado por questes atinentes logstica e prazos. A cerimnia foi marcada, em cima da hora, na sede do TRE na capital estadual, forando a fiscalizao a idas e vindas, atravessando o Estado para acompanhar o trajeto das Flashs-de-Carga. De volta a Campos do Goitacases, a fiscalizao foi acompanhar as sete cerimnias de carga e lacrao das urnas, que ocorriam em sequncia durante 3 dias. Constatada a regularidade das assinaturas dos programas das urnas eletrnicas, passou-se conferencia dos dados dos candidatos concorrentes ao pleito. Verificou-se a ausncia do nome de um deles no arquivo de candidatos. O candidato, cujo nome no constava no arquivo de candidatos, estava em terceiro lugar nas pesquisas prvias e os votos que lhe fossem dados seriam anulados, afetando sobremaneira a quantidade de votos vlidos, podendo resultar na vitria irregular de um dos candidatos em primeiro turno.

Comit Multidisciplinar Independente

29

Para surpresa dos fiscais dos partidos, informada do fato, a Juza eleitoral e chefe administrativa da cerimnia de carga mandou prosseguir os trabalhos de lacrao das urnas, ignorando os protestos dos partidos presentes no local. Somente quando estes exigiram que a deciso de manter a irregularidade constasse em ata, a administradorachefe mandou suspender a sesso e regularizar a situao. Outra travessia do Estado foi necessria para acompanhar a nova gerao de mdias e nova carga das urnas, mas, quando da conferncia, verificou-se a ausncia do nome do vice do mesmo candidato ausente na fase anterior. Essa ausncia tinha o mesmo potencial de antecipar a eleio irregular em primeiro turmo de um candidato. Premido pelo tempo, finalmente o administrador eleitoral teve o bom senso de realizar a terceira cerimnia de gerao de mdias na prpria cidade de Campos e a carga e lacrao das urnas pde se encerrar. A cerimnia oficial obrigatria seguinte, chamada de Oficializao do Totalizador, no foi marcada pela autoridade eleitoral local. Levou horas de tratativas, para convencimento dos servidores eleitorais, de que havia necessidade de conferncia das assinaturas digitais dos programas instalados nos computadores de totalizao antes da oficializao do sistema. Aberta a cerimnia, encontrou-se um programa instalado no sistema de totalizao cujo resumo digital diferia da tabela obtida, a duras penas, no TSE. Alertada a servidora do TRE/RJ, que chefiava os trabalhos, sobre a irregularidade, sua explicao que seria um fato normal, insignificante e que a oficializao do totalizador poderia ser completada. Novamente, somente quando os fiscais presentes exigiram constar em ata a irregularidade encontrada, a cerimnia foi suspensa para reinstalao do sistema de totalizao e, no dia seguinte com a votao j em andamento, nova oficializao pde ser feita com todas as assinaturas digitais dos programas de totalizao coincidindo com a tabela do TSE. As tentativas das autoridades eleitorais locais, apoiadas em juzes, para dar continuidade aos preparativos oficiais mesmo diante de irregularidades constatadas e sua retrao quando exigido que os fatos fossem registrados em ata, so mais exemplos de como o acmulo de poderes no processo eleitoral brasileiro facilita o autoritarismo a ponto de inibir e at tornar incua a fiscalizao pelos partidos. O CMTSE, no entanto, por no ter ido a campo e apenas ter como consultores os tcnicos do TSE, no constatou essa realidade em seu relatrio.

30

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

3.1.7

O Caso Alagoas - 2006

A eleio para governador de Alagoas em 2006 teve o resultado questionado pelo candidato que ficou em segundo lugar, uma vez que ele entendia que os resultados potenciais apontados pelas as pesquisas eleitorais prvias foram flagrantemente contrariados, at mesmo em seus redutos eleitorais. Para avaliar a confiabilidade do resultado eleitoral foi promovida uma anlise do Arquivos Digitais de Auditoria das urnas eletrnicas. Resume-se a seguir o desdobramento tcnico e jurdico desse caso, cujo detalhamento46 e exemplos pode ser acompanhado em pgina no stio do Frum do Voto Eletrnico na Internet. Na primeira semana aps a eleio, para cumprir os prazos legais, foi desenvolvido um relatrio preliminar47 que detectou corrupo nos Arquivos LOG em mais de 2,5% das urnas eletrnicas utilizadas, colocando sob suspeio o resultado da votao e apurao nessas urnas. Entre a diversidade de lanamentos imprprios encontrados nos arquivos LOG de Alagoas 2006, havia o seguinte: Mudana do nmero do municpio da urna, depois de carregada e lacrada. Mudana do nmero da prpria urna, depois de carregada e lacrada. Registro de eventos inexistentes como cdigo para uso futuro. Omisso de eventos reais ocorridos. Sequncia de substituio de urnas com ordenao irregular.

Um processo judicial foi aberto propondo o desenvolvimento de percias para determinar o comprometimento do resultado, em vista do comprovado funcionamento irregular das urnas eletrnicas. A Secretaria de Tecnologia de Informao (STI/TSE), chamada a se manifestar na pessoa do coordenador do CMTSE, confirmou a ocorrncia de arquivos de LOG que j apresentavam perda de integridade, parcial ou total, quando gerados nas urnas eletrnicas, mas afirmava, mesmo sem ter apresentado nenhuma anlise dos arquivos RDV (de votos digitais) e dos arquivos BU (de resultados), que a perda da integridade dos Arquivos de Auditoria no teria atingido os resultados. Impedindo que sua afirmao pudesse ser verificada, a Secretaria de Tecnologia de Informao do TSE, atravs da Informao n 90/2006-ASPLAN/STI, de dezembro de 2006, negou o acesso dos auditores externos aos arquivos RDV para que sua integridade pudesse ser constatada ou no. Para manter os dados de auditoria do resultado distantes dos olhos dos auditores, a STI/TSE enfrentou at ordem do juiz-corregedor do TRE-AL e se negou a decifrar os arquivos para serem entregues aos requerentes. Um segundo relatrio48 dos auditores externos49, elaborado com mais profundidade e apresentado dois meses depois do primeiro, demonstrou que as explicaes do relatrio STI/TSE sobre os motivos da perda de integridade dos dados de controle eram insuficientes, apontando ainda o seguinte:
46 Ver em: http://www.votoseguro.org/textos/alagoas1.htm 47 Carvalho, M.A.M. et al. - Laudo de Avaliao dos Dados Oficiais da Eleio de Alagoas 2006 . Alagoas: outubro de 2006 http://www.votoseguro.org/arquivos/AL06-laudoBCC.zip 48 Fernandes, C.T. - Radiografia das Urnas Eleitorais. S. J. dos Campos: ITA, dezembro de 2006 http://www.votoseguro.org/arquivos/AL06-laudoFerITA.zip 49 Todos os autores dos dois relatrios externos do Caso Alagoas 2006 so membros deste CMind.

Comit Multidisciplinar Independente

31

Havia 13 tipos diferentes de irregularidades nos arquivos LOG, que atingiram 2282 (44%) das 5166 urnas utilizadas. Mais de 25% dos arquivos LOG deixaram de registrar o evento de auto-teste, obrigatrio segundo a regulamentao. Havia uma diferena superior a 22 mil entre o total de votos vlidos para o pleito de governador registrados nos arquivos LOG e os registrados nos arquivos BU.

Para ilustrar e reforar a tese de falta de confiabilidade dos resultados dessas urnas eletrnicas utilizadas em Alagoas, foi apresentado o exemplo a seguir, de arquivo LOG que estava mesclado com o arquivo BU :
trecho inicial (1024 caracteres) do Arquivo LOG de nome 10x48sdk.rl1 da seo eleitoral 0139 da Zona Eleitoral 0035 do municpio de Senador Teotnio Vilela, AL
__________________________________________ Total de votos de Legenda Brancos Nulos Total Apurado Cdigo Verificador: 25054 ====================================== SENADOR(A) Nome do candidato RONALDO LESSA GALBA NOVAES NON COLLOR OTAVIO CABRAL Nro cand Votos 123 222 251 288 500 0065 0001 0006 0132 0001 : : : : 0022 0003 0008 0241

-------------------------------------Total de votos Nominais : 0205 Brancos : 0005 Nulos : 0031 Total Apurado : 0241 Cdigo Verificador: 41574 ====================================== GOVERNADOR(A) Nome do candidato LENILDA LIMA JOO LYRA ELIAS BARROS ANDRE PAIVA TEOTONIO VILELA FILHO Nro cand Votos 13 14 19 28 45 0005 0043 0001 0003 0167

Esse texto acima no o contedo de um arquivo LOG normal. um trecho do Espelho do Boletim de Urna da prpria seo eleitoral, que est seguido de registros de log com perda de integridade frequente e at com inverso da ordem cronolgica dos eventos.

32

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Est evidente que, nesse caso, o mau funcionamento do programa na urna provocou uma fuso do arquivo LOG com o arquivo BU, normalmente independentes, revelando que tambm os procedimentos de apurao dos resultados foram atingidos pela impropriedade no processamento dos dados ou, como concluiu o prof. Clovis Fernandes, autor do segundo relatrio do Caso Alagoas 2006 : No possvel afirmar que no tenha havido perda de integridade do RDV . Porm, mesmo diante das evidncias, no lugar de providenciar uma profunda auditoria a ser realizada de forma independente dos administradores do sistema, como ocorreu no caso das eleies em 2006 no Estado de Ohio nos EUA 50, a autoridade eleitoral brasileira, que ao mesmo tempo responsvel administrativa pelo sistema questionado e juiz nos recursos contra ele, inviabilizou uma percia independente com as seguintes decises: Decretou arbitrariamente que apenas os arquivos RDV, e no os arquivos LOG, devem ser usados para contar a quantidade de votos vlidos, embora essa informao esteja registrada e disponvel nos dois arquivos e que no poderia haver diferena entre os totais obtidos nos dois arquivos. Simultaneamente, negou acesso aos arquivos RDV pelos assistentes tcnicos do requerente. Transferiu para o requerente a cobrana antecipada de R$ 2 milhes para que fosse desenvolvida uma percia nas urnas eletrnicas. Diante do no pagamento desse de valor, proibitivo para qualquer candidato em todo o Brasil, o requerente foi multado e condenado por litigncia de m-f, mesmo tendo apresentado provas materiais inquestionveis do mau funcionamento das urnas. A percia sobre as urnas no foi permitida.

Desse conjunto de medidas autoritrias, os dois primeiros itens foram viabilizados a partir de ativa participao do coordenador do CMTSE. Diante de todos esses aspectos tcnicos e jurdicos, os membros deste CMind acompanham a concluso do prof. Clovis Fernandes, apresentada em audincia pblica na Assembleia Legislativa de So Paulo no dia 01 de junho de 2009, a saber: Com base na anlise dos resultados do pleito de governador de Alagoas 2006 e na atitude do TSE no d para provar que houve fraude! Nem que no houve fraude! Motivo: a urna eletrnica brasileira no auditvel! Enfatiza-se que a inauditabilidade da urna brasileira decorrente tanto da ao da STI/TSE na esfera judicial e administrativa, quanto da estrutura e tcnica de programao temerria utilizada na urna pela STI/TSE. Para eleies do tipo brasileiro, que conta com muitos pleitos, no possvel tornar uma mquina DRE auditvel. Ou seja, no se pode garantir com tcnicas puramente computacionais que o voto dado pelo eleitor na urna foi registrado mesmo para o candidato de sua escolha e faz parte da totalizao. Por causa disso, em qualquer eleio que se fizer uso deste modelo de urna eletrnica brasileira, ser impossvel provar que nela houve ou no fraude.
50 Ver comparao entre os casos Alagoas e Ohio em: http://www.votoseguro.org/textos/alagoas1.htm#4o

Comit Multidisciplinar Independente

33

3.1.8

O Caso Maranho 2006

Nesse Estado, tambm foi feita fiscalizao preventiva do processo, nos dois turnos para governador, e as denuncias a seguir so apresentadas pelo lado vencedor da eleio, desmentindo o refro generalizante de que as denncias contra as urnas eletrnicas so sempre fruto de choro de perdedor. 1 TURNO O primeiro fato importante aconteceu na cerimnia de oficializao dos programas de totalizao para o 1 turno das eleies. Naquele ato seriam conferidas as assinaturas digitais dos programas instalados nos computadores do TREMA. Foram preparados quatro computadores para essa ocasio. Trs deles, que ficavam na parte de baixo de um palanque, recepcionariam os arquivos BU vindos das Zonas Eleitorais e repassariam os dados para o quarto computador, que serviria ao Presidente do Tribunal e totalizava os demais. Este ficava sob os holofotes da imprensa e, por isso, num patamar superior. No dia de Cerimnia de Oficializao dos programas, em que estavam presentes muitas autoridades e com macia cobertura do imprensa local, um partido conferiu as assinaturas digitais no quarto computador, usado pelo Desembargador Presidente do Tribunal, onde se constatou a regularidade dos dados. Ato contnuo, o fiscal pediu, ento, para conferir os dados dos outros trs computadores, recebendo a resposta de que no havia necessidade, porque os programas estariam interligados. O fiscal insistiu e, como no aceitou os argumentos de servidor do TRE, pde conferir os demais dados. Dois dos computadores estavam em situao regular, mas em um deles as assinaturas no correspondiam s dos programas oficiais. Muitas explicaes foram apresentadas, inclusive que se poderia ir totalizao sem problemas, mas nenhuma delas foi capaz de demover o fiscal, que exigiu a regularizao por reinstalao dos sistemas. Aps novas conferncias, foi solicitada a lacrao dos computadores, somente utilizados aps as 17 horas do dia da eleio. 2 TURNO Nessa etapa, verificou-se que o TRE-MA iria realizar uma atualizao por recarga dos programas em 3% das urnas no dia da votao , posto que algumas delas, no ato da carga, acusavam ocorrncia de um erro designado como G-200. Esse erro teria ocorrido pelo desligamento antecipado de algumas urnas, no 1 turno, por mesrios que no aguardaram o momento certo para o encerramento. Como a nova carga recebida pela urna poderia camuflar eventuais problemas anteriores requereu-se permisso ao Tribunal para se verificar o arquivo LOG de uma das urnas que estariam nessa situao. Aceito o requerimento pelo Tribunal, foi escolhida uma seo em cuja Ata de Cerimnia de Carga constava uma urna com o erro G-200. Realizada a anlise do arquivo LOG, no constava qualquer problema com o encerramento da urna em 1 Turno, e a carga para o 2 Turno estava regular, no necessitando de qualquer atualizao.

34

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Ademais, verificou-se que o programa que seria utilizado para a atualizao do software no inseria nenhum registro no arquivo LOG da urna depois de utilizado. Questionando os tcnicos do TRE-MA, viu-se que no tinham conhecimento do problema e iam apenas obedecer ordem superiores, o que causou imenso receio e preocupao. A informao foi levada ao Ministrio Pblico, OAB e ao prprio Tribunal, a quem os candidatos requereram a no utilizao de qualquer procedimento extra nas urnas no dia da votao. Ressalte-se que as medidas preventivas foram possveis, mesmo contra a disposio de alguns operadores, graas permisso do Presidente do Tribunal Regional Eleitoral do Maranho, o que resultou em nenhum questionamento tcnico posterior ao pleito. 3.1.9 O Caso Itaja, SC 2008

Nas eleies municipais de 2008 em Itaja, Santa Catarina, constatou-se uma burla intencional, como se descreve a seguir, na cerimnia de carga e lacrao das urnas, cerimnia esta que na Subseo 2.1.3 do Relatrio CMTSE classificada como uma das salvaguardas de segurana dos sistemas. Conforme Art. 32 da Resoluo TSE 22.712/2008: Art. 32. No perodo que abrange o procedimento de carga e lacrao, dever ser realizado teste de votao acionado pelo aplicativo de Verificao PrPs em pelo menos uma urna por zona eleitoral, observado o mnimo de uma urna por municpio. O municpio de Itaja coberto pelas 16 e 97 Zonas Eleitorais de Santa Catarina, sendo que a 16 ZE tambm engloba as sees eleitorais do municpio vizinho de Navegantes. Na eleio de 2008, os juzes-administradores dessas duas Zonas Eleitorais decidiram fazer a carga das urnas numa nica cerimnia conjunta. Na Ata da Cerimnia de Preparao e Lacrao das urnas das 16 e 97 Zonas Eleitorais, aberta no dia 22 de setembro de 2008, consta o seguinte: Foi realizado o teste de votao a que se refere o art. 32 da Resoluo TSE n 22.712/2008 nas urnas das sees 236 (97 ZE Itaja) e 451 (16 ZE Navegantes), obtendo-se o resultado constante do boletim de urna anexo, que passa a integrar a presente ata, sendo tais urnas submetidas a nova carga. Nota-se, de imediato, que nenhuma urna eletrnica de Itaja da 16 ZE foi sorteada para teste. J na 97 ZE, a urna da seo 236, sorteada para o teste obrigatrio e estando ento carregada e lacrada, na hora do teste foi substituda por outra preparada exclusivamente para o teste e que depois foi colocada parte. Os dados impressos anexados ata e os dados constantes nos Arquivos Digitais de Auditoria da respectiva urna, mais especificamente, as tabelas de correspondncias e o arquivo LOG, comprovam de forma inequvoca a ocorrncia dessa burla que trocou a urna oficial a ser testada por outra preparada apenas para o teste, fraudando o procedimento de segurana que o CMTSE reputa como salvaguarda.

Comit Multidisciplinar Independente

35

A Zersima e no Boletim de Urna impressos anexados ata, produzidos pela urna testada como sendo da seo 236 da 97 ZE , apresentaram os seguintes dados:
Eleio de 23/09/2008 Hora do teste: 14:39:25 Municpio : 81612 ITAJA Zona Eleitoral: 0097 Seo Eleitoral: 0236 Cdigo de Identificao da urna : 00852034 Resumo da Correspondncia : 902.000

De forma contraditria, no Comprovante de Carga da urna da seo 236 da 97 ZE, levada para a votao, e tambm constante da ata, est registrado o seguinte:
Municpio : 81612 Zona Eleitoral: 0097 Seo Eleitoral: 0236 Cdigo de Identificao da urna : 00842748 Cdigo de identificao de Carga : 592.799.644.230.781.622.007.290 Resumo da Correspondncia : 007.290 (os ltimos seis dgitos do cdigo acima) Flash de Carga: 88D2D957 Data da Carga: 22/09/2008 Hora da Carga: 18:35:30

Existe diferena no cdigo de identificao da urna e no resumo da correspondncia (ou cdigo de identificao da carga) comprovando de forma absoluta que a urna que foi carregada, lacrada e levada a votao na seo 236 no a mesma que foi levada ao teste de votao simulada. Os demais arquivos de auditoria, como a tabela de correspondncia e o arquivo LOG, confirmam que a urna levada a votao foi a de n 00 842748 e no a testada, que tinha o n 00852034. Ressalte-se, ademais, que o arquivo LOG da urna 00842748, levada para a votao real, no registra a ocorrncia do nenhum teste de votao e tambm no registra a ocorrncia de uma nova carga de urna no dia 23 de setembro de 2008. Em sntese, foi intencionalmente falsificado o teste de integridade dos programas utilizados no municpio de Itaja para as eleies de 2008, prescrito no art. 32 da Res. TSE 22.712/08, consubstanciado nos seguintes procedimentos: Da 16 ZE no foi sorteada nenhuma urna de Itaja para ser testada. Da 97 ZE foi sorteada a urna da seo 236 para passar pelo teste. Essa urna, registrada sob n 842748, tinha sido carregada em 22/09/2008 com o flash de carga 88D2D957, e gerou um Boletim de Urna aceito na Totalizao. O arquivo LOG dessa urna no registra ter sido testada ou recebida nova carga, ao contrrio do dito na Ata da Cerimnia de Carga e Lacrao. A urna que passou pelo teste oficial, registrada sob n 852034, foi carregada no dia 23/09/2008, depois do sorteio, momentos antes de ser testada. Essa urna usada no falso teste foi em seguida recarregada como urna de contingncia, com o flash de carga F084DF12, destruindo-se todas eventuais provas nela gravadas.

36

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Simplificando para um melhor entendimento: sortearam uma urna para o teste obrigatrio mas, nesse momento, houve a troca desta urna, que j estava preparada, por outra urna que s foi preparada para passar pelo teste e depois posta parte. Portanto, o Boletim de Urna e a Zersima da seo 236 da 97 ZE, anexados ata da Cerimnia de Preparao e Lacrao das Urnas eram falsos , uma vez que a urna real, previamente preparada e levada para a votao real foi intencionalmente excluda do teste obrigatrio. Assim, com a omisso em testar urnas da 16 ZE e com a falsificao do teste da urna da 97 ZE, ao final: NENHUMA URNA PREPARADA PARA VOTAO EM ITAJAI PASSOU PELO TESTE OBRIGATRIO prescrito pelo Art. 32 da Res. TSE 22.712/08. Nenhum dos Flash de Carga que carregou as urnas de Itaja foi testado quanto sua integridade. Foram utilizados mdias diferentes para carregar as urnas levadas votao e para realizar o teste de integridade. As condies complementares presentes nessa troca de urnas testadas, como o fato da urna real estar pronta para o teste desde o dia anterior e posteriormente ter sido levada votao, afastam a possibilidade de erro, indicando a intencionalidade de burla do teste.

A ao jurdica, denunciando essa fraude interna contra salvaguarda de segurana, no teve seu mrito avaliado pela autoridade eleitoral. Na primeira instncia, foi indeferida pelo juiz que tambm era responsvel administrativo pela cerimnia onde a burla ocorreu, sob argumento escapista de que as impugnaes contra os procedimentos da cerimnia s poderiam ser apresentados dentro da prpria cerimnia, desconsiderando o fato de que a irregularidade s pde ser detectada pelos fiscais dos partidos depois de terem recebidos os arquivos LOG para anlise, o que s ocorre aps a eleio. Na segunda instncia, tambm se evitou a avaliao de mrito sob a alegao de intempestividade do pedido que, segundo eles, teria prazos diferentes dos regulados pelo Art. 184 do Cdigo do Processo Civil. Deve-se salientar, ainda, que na poca do descobrimento dessa fraude, em outubro de 2008, o assunto foi levado a conhecimento e discusso com os tcnicos da STI/TSE, posteriormente escolhidos para assessores pelo CMTSE. Dessa forma, no se justifica que na Subseo 2.1.3 do Relatrio CMTSE a cerimnia de carga e lacrao das urnas seja apresentada de forma sucinta como uma das salvaguardas de segurana do sistema eleitoral sem se apresentarem ressalvas quanto sua eficcia. Torna-se este, mais um indicativo a apontar a incapacidade do CMTSE em criticar o sistema oficial, reforando a impresso de sua parcialidade.

Comit Multidisciplinar Independente

37

3.1.10

Diferenas no cdigo-fonte 2008

At 2006, o programa de votao das urnas eletrnicas, aps a confirmao final do voto pelo eleitor, procedia a seguinte sequncia de eventos: 1) 2) 3) 4) Somava um voto ao candidato votado e gravava no arquivo BU. Gravava o voto no arquivo RDV. Marcava o eleitor como tendo votado no arquivo de eleitores. Registrava o evento voto computado no arquivo LOG.

Na prtica, no entanto, ocorriam alteraes quando, por qualquer motivo, a urna eletrnica desligava no meio deste processo podendo resultar que parte desses arquivos j estivessem atualizados com o novo voto e outra parte ainda no. Isso resultava em diferenas entre os totais de votos registrados em cada um desses quatro arquivos, como foi detectado e descrito no relatrio 51 de anlise dos dados das urnas usadas na eleio em Alagoas 2006, pelo Prof. Clovis Torres Fernandes, coautor desta Rplica. Para atenuar esse problema, em 2008, o TSE mudou a rotina e parou de calcular o BU a cada voto confirmado. Moveu-se esse procedimento para o final da votao, calculando o arquivo BU somente depois de gravados todos votos no arquivo RDV. Esperava-se que, pelo menos entre estes dois arquivos, deixariam de existir diferenas, difceis de explicar, na quantidade total de votos. No dia 11 de setembro de 2008, vspera da primeira compilao oficial dos sistemas, os fiscais de dois partidos, tambm coautores desta rplica, analisando essas rotinas encontraram uma incoerncia numa comparao (comando if) entre a quantidade de eleitores que votaram e a quantidade de votos no arquivo RDV. Pedindo esclarecimentos aos programadores do TSE, foram informados, no ltimo dia da apresentao dos sistemas, que tal incoerncia j tinha sido excluda dos cdigo-fonte que estavam sendo compilados. Esse acontecido comprova que havia diferenas entre o cdigo-fonte apresentado para anlise aos partidos e o que de fato era usado na compilao dos sistemas; nesse caso, essa absurda impropriedade foi descoberta por mero acaso. Os representantes dos partidos no tm como saber quantas outras diferenas existiam, mas tm fortes motivos para supor que eram muitas diante da recusa do TSE de apresentar a lista de alteraes feitas - mais de uma centena segundo um dos programadores do TSE - em funo dos relatrios secretos citados no Anexo 1. por demais bvio, mesmo para leigos, que a existncia de diferenas entre o cdigo apresentado para anlise dos auditores e fiscais externos e o usado de fato nas urnas, quebra toda a segurana pretendida com uma cerimnia oficial de apresentao, compilao e lacrao dos sistemas.
51 Fernandes, C.T. - Radiografia das Urnas Eleitorais. S. J. dos Campos: ITA, dezembro de 2006 http://www.votoseguro.org/arquivos/AL06-laudoFerITA.zip

38

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Alm da impropriedade tcnica, ocorreu ainda ato autoritrio do administrador eleitoral ao se recusar incluir na ata da cerimnia, citao a esse problema . Um pedido formal apresentado por partido poltico Secretaria de Tecnologia de Informao do TSE, em 12 de setembro de 2008, foi ignorado e jamais respondido. A ata no registrou o caso. Mas o CMTSE, por apenas ter colhido informaes sobre a cerimnia com os prprios tcnicos do TSE, deixando de ouvir os fiscais externos presentes, no detectou essas impropriedades e autoritarismo e apresentou como salvaguarda um processo frgil e com segurana totalmente comprometida. Destaque-se, ainda, que alm dessa impropriedade na apresentao dos sistemas, a modificao da rotina de clculo do BU para evitar divergncias entre os totais de votos e de eleitores, no resolveu o problema em sua totalidade. Em seis urnas eletrnicas de modelo 2008 usadas em cidades do interior de Alagoas na eleio de 2008, onde os respectivos Arquivos LOG registravam desligamento imprevisto da urna eletrnica, um fiscal de partido verificou que em quatro delas havia divergncia entre a quantidade de eleitores ausentes segundo o arquivo BU e a quantidade de comprovantes de votao no assinados na Folha de Votao das respectivas sees eleitorais. Essas diferenas no foram encontradas em dez outras sees analisadas cujas urnas no haviam sido desligadas durante a votao, mostrando que ainda pode ocorrer erros na gravao dos arquivos RDV de onde se geram os arquivos BU. Essa dificuldade do administrador eleitoral para conciliar os Arquivos Digitais de Auditoria entre si e entre os registros em papel, pode estar na raiz da forte repulsa de seus membros contra a ideia de auditoria independente do software (vide Seo 3.3 desta Rplica) por meio da recontagem do voto impresso confervel pelo eleitor. Os tcnicos da administrao eleitoral aparentam temer que potenciais erros na apurao eletrnica, gerados por falhas e que hoje passam despercebidos, comecem a ser detectados provocando inevitvel desconfiana no processo eletrnico de votao.

3.1.11

O Travamento de Urnas Eletrnicas - 2008

A urnas eletrnicas modelo 1998, entregues pela fabricante Procomp ao TSE, continham um lote de 90 mil cartes de memria (flash-cards) de marca Hitachi com defeito no seu firmware52 de verso 5.1.1, que causava erro de gravao nos dados quando solicitada gravao de mltiplos setores. Naquela ocasio, diante da premncia de apresentar modelos funcionais, a Procomp solicitou Microbase - empresa de software produtora do sistema operacional VirtuOS das urnas - que criasse um remendo ( patch) em seu gerenciador de memria (driver de bloco) para substituir a gravao de mltiplos setores pela mltipla gravao de um setor, como soluo provisria at que os flash-cards defeituosos fossem substitudos. O remendo no sistema operacional foi criado.
52 Firmware - software fixo gravado internamente em chips de memria no voltil, que no se apaga ao desligar.

Comit Multidisciplinar Independente

39

Porm, a Procomp posteriormente optou por tomar essa soluo como definitiva e decidiu o seguinte: 1) No substituiu os flash-cards defeituosos, entregando-os assim mesmo ao TSE. 2) No comunicou o defeito nos cartes e nem o remendo no sistema operacional. Todos esses eventos foram descritos em audincia pblica53 pelo Eng. Frederico Gregrio, Diretor Tcnico da Microbase, perante a CCJC da Cmara dos Deputados no dia 25 de novembro de 2008. O depoente era o autor (terceirizado) da adaptao do software que depois o fornecedor da urna optou por esconder do TSE. Para a eleio de 2008, visando padronizar o software de todos os seis modelos de urnas eletrnicas, o TSE adotou o Linux54, de cdigo aberto, como sistema operacional. Por desconhecer o defeito dos 90 mil flash-cards instalados nas urnas modelo 98, os programadores do TSE no cuidaram de criar similar patch para substituir a gravao de mltiplos setores por mltipla gravao de um setor. Agravando esta situao, uma vez que o processo de desenvolvimento do software eleitoral continua imaturo como denunciado em 2002 no Relatrio COPPE 55 (vide Subseo 4.2.1 desta Rplica), inexiste roteiro de testes exaustivos para o software e o hardware, de forma que a incompatibilidade do software de 2008 com os cartes Hitachi de 1998, defeituosos, no foi detectada at o final da cerimnia de lacrao dos sistemas no TSE em 15 de setembro de 2008. No Maranho, poucos dias antes do incio das eleies, foi desenvolvida uma interveno em massa por tcnicos da Diebold-Procomp a fim de trocar Cartes de Memrias com o referido defeito. No dia da eleio de 1 turno de 2008, as milhares de urnas que ainda estavam equipadas com flash-cards Hitachi com firmware verso 5.1.1 travavam e necessitavam ser substitudas. Isso provocou muito atraso na votao nas cidades de Belm, Goinia, Recife e seus arredores, onde a troca dos flash-cards ou das urnas atingiu o ndice alarmante de 30%. Devido ao volume de intervenes e falta de material, sees eleitorais tiveram a votao interrompida at as 14:30 h e a votao foi para alm das 21 h. Sob emergncia, at helicpteros foram contratados no dia da eleio para transportar novos flash-cards para essas cidades. Foi justamente a ocorrncia desse problema, no Estado do Par, que despertou a ateno do candidato a deputado federal Gerson Peres, como declarou na abertura das audincias pblicas que convocou em novembro de 2008 na CCJC da Cmara dos Deputados, para obter esclarecimentos sobre a confiabilidade das urnas eletrnicas e que, ao final, gerou o Relatrio CCJC 2008. A anlise desse caso, que exemplo da anunciada imaturidade do processo de desenvolvimento do software do sistema eleitoral, foi ignorada no Relatrio CMTSE onde tal processo apresentado como salvaguarda de segurana.
53 Ver apresentao em: http://www.votoseguro.org/arquivos/Hitachi-UE98.pdf 54 Ver nota do TSE em: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=966324 55 Rocha, A.R.C. Et al. Relatrio de Avaliao do Software TSE realizada pela Fundao COPPETEC . Braslia: COPPE/UFRJ, 09/08/2002 - http://www.angelfire.com/journal2/tatawilson/coppe-tse.pdf ver resumo em: http://www.votoseguro.org/textos/relcoppetec1.htm

40

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

3.2

Dificuldades de Fiscalizao pela OAB - Descrio dos Casos

A Lei n 10.740, de 1 de outubro de 2003, ao revogar a impresso do voto que havia sido determinada em lei anterior, em contrapartida optou por instituir como forma de fiscalizao o acompanhamento das fases de especificao e de desenvolvimento de todos os programas de computador de propriedade do Tribunal Superior Eleitoral, desenvolvidos por ele ou sob sua encomenda, utilizados nas urnas eletrnicas para os processos de votao, apurao e totalizao. Na mesma Lei, atribuiu-se essa prerrogativa no apenas aos Partidos Polticos, mas tambm Ordem dos Advogados do Brasil OAB - e ao Ministrio Pblico MP -. E os programas executveis usados na eleio, inclusive os que rodam na prpria urna, poderiam receber assinaturas digitais dessas entidades. Este fato muito explorado nas notas imprensa56 do TSE, comportamento esse repetido no Relatrio CMTSE nas Subsees 2.1.2 e 2.1.3 e no Item 1 da Seo 2.2, sempre se apresentando as participaes destas entidades como avalistas da confiabilidade do processo eleitoral eletrnico brasileiro. Mas a realidade diferente. Nesta seo, baseando-se nas observaes e experincias dos advogados membros do CMind que j acompanharam o desenvolvimento dos sistemas junto ao TSE, representando Partidos Polticos ou a prpria OAB, so descritas as dificuldades encontradas por esta entidade em auditar o sistema eleitoral brasileiro, a ponto de se poder dizer que tal tarefa foi, na prtica, ineficaz. 3.2.1 2004 A Tentativa de Fiscalizao Correta

Em 2004, primeira eleio em que a OAB desempenhou essa funo, foram indicados para participar dessa atividade dois advogados, ento integrantes da Comisso de Tecnologia da Informao do seu Conselho Federal, e dois profissionais da rea tcnica que trabalhavam no Departamento de Informtica da instituio. Embora o TSE tenha desde logo divulgado57 que a OAB, assim como o Ministrio Pblico, estavam sendo agregados a essa tarefa fiscalizatria, o que possivelmente emprestava uma maior sensao de lisura ao sistema eletrnico de votao, na realidade tratou-se de uma fiscalizao bastante limitada, em razo de fatores variados. Uma primeira dificuldade foi financeira e estrutural: a entidade no dispunha de recursos materiais e humanos para desempenhar uma tarefa que, no correr dos trabalhos, mostrou-se herclea e dispendiosa. Logo de incio, foi necessria a contratao de uma empresa de desenvolvimento de software, que pudesse, em curto espao de tempo, produzir programas de computador para assinar digitalmente e conferir tais assinaturas, tudo segundo as estritas especificaes ditadas pelo TSE.
56 Ver, por exemplo, notcias do TSE em: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=13277 http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=13441 http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=14514 http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1099482 http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1117456 57 Ver notcia do TSE em: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=13266

Comit Multidisciplinar Independente

41

A prestao desse servio custou alguns milhares de reais entidade, que no recebe verbas pblicas e custeada pelas contribuies pagas pelos advogados inscritos em seus quadros. A etapa de validao do software desenvolvido inclua reunies no TSE, visitas sala onde o exame dos programas era realizado, ou o comparecimento s sesses finais em que os programas eram digitalmente assinados e demandava outros gastos mais, com o passagens areas e estadia de seus representantes, que eram baseados fora de Braslia. Ao fim de tudo isso, assinados digitalmente os programas, mostrou-se impossvel de ser seriamente cumprida, no plano nacional, a tarefa que se seguia: a certificao dos programas instalados nos computadores e urnas eletrnicas. Para tanto, seria necessrio gerar disquetes com o programa de conferncia das assinaturas digitais o que representava mais um gasto, ainda que desta vez mais mdico e distribuir essas mdias entre possveis fiscais da entidade, nas diversas unidades da Federao. Conquanto o Conselho Federal tenha solicitado a cooperao das Seccionais da OAB, no nos consta que a conferncia tenha sido feita seno em Minas Gerais e So Paulo. Em Minas Gerais, como o TRE local optou por fazer a carga das urnas centralizada em Belo Horizonte, ainda foi possvel fazer-se a conferncia de cerca de vinte urnas, numa amostragem quase simblica, dada a dimenso daquele Estado. Em So Paulo, diferentemente, a carga das urnas foi feita em pontos variados do Estado, o que exigiu uma mobilizao s pressas da OAB-SP, no sentido de recrutar em seus quadros de bacharis em Direito, possveis fiscais habilitados para realizar a conferncia das assinaturas digitais. Gravaram-se disquetes, que foram enviados para cada uma das Subsees espalhadas por esse Estado - em torno de duzentas - juntamente com uma solicitao ao seu Presidente local para que desempenhasse a tarefa. Esse esforo da OAB-SP desnudou uma outra dificuldade: a capacitao dos representantes, no versados em assuntos tecnolgicos, tornava aquela certificao difcil e aparentemente incua. Pareceu evidente que, no entendendo os meandros daquilo que est sendo fiscalizado, uma pessoa sem conhecimentos tcnicos no seria capaz de identificar qualquer tipo de falha ou problema (como os descritos na Subseo 3.1.4 e no Anexo 4), caso viesse a presenciar a ocorrncia de algum. No mais do que uma dezena de representantes compareceram para conferir as assinaturas das urnas, em nome da OAB-SP. No h notcia de que a fiscalizao da OAB tenha sido realizada noutros estados da Federao, no ano de 2004. Mas, alm disso, outra dificuldade decorria das prprias condies em que o acompanhamento era efetuado. Na etapa de validao, foi permitido um acesso bastante mitigado ao cdigo-fonte dos programas: no era possvel analis-los com independncia. O acompanhamento, no caso, restringia-se a poder ler os cdigos-fontes na tela dos computadores do prprio TSE, em uma sala de acesso restrito aos fiscais indicados pelos Partidos, OAB e MP. A OAB enviou, por vrios dias, seu gerente de informtica sala restrita do TSE; mas tudo que lhe era possvel fiscalizar resumia-se a ver, nos monitores, os cdigos-fonte de cerca de 4.000 arquivos.

42

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Poder ler o cdigo-fonte de um sistema no , por si s, uma auditoria ou validao tcnica. Para se validar um cdigo-fonte corretamente seria necessrio ter total acesso a ele, de modo que seja possvel testar, simular, inserir alteraes e recompilar para verificar as consequncias de situaes no previstas. Esse cdigo-fonte, que, nas condies dadas, j no pde ser minuciosamente conferido, foi compilado isto , vertido para cdigo executvel final - nos computadores do TSE, sem que qualquer auditoria pudesse ser feita sobre os mesmos. Fazendo-se resumo crtico, no h como se ter certeza de que o cdigo-fonte visto, que j no foi adequadamente examinado, seria o mesmo que estava sendo compilado (vide caso descrito na Subseo 3.1.10 desta Rplica). Os programas executveis que foram digitalmente assinados pela OAB, MP e Partidos, foram os que resultaram dessa operao, em si repleta de pontos de interrogao. 3.2.2 2006 e 2008 O Abandono da Fiscalizao Efetiva

J nas eleies seguintes, 2006 e 2008, dadas as dificuldades vividas em 2004, optou-se por um acompanhamento mnimo, eliminando-se despesas. A experincia de 2004 demonstrara que o acompanhamento envolvia uma relao custo/benefcio desbalanceada: pode-se dizer que os custos da entidade mais o tempo dedicado voluntariamente pelos seus representantes no compensava o pouco benefcio que tal tipo de fiscalizao, bastante limitada, poderia trazer para a sociedade. E, em reforo do que j foi dito, a OAB no recebe verbas pblicas para fazer frente s despesas impostas por este tipo de atividade. Durante os 180 dias disponveis para validao do software produzido, em cada eleio, no compareceu nenhum advogado membro da Comisso de Tecnologia da Informao da OAB ou tcnico em informtica. No ltimo dia, na Cerimnia de Assinatura e Lacrao, compareceu um profissional tcnico e, mesmo no tendo previamente estudado o cdigo-fonte, aps sua assinatura digital nos sistemas em nome da OAB, como apenas para cumprir a formalidade prevista em lei. Tanto foram simblicas as assinaturas digitais pelo tcnico da OAB em 2006 e 2008, que no foi dada sequncia aos procedimentos de fiscalizao. A OAB no desenvolveu nenhum trabalho ordenado para a conferncia das assinaturas digitais nos arquivos executveis inseridos nas urnas eletrnicas em todo o Brasil. Em 2008, a OAB e o MP chegaram a receber do TSE programas prprios verificadores de assinaturas, mas, comprovando o puro formalismo da suas participaes e o abandono da fiscalizao, nenhum representante da OAB ou do Ministrio Pblico, conseguiu detectar a existncia dos arquivos sobrantes, sem assinaturas, includos nas 400 mil urnas eletrnicas em todo o Brasil, como citado na Subseo 3.1.4 desta Rplica. Destarte, embora a participao da OAB seja apresentada pelo TSE como uma forma de abonar, perante a sociedade, os mtodos e programas utilizados, pode-se dizer que, em 2006 e 2008, a atuao dessa entidade foi meramente figurativa , diante das limitaes financeiras e das restritas possibilidades de auditagem que lhe so franqueadas.

Comit Multidisciplinar Independente

43

3.2.3

Resumo das Dificuldades da OAB

Em resumo, apesar da participao da OAB na fiscalizao do processo eleitoral brasileiro transmitir uma certa sensao de tranquilidade sociedade, a experincia no acompanhamento deste processo fiscalizatrio demonstrou que: a) tais tarefas exigem fiscais com elevado grau de compreenso tecnolgica, do contrrio participaro como meros figurantes, incapazes de detectar qualquer problema, mais ou menos grave, que eventualmente existisse nos programas carregados na urna eletrnica, como, por exemplo, os arquivos sobrantes presentes nas urnas em 2008 (vide Subseo 3.1.4 desta Rplica); b) o custo dessa fiscalizao elevado e a OAB no recebe verbas pblicas para desempenhar essa tarefa para a sociedade; c) mesmo superando os dois obstculos acima, algo que parece difcil, a eficcia da fiscalizao continuar nfima, eis que o sistema examinado segundo as regras criadas pelo prprio fiscalizado, isto , o TSE e seu corpo tcnico; d) finalmente, caso ocorra uma infiltrao criminosa nesse corpo tcnico, determinada a fraudar as eleies, restou evidente que a fiscalizao, deste modo como feita, ser incapaz de detect-la. Desde 2006, a participao da OAB tem sido apenas formal. Na prtica, a fiscalizao foi abandonada e abusiva a explorao da imagem da OAB como participante desses procedimentos como, por exemplo, na Subsees 2.1.2, 2.1.3 e na Seo 2.2 do Relatrio CMTSE, onde a fiscalizao pela OAB citada de forma a induzir que seria efetiva. A opo do CMTSE por no ouvir e conhecer a experincia prpria dos fiscais externos - dos Partidos e da OAB - levou-o a tambm ignorar as dificuldades aqui descritas e que, na prtica, tornam ineficazes muitas das salvaguardas projetadas para a segurana das eleies. Esse comportamento do CMTSE caracteriza mais uma OMISSO sua e demonstra sua dependncia e sua incapacidade de criticar o discurso oficial da autoridade eleitoral. As descries dos casos, aqui apresentadas, revelam a ineficcia absoluta da fiscalizao externa sobre o processo eleitoral, demonstrando que, atualmente, a sociedade brasileira no detm recursos para auditar o resultado eleitoral eletrnico de uma forma que seja independente dos prprios operadores do sistema.

44

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

3.3

Independncia do Software em Sistemas Eleitorais

No meio acadmico e no meio eleitoral internacional, o conceito de Independncia do Software em Mquinas de Votar vem ganhando cada vez mais espao e tem sido adotado como referncia tcnica. A Independncia do Software em Mquinas de Votar no significa que tais mquinas no devam possuir software e, sim, que a auditoria da apurao eletrnica dos votos deve ser feita de forma que no dependa de confiar na integridade lgica do software das prprias mquinas. Ou seja, a conferncia do resultado e recontagem dos votos deve dar um resultado que represente fielmente a vontade do eleitor e que no possa ser afetado, qualquer que seja o estado do software do equipamento no momento da votao e da auditoria. Esse conceito j aparecia em 2004 nas recomendaes ACM Policy Recommendations on Electronic Voting Systems 58, da ACM - Association for Computing Machinery, pioneira e maior sociedade de profissionais de informtica em todo o mundo: Recomendaes sobre Poltica para Sistemas Eletrnicos de Votao Set/2004 Sistemas Eleitorais [eletrnicos] devero permitir que cada eleitor possa conferir um documento fsico (isto , em papel) para verificar que seu voto foi gravado com preciso e para servir para uma auditoria independente do software sobre o resultado produzido e registrado no sistema. Tornando permanentes essas gravaes (isto , no baseadas apenas em memrias dos computadores), propiciam-se os meios pelos quais uma recontagem precisa possa ser feita. Assegurar confiabilidade, segurana e verificabilidade de eleies pblicas fundamental para estabilizar a democracia . Convenincias e velocidade da apurao de votos no so substitutos para a preciso dos resultados e para a confiana do eleitorado no processo." (traduo pelo CMind) O conceito de Independncia do Software em Mquinas de Votar foi formalizado em 2006 por Ronald Rivest (MIT) e John Wack (NIST) no artigo On the notion of software independence in voting systems 59, declaradamente para enfrentar o problema da complexidade e dificuldade de testar a integridade de software de sistemas de votao , onde explicitamente propem o seguinte: Propomos que sistemas de votao independentes do software sejam preferidos e que sistemas de votao dependentes do software sejam abandonados. Primeiramente, necessrio destacar e registrar a importncia do matemtico Ph.D. Ronald Linn Rivest no contexto do voto eletrnico. Foram de sua concepo trs inovadores e importantes conceitos de segurana que, de algum modo, permeiam os sistema eleitorais existentes e em construo, inclusive o sistema eleitoral brasileiro.
58 ACM Policy Recommendations on Electronic Voting Systems. EUA: Association for Computing Machinery (US-ACM), 09/2004 - http://usacm.acm.org/usacm/Issues/EVoting.htm 59 Rivest R.R. , Wack, J.P. - On the notion of "software independence" in voting systems. EUA : National Institute of Standards and Technology (NIST), 28/07/2006 - http://vote.nist.gov/SI-in-voting.pdf

Comit Multidisciplinar Independente

45

So suas principais criaes e contribuies: Assinatura Digital RSA (1978) Desenvolvida para garantir a integridade de arquivos digitais e apontada no Relatrio CMTSE como uma das principais salvaguardas do sistema brasileiro. Three Ballot Voting System60 (2004) Sistema criptogrfico de votao, ainda em desenvolvimento acadmico, baseado no Sistema Chaum61, com entrega do voto criptografado ao eleitor para que este possa conferir que o seu voto foi devidamente apurado, sem, no entanto, ter como provar a terceiros em quem ele efetivamente votou. Independncia do Software em Mquinas de Votar (2006) aqui resumido e j incorporado ao Art. 5 da Lei 12.034/09, que dever ser aplicado ao sistema eleitoral brasileiro a partir de 2014.

A tcnica matemtica de assinatura digital para garantir integridade de dados, foi proposta em 1978 como mecanismo de autenticao digital genrica. Com sua adoo em sistemas eleitorais, inclusive no Brasil, Rivest verificou 62 que o uso da assinatura digital no conseguia cumprir a esperada garantia de integridade lgica do software eleitoral no momento da votao e, ento, envolveu-se na criao de novas tcnicas autenticatrias para essa rea de aplicao, que desaguou no conceito de Independncia do Software em Sistemas Eleitorais, aqui abordado. Rivest participou dos trs principais grupos de estudos sobre voto eletrnico nos Estados Unidos: Membro do CalTech-MIT Voting Technology Project 63; Coautor do Relatrio Brennan (New York University). Colaborador na elaborao das Diretrizes VVSG (NIST e US-EAC).

Nas Diretrizes VVSG, a Independncia do Software foi adotada como absolutamente necessria para o credenciamento de sistemas eleitorais eletrnicos , conforme descrito nos itens traduzidos e listados no Anexo 3 desta Rplica, de onde destacamos o seguinte trecho: Todos os sistemas de votao precisam ser independentes do software para estar conformes com esta norma. Um exemplo de sistema dependente do software so as mquinas DRE, que no esto conformes com estas normas. Equipamentos de votao DEVEM criar um registro independente do voto que o eleitor possa conferir sem auxlio de software. Atualmente, os sistemas de votao em uso oficial que podem satisfazer a definio de independncia do software empregam os registros em papel confervel pelo eleitor
60 Ver em: http://people.csail.mit.edu/rivest/Rivest-TheThreeBallotVotingSystem.pdf 61 Chaum, D. - Secret-Ballot Receipts: True Voter-Verifiable Elections USA: IEEE Computer Society, 2004. http://people.csail.mit.edu/rivest/voting/papers/Chaum-SecretBallotReceiptsTrueVoterVerifiableElections.pdf Adaptao ao Brasil por Pedro Rezende em: http://www.votoseguro.org/textos/chaum-voting1.htm 62 Ver citaes na Seo 4.3, adiante, e no Anexo 5. 63 CalTech-MIT Voting Technology Project: http://vote.caltech.edu/drupal/about

46

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

ANLISE DOS ARGUMENTOS TCNICOS DO CMTSE

Inicia-se a anlise de mrito, nesta Rplica, na Seo 4.1 apresentando-se comentrios sobre os temas citados no Relatrio CCJC 2007, mas que foram ignorados no Relatrio CMTSE. Em seguida, nas Sees 4.2 a 4.5, so analisados os argumentos tcnicos da CMTSE, na mesma ordem em que foram apresentados, relativos descrio das salvaguardas do sistema eleitoral brasileiro, identificao do eleitor, impresso do voto e s suas concluses. 4.1 Temas Omitidos pelo CMTSE

O Relatrio CCJC 2007 analisou Projetos de Lei existentes na Cmara dos Deputados e props novos Projetos de Lei sobre os seguintes temas: a) Consequncias da concentrao de poderes no processo eleitoral brasileiro. b) Dificuldades prticas e falta de verba oficial para as entidades encarregadas da fiscalizao eleitoral. c) Auditoria Independente do Software sobre a Apurao, por recontagem de 2% dos votos impressos conferveis pelo eleitor (VICE). d) Uso de software de cdigo aberto inspeo nas urnas eletrnicas. e) Permisso do voto em trnsito. Apenas o item (c) acima foi avaliado pelo CMTSE. Comenta-se, a seguir, a importncia dos outros temas que o CMTSE ignorou.

4.1.1

Direito do Eleitor de Conferir o Destino do seu Voto


Porque gado a gente marca. Tange, ferra, engorda e mata. Mas com gente diferente... Geraldo Vandr e Theo de Barros cano: Disparada

O Relatrio CCJC 2007 aborda a questo da percepo do eleitor sobre o destino do seu voto ao propor o projeto de lei para a materializao do voto, justificando da seguinte forma: A materializao deve ser entendida como a possibilidade de recontagem fsica dos votos, garantindo ao eleitor a conferncia visual de seu voto, sem qualquer manipulao 64.... Trata-se, enfim, de uma sistemtica de fcil entendimento, mesmo para os cidados eleitores mais humildes, e que combina as vantagens da agilidade da informtica, com a possibilidade de eventual verificao dos votos consignados eletronicamente.
64 Nota dos autores: Alm de poder conferir o contedo do voto impresso, o eleitor deve ter direito ao repdio, isto , ter como poder decidir por duas aes: aceitar o voto ou cancel-lo. Para total garantia do eleitor, os botes que permitem estas aes devem ser somente mecnicos, ou seja, independentes do software da urna eletrnica.

Comit Multidisciplinar Independente

47

Dada a sua importncia, esse direito do eleitor tratado como fundamental j no pargrafo nico do Artigo 1 da Constituio Federal: Todo o poder emana do povo, que o exerce por meio de representantes eleitos ou diretamente, nos termos desta constituio. E, para a escolha dos eleitos, agregam-se os trs princpios eleitorais bsicos: 1. Direito do Cidado Votar e ser Votado. 2. Princpio da Inviolabilidade do Voto. 3. Princpio da Publicidade, no processo eleitoral. O primeiro encontra sustentculo no Art. 14 caput e 3 da Constituio Federal, que resulta nas modalidades ativa e passiva de garantia ao pleno exerccio da soberania popular, nos termos: Direito ativo de votar e eleger seus representantes Art. 14 caput da CF. Direito passivo de ser votado e ocupar um cargo pblico 3 do Art. 14 da CF.

Como um dos substratos do Art. 14 da Carta Magna, tem-se que a SOBERANIA POPULAR ser exercida pelo VOTO DIRETO E SECRETO, ncleo desse preceito e que permite eleies livres e honestas. Ressalte-se que o direito ao sigilo do voto irreversvel, o que o diferencia de outros sigilos, como o telefnico ou o bancrio, que podem ser revertidos por ordem judicial. Desse ncleo se extraem a liberdade da expresso da vontade popular e os atributos essenciais do voto: SINCERIDADE, AUTENTICIDADE e EFICCIA. O voto , nesse quadro, um direito e ao mesmo tempo uma obrigao, alm de selar o destino poltico de um povo, posto que numa democracia o poder de tomar decises polticas est nas mos do cidado, que elege seus representantes. Assim, o direito do cidado dever ser exercido livre e soberanamente, e sua vontade deve ser respeitada e obedecida. Mas esse respeito e obedincia dever perseguir o processo at sua etapa final - a divulgao dos resultados - pois somente ali o voto preencher os atributos essenciais, em especial o de sua EFICCIA. A Soberania do Eleitor Em 2002, os Procuradores da Repblica Celso Antnio Trs65 e Marco Aurlio Aydos j abordavam a tese da soberania do eleitor mdio poder fiscalizar o processo eleitoral sem deter conhecimentos especiais.
66

Em defesa da fiscalizao pelo homem-mdio, preleciona Celso Antnio Trs: A soberania do povo, em nome do qual todo o poder exercido, tem no direito ao voto universal e secreto o meio de expresso da soberania popular. Tal direito carece de amplo exerccio de fiscalizao para sua completa efetivao. Fiscalizao esta que deve ser exercida e compreendida, motu prprio, pelo eleitor comum, mediano, titular primeiro desta soberania.
65 Trs, C.A. - A Soberania do Povo na Fiscalizao do Exerccio de sua Soberania in Seminrio do Voto Eletrnico. Braslia: Cmara dos Deputados, 29/05/2002 http://www.votoseguro.org/arquivos/SVE-Tres.pdf 66 Aydos, M.A.D. - A Mulher de Csar. Observatrio da Imprensa, 2002 http://www.observatoriodaimprensa.com.br/artigos/mid100720025.htm

48

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Para o Ilustre Procurador, a tecnicidade do processo no deve subjugar o exerccio da soberania pelo eleitor-mdio: (...) Contudo, mesmo fosse cientificamente possvel garantir a segurana tcnica [do voto eletrnico], isso no seria suficiente. Impe-se disponibilizar ao cidado, atravs de suas faculdades normais, motu prprio, a possibilidade de sindicar a devida observncia sua vontade eleitoral. (...) De que vale um poder, uma prerrogativa, desprovido dos instrumentos necessrios sua efetivao?!?!? Soberania pressupe poder supremo. Onde est a supremacia do povo em um processo cuja apurao no instrumentado por mecanismos que permitam-lhe certificar-se da soberania de sua vontade?!?!?. Soberano que no instrumentado a fiscalizar o exerccio de sua soberania no soberano. Em sua concluso defende a tecnologia do processo, porm conjugada a um modelo simples de confirmao dos resultados: Urge conciliar a irremovvel instrumentao da soberania popular com as convenincias da tecnologia. Proceder-se a votao e a apurao eletrnica, acompanhada da impresso fsica das cdulas, de forma a garantir a palpvel, testemunhvel, eventual aferio que venha a fazer-se necessria, uma das solues. Recentemente, em maro de 2009, essa mesma tese foi acatada pelo Tribunal Constitucional Federal da Alemanha ao julgar o uso de mquinas de votar Nedap ESD1 e ESD2 - do tipo mquinas DRE sem VICE - na eleio para o parlamento em 2005. Num longo acrdo67, a corte suprema alem criou jurisprudncia, demarcando princpios e fundamentos sobre o uso de mquinas de votar e considerando contrrio ao Princpio da Publicidade e Constituio o uso de mquinas DRE sem Voto Impresso Confervel pelo Eleitor. Desse acrdo da corte suprema alem, se destaca o seguinte, de acordo com traduo para o portugus realizada pelo CMind: Princpios 2. Na utilizao de mquinas eletrnicas de votar, necessrio que o cidado, que no possui experincia especial sobre o assunto, possa controlar de forma confivel os passos essenciais da ao de votar e da aferio dos resultados. Deciso 2. A utilizao de mquinas de votar Nedap ESD1 e ESD2 [mquinas DRE sem VICE ] na eleio do 16 Parlamento Alemo no estava de acordo com o PRINCPIO DE PUBLICIDADE no processo eleitoral implcito no artigo 38, conjugado ao artigo 20, pargrafos 1 e 2 da Constituio.
67 Deciso original do Tribunal Constitucional Federal da Alemanha em 03/03/2009 (em alemo): http://www.bundesverfassungsgericht.de/entscheidungen/cs20090303_2bvc000307.html Princpios e Sentena (em portugus): http://www.votoseguro.org/arquivos/Alemanha-ini-port.pdf Notcia: Tribunal alemo considera urnas eletrnicas inconstitucionais. Deutsche Welle, 03/03/2009 http://www.dw-world.de/dw/article/0,,4070568,00.html

Comit Multidisciplinar Independente

49

Fundamento 111 O PRINCPIO DA PUBLICIDADE exige que todos os passos essenciais da eleio estejam sujeitos comprovao pblica. A contagem dos votos de particular importncia no controle das eleies. Fundamento 155 Os votos foram registrados somente em memria eletrnica. Nem os eleitores, nem a junta eleitoral ou os representantes dos partidos poderiam verificar se os votos foram registrados corretamente pelas mquinas de votar. Com base no indicador no painel de controle, o mesrio s pode detectar se a mquina de votar registrou um voto, mas no se os votos foram registrados sem alterao. As mquinas de votar no previam a possibilidade de um registro do voto independente da memria eletrnica, que permitisse aos eleitores uma conferncia dos seus votos. Fundamento 156 As principais etapas no processamento dos dados pelas mquinas de votar no poderiam ser entendidas pelo pblico . Como a apurao processada apenas dentro das mquinas, nem os oficiais eleitorais, nem os cidados interessados no resultado podiam conferir se os votos dados foram contados para o candidato correto ou se os totais atribudos a cada candidato eram vlidos. Com base num resumo impresso ou num painel eletrnico, no era suficiente conferir o resultado da apurao dos votos na central eleitoral. Assim, foi excluda qualquer conferncia pblica da apurao que os prprios cidados pudessem compreender e confiar sem precisar de conhecimento tcnico especializado. Tendo traduzido a deciso da corte alem para o espanhol, o cientista poltico teuto-portenho Manfredo Koessl, em artigo no jornal argentino Clarin68, comentou o seguinte: La Corte Constitucional alemana afirma algo que muchos polticos y consultores olvidan: "En la Repblica la eleccin es cosa de todo el pueblo y asunto comunitario de todos los ciudadanos" y que la funcin del proceso electoral es la "delegacin del poder del Estado a la representacin popular". Por ello, su legitimidad no puede ser sacrificada en funcin de la comodidad de funcionarios o la ansiedad de polticos por conocer los resultados. Assim, o Princpio da Publicidade no processo eleitoral, citado na Deciso e no Fundamento 111 acima, vem se entrelaar ao Direito de Votar e ser Votado e ao Princpio da Inviolabilidade do Voto para compor os PRINCPIOS ELEITORAIS FUNDAMENTAIS. Mas como conciliar, num mesmo processo, um princpio de publicidade e transparncia com um princpio de sigilo? Essa conciliao propiciada pelo Registro do Voto, que o ente que trafega entre os trs princpios eleitorais para lhes dar consistncia e simultaneidade. O Registro do Voto recebe, sob sigilo, a vontade do cidado-eleitor e a leva, sem quebrar o sigilo da identidade, para ser vista e contada em cerimnia aberta perante o fiscal do cidado-candidato.
68 Koessl, M. - Voto electrnico, descartado. Buenos Aires: Jornal O Clarin, 30/05/2009 http://www.clarin.com/diario/2009/05/30/opinion/o-01929084.htm

50

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

A Excluso do Eleitor O Princpio da Publicidade no processo eleitoral era perfeitamente atendido no sistema de votao manual. O eleitor via o contedo do Registro do Voto - a cdula eleitoral antes de ser colocada na urna. Na apurao, todos esses Registros do Voto eram abertos para serem vistos e contados perante os representantes dos candidatos. Porm, com a adoo das mquinas DRE no Brasil em 1996, o Princpio da Publicidade no processo eleitoral eletrnico teve seu alcance restringido. Como ressaltado pelo tribunal alemo nos Fundamentos 155 e 156, o eleitor no tem como ver ou conferir o que foi gravado no Registro Digital do Voto, porque essa gravao s ocorre DEPOIS que ele encerra sua participao ao digitar a tecla CONFIRMA e, assim, nunca ter como saber se o RDV teria registrado o seu voto conforme digitado. Alm disso, o resultado da apurao o Boletim de Urna calculado e oficialmente publicado sem que os fiscais dos candidatos possam antes ver cada RDV para conferi-los e cont-los 69. O CMTSE, posiciona-se em direo contrria ao Princpio da Publicidade e desconsidera o direito do cidado mdio de entender e fiscalizar o processo, defendendo solues tecnolgicas mesmo que no compreendidas pelo cidado comum, como em suas consideraes finais na Seo 4.3, verbis: O fato de que o uso de criptografia e mecanismos sofisticados tecnologicamente no serem entendidos pela maioria dos eleitores, candidatos e pblico em geral, no diminui os benefcios que essas ferramentas modernas trazem para a segurana das eleies. Essa tese esposada pelo CMTSE reflete o posicionamento de seu coordenador e da prpria Justia Eleitoral. Vem crescendo como linha diretriz da autoridade eleitoral nas seis ltimas eleies desde a adoo das urnas eletrnicas. Suas normatizaes tm seguido uma tendncia constante de desconsiderao desses direitos constitucionais dos eleitores. O argumento do CMTSE repete esse entendimento, mas fere de morte o princpio de publicidade e os direitos contidos no Artigo 14 da Constituio Federal, pois distancia-se da supremacia do direito do eleitor em ver, de forma a si compreensvel, a sua vontade preservada tanto no ato de votar quanto na destinao dada a seu voto, posto que no final do processo que o voto preencher os requisitos de eficcia, atributo essencial da obedincia vontade popular. Com essa abordagem da autoridade eleitoral brasileira, a importncia do eleitor fica restrita obrigao de comparecer, identificar-se, votar e acreditar que seu voto foi mesmo registrado e computado , pois da em diante vale to somente o que o resultado eletrnico indicar.
69 O RDV, s acrescentaria auditabilidade ao processo, se fosse independente do software e confervel pelo eleitor, conforme exigido na Part 1: 2.7 das Diretrizes VVSG (vide Anexo 3 deste relatrio). No o caso do RDV das urnas brasileiras. Portanto, a anlise do seu contedo depende da anlise do cdigo-fonte do prprio software da urna. Como no vivel economicamente nenhuma verificao de integridade do software eleitoral (vide Sees 3.3, 4.1.3 e Anexo 5) que seja totalmente independente do prprio software da urna, qualquer resultado produzido por ele mesmo no pode ser usado para demonstrar sua integridade lgica.

Comit Multidisciplinar Independente

51

Eficincia significa fazer um trabalho de boa qualidade e sem desperdcios. Eficcia fazer um trabalho correto, sem erros, que atinja totalmente um resultado esperado. Ao divulgar os resultados com rapidez, o TSE tem sido eficiente. Mas, como o eleitor no tem como conferir o apurado, entende-se que esse trabalho no alcanou o resultado esperado, no foi eficaz no atendimento ao Princpio da Publicidade, e essa uma grande lacuna conceitual do sistema eletrnico de votao brasileiro. Regulamentao do Sigilo do Voto Essa postura de descaso ao princpio de publicidade quando relacionado soberania do eleitor, fica claramente revelada, por exemplo, na regulamentao das garantias do sigilo do voto, outro direito constitucionalmente garantido. Para o sistema de votao manual, essas garantias esto listadas no Art. 103 do Cdigo Eleitoral, nos seguintes termos: Art. 103. O sigilo do voto assegurado mediante as seguintes providncias: I uso de cdulas oficiais em todas as eleies, de acordo com modelo aprovado pelo Tribunal Superior; II isolamento do eleitor em cabine indevassvel para o s efeito de assinalar na cdula o candidato de sua escolha e, em seguida, fech la; III verificao da autenticidade da cdula oficial vista das rubricas; IV emprego de urna que assegure a inviolabilidade do sufrgio e seja suficientemente ampla para que no se acumulem as cdulas na ordem que forem introduzidas.

So regras simples e, para o homem-mdio cidado comum de cultura tcnica mediana -, fcil e intuitivo compreender que, com o uso de cdulas oficiais - que no contm identificao do eleitor -, com votao em cabine isolada e com embaralhamento dos votos nas urnas, se garante o sigilo do voto sem ferir a publicidade do registro do voto. Porm, com a adoo, pelo TSE em 1996, do modelo Mquinas DRE sem VICE como urnas eletrnicas, apenas o inciso II acima pde ser atendido. Os demais acabam no sendo satisfeitos. Saliente-se que essas regras do nosso Cdigo Eleitoral seriam perfeitamente atendidas por outro o modelo de mquinas de votar como, por exemplo, as mquinas digitalizadoras (scaners) do voto em papel 70, como as que foram usadas em 2008 nas eleies na Rssia e em mais de 30 Estados norte-americanos. Para contornar essa impropriedade legal do modelo de urna eletrnica que adotou, a cada eleio desde 1996, a autoridade eleitoral edita instrues onde, no lugar de descrever procedimentos simples e compreensveis para o eleitor, simplesmente declara de ofcio que a integridade e o sigilo do voto estariam irrefutavelmente garantidos desde que usada sua urna eletrnica e o sistema da prpria autoridade eleitoral , como no Art. 41 da Resoluo TSE 23.218 de 2010, verbis:
70 Ao contrrio das Mquinas DRE sem VICE, o modelo de Mquinas Digitalizadoras para Votao compatvel com a norma tcnica norte-americana Diretrizes VVSG.

52

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Art. 41. A integridade e o sigilo do voto so assegurados mediante o disposto nos incisos I a IV do art 103 do Cdigo Eleitoral, devendo ser adotadas, tambm, as seguintes providncias: I uso de urna eletrnica; II uso de sistemas de informtica exclusivos da Justia Eleitoral. Basicamente, essa norma infra-legal do TSE acrescenta novos incisos ao artigo de lei para contornar o descumprimento da lei pelo modelo de urna que escolheu, o que j questionvel. Agrava esse abuso, o fato de que a redao desses novos incisos no permite ao cidado comum entender como o sigilo do voto estaria garantido, pois apenas estabelece por decreto que seus prprios sistemas gerariam tal garantia. Um partido poltico apresentou, agora em 2010, sugesto formal autoridade eleitoral para que fosse includo um Inciso III no art. 41 acima, com a seguinte redao: III - inexistncia de conexo entre o sistema ou equipamento de identificao do eleitor e as urnas eletrnicas ( 5 do Art. 5 da Lei 12.034/09). Essa sugesto visava mostrar ao eleitor mdio, de uma forma fcil de entender, que o sigilo do voto digital seria garantido pelo fato de no existir nenhuma conexo lgica ou eletrnica entre o equipamento que ser usado para identificar o eleitor e a mquina que registra o seu voto, impossibilitando que a identidade do eleitor e seu voto pudessem ser correlacionados, como estabelece o 5 do Art. 5 da Lei 12.034/09. Mas, valendo-se do poder de normatizar sobre seu prprio ato administrativo, o TSE ignorou essa sugesto sem apresentar nenhuma justificativa e, na eleio de 2010, o administrador eleitoral, mais uma vez, no vai separar os equipamentos de identificar o eleitor da mquina de votar, como agora pede a lei , ampliando a brecha para a fraude do Voto-de-Cabresto-em-massa, descrita na Subseo 3.1.1 desta Rplica. Pela ptica da autoridade eleitoral, se o sigilo do voto ser mesmo mantido ou se o voto ser ou no computado corretamente, no cabe ao eleitor compreender como ou porque. Nessa sua norma, simplesmente estabelece por decreto que o modelo de sistema que adotou garante o sigilo do voto. Ao eleitor e candidatos resta aceitar sem questionar. A Posio dos Partidos na Regulamentao Eleitoral No bojo do desinteresse do TSE em dar guarida e, em consequncia, eficcia ao direito e soberania do eleitor, tambm acaba inserindo um constante descaso aos direitos dos candidatos. Esses agentes tm que estar sob a tutela de partidos, que tm sido forados a absorver e cumprir as decises unilaterais impostas pelo administrador eleitoral. Como no exemplo acima, pode-se observar que a postura do administrador frente aos agentes passivos do processo sempre de defesa ao absolutismo de suas ideias, solues e decises. No se v uma parceria ou conjugao de interesses, mas sim um antagonismo, onde ao administrador interessa terminar as eleies com eficincia. A busca pelo requisito da eficcia tida como uma interferncia no desejada, que pode pr em risco a confiana no processo, torn-lo lento ou macular sua veracidade. Reitera-se, por pertinente, que autoridades eleitorais de mais de 50 Naes aqui estiveram para conhecer nosso sistema eleitoral eletrnico, mas do conhecimento adveio a rejeio por todos ante a falta de segurana imanente ausncia de instrumentos de rastreabilidade e auditabilidade material do voto, ou seja, instrumentos que permitam ao eleitor comum, ao final, conferir se o voto cumpriu o seu requisito de eficcia.

Comit Multidisciplinar Independente

53

Contextualizando tais alegaes, tome-se como exemplo da condio de excluso dos Partidos Polticos perante a administrao eleitoral a recente deciso expressa na Resoluo TSE 23.090/09, sobre os testes de segurana nas urnas eletrnicas. Os testes tiveram origem na petio PET TSE 1896/06, de maio de 2006, onde dois partidos polticos solicitaram a realizao de experimentos para testar, perante uma comisso deliberativa independente, a eficcia do voto dado pelo eleitor. Em maio de 2008, um terceiro partido aderiu e, em conjunto, pleitearam indicar membros da comisso deliberativa, sem o que entenderiam indeferido o pedido inicial. Atravs da Informao n 002/2008-STI, de dezembro de 2008, no seu pargrafo 2 (ver no Anexo 1), o secretrio do TSE Guiseppe Janino defendeu a incluso de quatro indicados seus com direito a voto na comisso deliberativa, alegando o seguinte: ... os [quatro] representantes da justia eleitoral constituiro minoria no quorum deliberativo, pois a comisso ser composta por um representante de cada partido poltico, que em outubro de 2008, j totalizaram 27 Porm, negando sua prpria informao, em julho de 2009, editou-se a Resoluo TSE 23.090/09, estabelecendo que os testes de segurana seriam controlados por duas comisses71 compostas exclusivamente por indicados da justia eleitoral. Todos os membros do CMTSE foram nomeados para essas comisses, mas no foi permitido aos partidos pleiteantes indicar ningum, caracterizando intencional fuga ao contraditrio. Essa deciso radical e autoritria, mostra como era importante para o administrador eleitoral deter controle absoluto da comisso deliberativa como tambm no permitir, dentro dela, nenhuma voz independente sequer. Com o controle absoluto sobre os testes, os membros do CMTSE optaram por um equivocado modelo bipolar de segurana (vide final do Anexo 5). Ignorando a possibilidade de coluso interna, no permitiram testes de ataque sobre o cdigo-fonte dos programas, que pudessem revelar a fragilidade do sistema a ataques internos. A excluso dos partidos da funo deliberativa durante os testes de segurana, por deciso unilateral da autoridade eleitoral , levou os partidos peticionrios a confirmar o condicional que haviam comunicado em 2008. Considerando indeferido o pedido inicial, afastaram-se do processo de preparao e execuo de um teste limitado de segurana envolvendo a urna eletrnica oficial. Em suas consideraes finais, onde defende solues tecnolgicas mesmo que no compreendidas pelo eleitor, o CMTSE mostra-se alinhado postura ideolgica do administrador eleitoral, ao desconsiderar que o atributo essencial da eficcia do voto s se materializa quando o eleitor e os partidos podem CONTROLAR de forma confivel para si os passos essenciais da ao de votar e de aferir os resultados. Por certo, mais fcil administrar eleies cujo resultado no possa ser auditado por potenciais interessados ou prejudicados, mas a soberania do eleitor deveria ser respeitada, para levar a resultados eleitorais mais confiveis quando submetida auditoria independente dos prprios administradores.
71 http://www.tse.gov.br/internet/eleicoes/arquivos/portaria_comissao_disciplinadora_assinado.pdf http://www.tse.gov.br/internet/eleicoes/arquivos/portaria_comissao_avaliadora_assinado.pdf

54

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

4.1.2

Concentrao de Poderes no Processo Eleitoral Brasileiro

No haver tambm liberdade se o poder de julgar no estiver separado do Poder Legislativo e do Executivo. Se estivesse ligado ao Poder Legislativo, o poder sobre a vida e a liberdade dos cidados seria arbitrrio, pois o juiz seria legislador. Se estivesse ligado ao Poder Executivo, o juiz poderia ter a fora de um opressor. Tudo estaria perdido se o mesmo homem ou o mesmo corpo dos principais, ou dos nobres, ou do povo, exercesse esses trs poderes: o de fazer leis, o de executar as resolues pblicas e o de julgar os crimes ou as divergncias dos indivduos". Montesquieu, "Do esprito das leis", captulo VI, Livro IX "La raison du plus fort est toujours la meilleure. Nous l'allons montrer tout l'heure" ( A razo do mais forte sempre a melhor. Vamos demonstr-lo a seguir ) La Fontaine fabula: O Lobo e o Cordeiro - 1668

O Relatrio CCJC 2007 aborda a distribuio dos poderes no processo eleitoral brasileiro ao avaliar o Projeto de Lei n 5.057/2005. Mesmo tendo argumentado contra aspectos formais do projeto, conclui o seguinte: Nada obsta, entretanto, que a Comisso de Constituio e Justia e de Cidadania (CCJC) estude, oportunamente, o modelo brasileiro de distribuio de competncias eleitorais sob o ngulo do direito comparado. Muitas so as maneiras de se distribuir os poderes e as funes entre os atores do processo eleitoral. Em alguns pases existe a Justia Eleitoral especializada, em outros o contencioso eleitoral decidido na Justia Comum. A administrao do processo eleitoral pode ficar nas mos do executivo municipal, do executivo estadual, do executivo federal ou ainda ser independente dos trs Poderes tradicionais, como no Chile, por exemplo. No Brasil, um nico aparelho pblico, chamado Justia Eleitoral, concentra faculdades caractersticas dos trs poderes do Estado que, na clssica tripartio de Montesquieu at hoje adotada nos Estados de Direito, so o Legislativo, o Executivo e o Judicirio, independentes e harmnicos entre si e com suas funes reciprocamente indelegveis (Art. 2 da Constituio Federal). Esses Poderes so imanentes e estruturantes do Estado em contraposio aos poderes administrativos, que so incidentais e instrumentais. A cada um deles corresponde uma funo que lhe atribuda com precipuidade. Nessa linha, somente excepcionalmente admitido pela Constituio que cada ente desempenhe funes e pratique atos que a rigor seriam de outro Poder. Segundo a doutrina de Montesquieu, h necessidade de equilbrio entre os poderes, do que resultou entre ingleses e norte-americanos o sistema de checks and balances e que corresponde ao nosso mtodo de freios e contrapesos, em que um Poder limita o outro. O modelo brasileiro faz da Justia Eleitoral uma frao especializada do Poder Judicirio, instituda pelo Cdigo Eleitoral de 24 de fevereiro de 1932. A Constituio Federal de 1988, inclui no Captulo III, relativo ao Poder Judicirio, disposies especficas quanto aos Tribunais e Juzes Eleitorais (na Seo VI, artigos 92,V e 118 a 121).

Comit Multidisciplinar Independente

55

Porm, o Tribunal Superior Eleitoral o nico rgo integrante da Justia Brasileira que detm funes administrativa e normativa que extrapolam seu mbito jurisdicional. Por conter a palavra tribunal em seu nome, comumente chamado de Justia Eleitoral, mas exerce e de fato o verdadeiro Administrador Eleitoral, assumindo toda administrao executiva, operacional e boa parte da normatizao do processo eleitoral. A Justia Eleitoral no conta com um quadro prprio de magistrados e, embora heterognea, tem rgos centralizados no prprio poder Judicirio, compostos seja por Ministros do Supremo Tribunal Federal e do Superior Tribunal de Justia, seja por Desembargadores dos Tribunais de Justia e Juzes Estaduais, alm de Juzes Federais e Juristas, estes ltimos escolhidos dentre advogados. Segundo os juristas Roberto Amaral e Srgio Srvulo da Cunha sui generis nossa justia eleitoral sua faculdade de realizar o seguinte: a) Expedir instrues para execuo da lei eleitoral. b) Responder consultas sobre matria eleitoral. c) Julgar aes judiciais contra atos que ela prpria tenha praticado. Acrescentam ainda o seguinte: "Assim, a "justia eleitoral" acumula a administrao e o contencioso eleitoral... V-se que o objeto do contencioso eleitoral - a soluo de controvrsias pertinentes ao processo eleitoral - consiste em grande parte em atos praticados pelos rgos ou agentes da justia eleitoral, o que representa uma contradio em termos, e uma ameaa objetividade e juridicidade do processo eleitoral em concreto. Esse ndulo que reclama soluo: trata-se de uma ampla rea de atividades do governo - num dos setores mais sensveis para a caracterizao do Estado democrtico de Direito - que se subtrai ao controle jurisdicional." Uma das decorrncias malvolas da concentrao das trs funes de Estado num nico rgo, atribuir-se Justia Eleitoral o poder de regulamentar a fiscalizao e ainda o controle de todos os recursos oramentrios oficiais em eleies. Toda a verba da Unio para as eleies, inclusive eventual verba para fiscalizao desse processo, destinada e controlada por essa super-entidade. Formas semnticas do respaldo legislativo a esse arcabouo, impondo unilateralmente suas ideias e decises, como se v com a juno do Art. 61 da Constituio com o Pargrafo nico, Art. 1 do Cdigo Eleitoral, que permite a propositura de leis pelo TSE, regulamentadas ao seu livre alvitre, que devem ser obedecidas por todos os cidados. Dessa legalidade advm tambm comandos para validar o cerceamento do direito dos eleitores, dos candidatos e das aglomeraes de partidos e coligaes, tanto mais substancialmente quanto mais informatizado se torna o processo eleitoral. Tambm da, decorre talvez a maior e mais preocupante consequncia da referida concentrao de poderes, qual seja a imodificabilidade habitual das suas decises quando imbuda na funo judicial.
72

, o que torna

72 Amaral, R., e da Cunha, S.S. - Manual das Eleies. 3 ed. So Paulo: Saraiva, 2006 O trecho citado encontra-se no subcaptulo Autenticidade das Eleies.

56

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Esse modelo leva a que os rgos da Justia Eleitoral estejam protegidos por membros dos demais rgos judiciais, tanto nos TRE quanto no TSE. Em termos de recurso a outra corte e exerccio normal do direito de produzir provas, o administrado se reencontrar com julgador que comps, compe ou compor um daqueles Tribunais. Trazendo baila o processo eletrnico de votao, o administrado ter ainda como adversrios os prprios idealizadores, desenvolvedores e operacionalizadores dos sistemas (pais do processo): os tcnicos das Secretarias de TI dos referidos tribunais. Cabe a esses profissionais de Tecnologia da Informao, alm das funes acima, a de elaborar os pareceres tcnicos em processos que requeiram percias nas urnas ou no sistema todo, o que torna fcil entender seja a parcialidade jurisdicional, seja as dificuldades na produo de provas como os casos descritos, na Seo 3.1 desta Rplica, exemplificam. um caso clssico kafkiano onde o fiscalizado manda no fiscal. Como em terreno adubado com o acmulo de poderes, crescem sempre, como ervas daninhas, o autoritarismo, o corporativismo e a falta de transparncia. Nosso processo eleitoral sofre desses males. Juiz e Ru no mesmo Processo Em processos jurdicos normais perante a Justia Eleitoral, como em casos relativos a publicidade eleitoral, a pesquisas e a abusos de poder econmico, identificam-se com preciso trs agentes: no polo ativo o denunciante, no polo passivo o denunciado e um juiz independente, perfazendo a clssica relao triangular. Mas na grande maioria dos processos sobre irregularidades no sistema de voto eletrnico, detectadas pela fiscalizao eleitoral, o polo passivo o agente administrativo responsvel pelo problema que se questiona, ou seja, o prprio servidor da administrao eleitoral, muitas vezes um juiz! No raro que um juiz eleitoral julgue causa em que ele prprio , por extenso de comando, o ru. Citem-se, como exemplos, os casos de Marlia-SP 2004 e Itaja-SC 2008 descritos nas Subsees 3.1.5 e 3.1.9 desta Rplica, respectivamente. Mais um exemplo clssico da distoro provocada pelo acmulo de poderes delegados Justia Eleitoral, o episdio ocorrido em Araoiaba da Serra73, onde um erro no preenchimento da tabela de candidatos no foi devidamente corrigido a tempo de evitar danos, porque quem julgava era tambm o superior responsvel administrativo pelo erro. Na eleio municipal de 2000, oficiais do Cartrio Eleitoral esqueceram de incluir o nome de alguns candidatos a vereador no arquivo de dados carregados nas urnas eletrnicas. No dia da eleio, os candidatos excludos no puderam ser votados. A soluo bvia seria anular a eleio, porque viciada. Mas, para tanto, o juiz teria que reconhecer erro administrativo cometido sob seu prprio comando e responsabilidade. Julgando onde era o ru, o juiz indeferiu todos os pedidos de anulao que lhe foram apresentados, inclusive pelo Ministrio Pblico. Na instncia estadual todos os recursos tambm foram negados. Somente na instncia superior, 3 anos depois, a eleio foi anulada. Os novos vereadores regularmente eleitos tiveram menos de 12 meses de mandato.
73 H uma descrio e comentrios sobre este caso em: http://jus2.uol.com.br/doutrina/texto.asp?id=1553

Comit Multidisciplinar Independente

57

Normatizao Restritiva de Direitos Tendo poder de emitir normas legais sobre o processo eleitoral eletrnico que administra, inclusive sobre a fiscalizao de seus atos, o administrador eleitoral acaba usando esse poder para restringir a fiscalizao, como percebido pelos fiscais da OAB (vide Subseo 3.2.1 desta Rplica), nas limitaes que impe nas verificaes das assinaturas digitais (vide Anexo 4), na no entrega dos arquivos RDV (vide Anexo 7), ou forando sua sofisticao a ponto de inviabiliz-las financeiramente (vide Subsees 3.2.3 e 4.1.3 desta Rplica). Merece especial destaque a criao das normas relacionadas auditoria do processo eleitoral. Por elas so disponibilizados aos fiscais, como ferramentas para fiscalizao do processo eletrnico, os seguintes recursos tecnolgicos: a) Arquivos LOG b) Programas de verificao de assinaturas digitais dos partidos, MP e OAB c) Tabelas de resumos digitais (hashs) d) Registros Digitais dos Votos arquivos RDV Mas a prpria autoridade eleitoral, em cujas plataformas tecnolgicas essas ferramentas devem operar, turva a funo e quebra a possvel eficcia desses instrumentos de auditoria, como se explica a seguir: a) Os arquivos LOG eram apresentados como instrumento essencial para auditoria, como assegurava o coordenador do CMTSE em entrevista 74 em 6/09/2006 ao jornal eletrnico IDGNow, respondendo a uma pergunta sobre a possibilidade de fraudes nas urnas eletrnicas, quando afirmou o seguinte: ... ainda assim, existe a possibilidade de se verificar que a fraude realmente foi implementada buscando os registros de todas as operaes realizadas nos sistemas por meio de logs, que permitem que seja feita uma auditoria e detectada uma fraude. Porm, logo que os arquivos LOG revelaram problemas e falhas nas urnas eletrnicas no caso Alagoas 2006 (ver Subseo 3.1.7 desta Rplica), o coordenador do CMTSE mudou de posio e j na audincia pblica na CCJC em maio de 2007, passou a desqualificar os arquivos LOG como instrumentos de auditoria com afirmaes do seguinte tipo: o fato do LOG no registrar um evento no significa que o evento no ocorreu deve-se usar apenas o RDV e no o LOG para contar os votos computados. So afirmaes falaciosas. Os arquivos de RDV, LOG e BU das urnas, por serem produzidos pelo prprio sistema, so mais confiveis para deteco de falhas do que de fraudes, mas, com certeza, seus contedos deveriam ser internamente coerentes e sempre indicar os mesmos resultados. b) Como descrito no Anexo 4 desta Rplica, a verificao das assinaturas digitais nos sistemas instalados pelos fiscais externos foi implementada de forma ineficaz, atravs da respectiva regulamentao feita pela autoridade eleitoral.

74 Em: http://idgnow.uol.com.br/seguranca/2006/09/25/idgnoticia.2006-09-25.7125404963/paginador/pagina_3

58

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Essa regulamentao contraria recomendao de segurana apresentada na Seo 5.5 do chamado Relatrio Unicamp75 e ainda determina76 que cpias dos programas verificadores dos fiscais fossem distribudas para treinar os tcnicos dos cartrios, dando ao fiscalizado a possibilidade de conhecer, antes do fiscal, o resultado das verificaes, verdadeiras ou falsas, e de interferir conforme o seu propsito. c) Tabelas de resumos digitais (hash) que deveriam sempre ser produzidas na presena dos fiscais externos - tm sido recalculadas a portas fechadas, como ocorreu nas eleies de 2002 e de 2008 (vide Subseo 3.1.4 e Anexo 2). d) Como descrito no Anexo 7, os arquivos RDV, no seu formato original, nunca foram disponibilizados aos fiscais externos desde que criados em 2004. At 2006 os pedidos de acesso eram ignorados e em 2008 os arquivos eram fornecidos modificados, depois de pr-processados pela equipe do coordenador do CMTSE.

Julgamentos Contraditrios comum, para quem j participou de fiscalizao em processo eleitoral, verificar a ocorrncia de atitudes autoritrias dos administradores/juzes. Para ilustrar, apresenta-se apenas um exemplo peculiar desse autoritarismo, pelo inusitado, conforme se manifestou. Em 2004, implantou-se o Registro Digital do Voto para atender Lei 10.740/03. Mas como esta no estabelecia como dispor esses dados, decidiu-se criar um programa denominado Sistema de Impresso do Boletim de Voto Digital - SIBVD para que cada Registro Digital do Voto pudesse ser impresso individualmente pela prpria urna eletrnica. Porm, o SIBVD abria possibilidade para a violao de votos em locais onde os mesrios fossem cooptados para imprimir cada voto depois de confirmado pelo eleitor. Em junho de 2006, atravs da PET TSE 1897/06, um partido preocupado com esse fato, requereu que o programa SIBVD fosse excludo das urnas, pelos riscos que propiciava. Na prtica o pedido foi atendido . Reconhecendo o risco do programa SIBVD, o administrador eleitoral o excluiu das urnas, como se comprova pela relao oficial77 dos programas das urnas eletrnicas usadas em 2006, onde no se encontra relacionado o arquivo sibvd.exe. Tambm, nas resolues do TSE, que regulamentavam as prticas de fiscalizao em 2006, no havia nenhuma previso de impresso dos votos pelo SIBVD. No entanto, com base em relatrio produzido pelo coordenador do CMTSE, o administrador eleitoral negou os riscos denunciados e indeferiu formalmente a petio, por voto unnime dos ministros do TSE, mandando-se arquiv-la em 01/08/2006. Em situao constrangedora, a autoridade atende de fato o pleiteante, mas nega formalmente o pedido para cultivar, na histria oficial, uma imagem de infalibilidade.
75 Tozzi, C.L. et al. - Avaliao do Sistema Informatizado de Eleies (Urna Eletrnica). Campinas: TSE, maio de 2002 - http://www.tse.gov.br/internet/eleicoes/relatorio_unicamp/rel_final.pdf 76 Ver Art. 28 da Resoluo TSE n. 22.712/08. 77 Ver relao dos arquivos em cada modelo de urna eletrnica usada em 2006, em: http://www.tse.gov.br/internet/eleicoes/resumos_digitais/hash_2006_1.htm

Comit Multidisciplinar Independente

59

4.1.3

Verba para Fiscalizao

Segundo informa o portal do TSE78, a informatizao do processo eleitoral se iniciou em 1986 com o recadastramento eletrnico de aproximadamente setenta milhes de eleitores. Desde ento, constata-se forte aumento nos custos do processo eleitoral. Na reportagem A despesa dos Poderes autnomos79, do Jornal Valor Econmico em 27/05/2009, mostrado que no perodo que coincide exatamente com a informatizao eleitoral entre 1985 e 2007, o custeio do TSE passou de 0,02% para 0,12% do PIB, com um crescimento de 705% segundo o jornalista Marcos Mendes 80. Naturalmente, esse crescimento de custos afeta a fiscalizao do processo eleitoral, agora eletrnico. Na forma como concebida, a fiscalizao eletrnica tornou-se muito cara (vide Seo 3.2), de maneira que a incapacidade financeira dos agentes fiscais (Partidos, OAB e MP) soterra a oportunidade de verificao da eficcia do voto. Uma simples comparao das atividades necessrias para fiscalizar a preparao e o contedo das urnas comuns e das urnas eletrnicas evidencia a enorme diferena dos custos de fiscalizao nesses dois casos. A fiscalizao do contedo das urnas comuns - de lona antes da sua lacrao demanda apenas que a entidade fiscalizadora mobilize, por um dia, fiscais capazes de verificar se as urnas de lona esto de fato vazias antes de receberem os lacres. uma tarefa que no exige nenhum conhecimento especializado do fiscais e historicamente feita em 100% das urnas comuns lacradas. J a fiscalizao do contedo e da integridade do software nas urnas eletrnicas antes da sua lacrao demanda s entidades fiscalizadoras a seguinte mobilizao de pessoas especializadas, baseando-se na regulamentao proposta pela autoridade eleitoral: 1. Montar e instalar em Braslia, por seis meses antes da eleio, uma equipe de pelo menos 6 analistas e programadores especializados nas diversas linguagens de programao usadas no sistema eleitoral, para avaliar o cdigofonte dos programas e fiscalizar a compilao e lacrao dos sistemas. 2. Desenvolver programa prprio para assinatura digital de todos os sistemas. 3. Acompanhar as Cerimnias de Gerao das Mdias, nos 27 TRE ou em centenas de Polos de Carga, para verificar as assinaturas digitais dos sistemas instalados nos computadores. 4. Acompanhar a inseminao das 400 mil urnas, em mais de 3500 zonas eleitorais, para verificar as assinaturas digitais do software nelas carregados. 5. Acompanhar a Cerimnia de Votao Paralela nos 27 TRE. 6. Solicitar cpias dos Arquivos Digitais de Auditoria (RDV, BU, LOG, etc.) disponibilizados, cada um, em locais diferentes e dispersos como no TSE, nos 27 TRE e nas milhares Zonas Eleitorais, antes, durante e depois da eleio. 7. Montar equipe de analistas suficientemente competente e equipada para, em apenas 3 dias, recolher, processar, tabular, cruzar e analisar os dados desses milhares de arquivos de auditoria em busca de incoerncias e provas.
78 Ver em: http://www.tse.gov.br/internet/eleicoes/votoeletronico/informatizacao.htm 79 Ver em: http://colunistas.ig.com.br/luisnassif/2009/05/27/as-despesas-dos-poderes-autonomos/ http://www.valoronline.com.br/?impresso/opiniao/96/5587183/a-despesa-dos--poderes-autonomos http://www.braudel.org.br/pesquisas/pdf/mmendes04.pdf 80 Nota dos Autores: trata-se de crescimento em porcentagem do Produto Interno Bruto. O crescimento porcentual em valores nominais foi muito superior.

60

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

A ttulo ilustrativo, observa-se que, para uma tarefa similar apenas ao item (1) acima, de estudo e avaliao do software eleitoral para fins internos, o TSE contratou 81, em 2008, a fundao FACTI, vinculada ao Ministrio da Cincia e Tecnologia, pelo valor de R$ 670 mil mais despesas de viagens, hospedagem e translados dos tcnicos envolvidos. As dificuldades tcnicas e custos maiores da fiscalizao eletrnica so reveladas na Tabela1.
Local Item Capacitao especial e treinamento dos fiscais TSE Tempo mdio Capacitao especial e treinamento dos fiscais
Zona Eleitoral

Urnas Comuns Nenhum

Urnas Eletrnicas Analistas e programadores habilitados ao menos nas linguagens: C++, Delphi, Assembly, Oracle Seis meses Habilitados em informtica, treinados para conferncia de assinaturas digitais e testes de simulao Trs dias por ZE

Nenhum Nenhum

ZE

Tempo mdio

Meio dia

Porcentagem real de 100,00% 0,50 % (uma por ZE) urnas conferidas com zero votos Tabela 1- tarefas de fiscalizao: urna comum e urna eletrnica

O mesmo problema de custos proibitivos, vale para os outros agentes fiscais do voto eletrnico, como o Ministrio Pblico e a OAB (vide Subsees 3.2.1 e 3.2.3 desta Rplica), que receberam a atribuio de fiscalizao do voto eletrnico com a edio da Lei 10.740 de 1 de outubro de 2003, a qual deu nova redao ao 1 do Art. 66 da Lei 9.504/97, mas sem definir de onde viria a verba para viabilizar essa nova tarefa cidad . A contratao e manuteno de tantos profissionais especializados quanto necessrios para fiscalizar milhares de locais de carga e preparao das urnas espalhados pela Federao, tornou-se invivel e at impossvel aos partidos, ao MP e OAB, o que significa obstacularizao econmica do direito de se fiscalizar as eleies. Este fato indubitvel confirmado pela seguinte constatao em 2008, 13 anos aps a adoo das urnas eletrnicas: Nem o MP, nem a OAB e e nem 24 dos 27 Partidos indicaram representantes tcnicos para acompanhar o desenvolvimento dos sistemas no TSE. Nem o MP, nem a OAB e nenhum Partido sequer, nem mesmo os 3 acima, esboou a montagem de um esquema nacional para fiscalizao tcnica da gerao de mdias e das cargas e lacrao das urnas eletrnicas.

Essa situao ocorre porque a autoridade eleitoral, que ainda detm o poder de regulamentar a fiscalizao, no admite a possibilidade de conjugar os benefcios da tecnologia com a adoo de mtodos simples, descomplicados e baratos de fiscalizao.
81 Contrato TSE n 032/2008, disponvel nos arquivos do TSE em Braslia.

Comit Multidisciplinar Independente

61

O Relatrio CCJC 2007 procurou enfrentar essa realidade com duas propostas em Projetos de Lei: 1. Uma pequena alterao na Lei 9.096/95 (Lei Orgnica dos Partidos Polticos) a fim de exortar os partidos a investir parte do fundo partidrio que recebem na capacitao tcnica de seus fiscais. 2. Uma alterao na Lei 9.504/97 (Lei das Normas Eleitorais) para criar uma auditoria automtica da apurao por recontagem do voto materializado confervel pelo eleitor (VICE). No cremos que a proposta (1) surta efeito. As verbas do fundo partidrio esto longe de sustentar a economia partidria nos seus nveis nacional, estadual e municipal, o que leva realidade constatada: nenhum Partido tem recurso financeiro para a custosa capacitao para uma fiscalizao tecnolgica plena do sistema eletrnico de votao. A proposta (1) tampouco soluciona o problema da falta de verba para fiscalizao do voto eletrnico pela OAB e pelo MP. J a proposta (2) tem efetivo potencial de viabilizar financeiramente a fiscalizao pelos Partidos, MP e OAB, e coincide com as propostas de Auditoria Independente do Software contida no Relatrio Brennan, nas Diretrizes VVSG e no Art. 5 da Lei 12.034/2009. A Auditoria Independente do Software no exige treinamento especializado dos fiscais e possvel de ser realizada por todo e qualquer cidado comum, com nvel de conhecimento tcnico elementar e independente de seu grau de instruo, posto que consiste em simples recontagem dos votos impressos (VICE). Na Tabela 2 comparam-se as tarefas necessrias para auditoria do resultado eleitoral entre urnas eletrnicas com e sem VICE.

Local

Item Mtodo de Auditoria

Urna-E com VICE Independente do Software, por recontagem dos VICE Nenhum

Urna-E sem VICE Validao e certificao do software instalado nas urnas Analistas habilitados ao menos nas linguagens: C++, Delphi, Assembly, Oracle Seis meses Habilitados em informtica, treinados para conferncia de assinaturas digitais e testes de simulao

TSE

Capacitao especial e treinamento dos fiscais Tempo mdio Capacitao especial e treinamento dos fiscais

Nenhum Nenhum

Zona Eleitoral

Tempo mdio ZE

Trs dias acompanhar a carga de todas as urnas e depois verificar assinaturas digitais e testar at 3% das urnas Tabela 2 - tarefas de fiscalizao: urna eletrnica com e sem VICE

Meio dia para assistir a recontagem dos votos em 2% das sees

62

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Assim como os partidos conseguem enviar fiscais sem especializao tecnolgica para mais de 300 mil sees eleitorais, conseguiriam, com mais facilidade, enviar fiscais a pouco mais de 3 mil Cartrios Eleitorais, para acompanhar a recontagem dos votos impressos de apenas 2% das urnas eletrnicas. Esse mtodo de auditoria independente do software significa um barateamento imenso do processo de fiscalizao, o qual tem o condo de demonstrar aos agentes polticos, ativos e passivos, que o voto completou seu ciclo jungido pelos requisitos de eficcia, sinceridade e autenticidade, em respeito a vontade soberana dos eleitores, candidatos e partidos polticos. No Relatrio CMTSE, a questo da incapacidade fiscalizatria dos Partidos, do MP e da OAB foi simplesmente ignorada embora conste no Relatrio CCJC 2007 como objeto de um Projeto de Lei e, indubitavelmente, o tema coubesse no estudo das salvaguardas do sistema eleitoral brasileiro, uma vez que, impe o bom senso, a eficincia da fiscalizao deveria ser a principal das salvaguardas de qualquer sistema eleitoral. O princpio de segurana por transparncia, onde tudo que no seja sigiloso por princpio absoluto aberto fiscalizao pela sociedade civil, o modelo de confiana indicado para processos, como o eleitoral, onde os interesses em jogo potencialmente conflitantes so multipolares, entre mais de dois grupos de agentes. Porm, h forte tendncia dentro da autoridade eleitoral, por sua natureza concentradora de poderes, para a adoo do princpio de segurana por obscurantismo (vide Anexo 1 desta Rplica), onde se alega que o sigilo sobre o sistema protegeria o eleitor contra fraudes por terceiros, ignorando a possibilidade de fraudes de origem interna ou por coluso envolvendo agentes internos, que sempre acabam blindadas pela barreira de sigilo (vide final do Anexo 5 desta Rplica). Assim, a excluso, pelo CMTSE, do tema da incapacidade econmica dos agentes fiscais no ocorre isoladamente. Ela coincide com a estratgia do administrador eleitoral de tentar criar confiana popular no sistema baseado no centralismo, no autoritarismo e no princpio da segurana por obscurantismo. Porm, como efeito colateral, resulta numa imprpria garantia ao administradornormatizador de que no haver agentes capacitados a investigar a verdade eleitoral, restando todos impossibilitados de aferir a eficcia do trabalho por eles prestados. 4.1.4 Voto em Trnsito

O voto em trnsito foi eliminado do processo eleitoral brasileiro em 1996, quando da adoo das urnas eletrnicas, sob o argumento de dificuldades tecnolgicas apresentado pelo administrador eleitoral. O argumento tcnico no muito claro, vinculando o voto em trnsito necessidade de interligar online as urnas eletrnicas. Em audincia pblica no Senado, em 12 de agosto de 2009, para tratar da minirreforma eleitoral vinda da Cmara, o coordenador do CMTSE reiterou a desaprovao da Justia Eleitoral ao voto em trnsito eletrnico, alegando que seriam proibitivos os recursos tecnolgicos para criar defesas contra a fraude de um eleitor votar em duas circunscries diferentes.

Comit Multidisciplinar Independente

63

No Relatrio CCJC 2007 se props a reintroduo do voto em trnsito , justificando-se da seguinte forma: No tocante ao voto em trnsito, entendemos que o direito constitucional do eleitor manifestar, de modo secreto, sua vontade no pode sofrer restries graves em decorrncia da tecnologia empregada. Atualmente, milhes de eleitores, a cada certame, apenas justificam o descumprimento do direito-dever de votar. Neste tpico, compreensvel que as limitaes tecnolgicas tenham obrigado a este caminho, mas j h alternativas que permitem ao eleitor escolher seus candidatos, observada a circunscrio eleitoral O voto em trnsito tambm est posto no Art. 6 da Lei 12.034/2009, recm sancionada, revelando existir uma forte vontade do legislador que vinha sendo subjugada por um argumento tecnolgico pouco claro do administrador eleitoral. Nesse argumento, ignorada uma tcnica muito simples e eficiente, adotada em muitos pases onde este tipo de fraude viceja, que a pintura do dedo do eleitor, que j votou, com tinta indelvel. Esse recurso, de baixa tecnologia mas suficiente para enfrentar os empecilhos alegados ao voto em trnsito (um eleitor votar mais de uma vez) tem excelente relao custo-benefcio para garantir a regra um eleitor, um voto. Foi citado no Relatrio CCJC 2008 da seguinte forma: ... como soluo para o problema do eleitor que vota mais de uma vez, a adoo de tinta indelvel para pintar um dedo do eleitor que j votou , soluo largamente empregada em todo o mundo devido sua insupervel relao custo/eficcia (qualquer eleitor pode fiscaliz-la e certificar votantes). As fotos abaixo, tiradas nas ltimas eleies do Chile, do Paraguai e da Venezuela, mostram como este recurso usado sem restries ou constrangimentos. Pelo contrrio, se v a ex-presidente Michele Bachelet do Chile e a candidata presidencial Blanca Ovelar do Paraguai exibindo o dedo pintado com orgulho do dever cvico cumprido.

ex-Pres. Michele Bachelet Chile - 2009

Candidata presidencial Blanca Ovelar Paraguai - 2008

2008 Venezuela

J o CMTSE, em mais uma demonstrao da superficialidade de sua anlise, em seu relatrio se omitiu do debate sobre esse tema proposto pelo legislador, mas que no conta com a aprovao da autoridade eleitoral representada por seu coordenador.

64

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

4.1.5

A Experincia com o Voto Impresso em 2002

No Relatrio CCJC 2007 so citados os problemas ocorridos durante a experincia, em 2002, com o voto impresso confervel pelo eleitor (VICE) em 5% das urnas eletrnicas. Denuncia-se ter havido sabotagem ao voto impresso durante essa experincia. uma denncia de grave teor que, certamente, demandaria uma avaliao cuidadosa quanto a sua procedncia. Porm, no Relatrio CMTSE tal avaliao resumiu-se a breves observaes na Seo 3.2 e no item 5 da Subseo 3.2.1, onde citada a ocorrncia de problemas com o voto impresso em 2002 mas, como explicao, apenas se reproduz o relato oficial82, apresentando os problemas ocorridos como se fossem consequncias inevitveis do voto impresso em si. Nada dito ou avaliado sobre uma eventual sabotagem, evidenciando que a procedncia da grave denuncia contida no relatrio dos deputados federais no chegou a ser averiguada. Apresenta-se, a seguir, alguns dados documentados para essa averiguao. Na eleio de 2002 no havia obrigao legal para a impresso do voto. A experincia com o voto impresso em 2002 ocorreu por iniciativa exclusiva da autoridade eleitoral com o objetivo de testar esse mecanismo de fiscalizao, o qual, declaradamente, no contava com sua aprovao prvia. Naquela ocasio, os procedimentos de preparao e votao nas urnas com VICE incluam algumas diferenas relativas s urnas eletrnicas sem VICE. Trs desses procedimentos eram significativos: 1. Para preparar a urna para votao na seo eleitoral, o mesrio deveria retirar os lacres do mdulo impressor externo (MIE) e da urna plstica descartvel (UPD) antes de acopl-los. 2. O eleitor teria que digitar a tecla CONFIRMA uma vez a mais para aprovar o voto impresso 83; 3. Ao eleitor s era permitido digitar a tecla CANCELA uma nica vez, sob pena de ser levado a votar com voto manual (escrito). Nas instrues e treinamento do eleitor por meio de vdeo divulgados nos canais de TV abertos, que normalmente o administrador eleitoral apresenta a cada eleio, o TSE no incluiu esclarecimentos sobre as diferenas de votar em mquinas com VICE. Assim, no existiu vdeo de treinamento nem respectivo plano de mdia em 2002 para explicar ao eleitor como votar em urnas com o voto impresso.

82 Ver em: http://www.tse.gov.br/internet/eleicoes/votoeletronico/voto_impresso.htm 83 Nessa experincia em 2002, os botes para confirmar e para cancelar o voto impresso no eram independentes do software da urna.

Comit Multidisciplinar Independente

65

Vejam-se, por exemplo, as instrues oficiais divulgadas no stio do TSE, quatro dias antes84 e na vspera85 da eleio de 2002 onde se diz, verbis: - Como funciona a votao eletrnica? O teclado da urna eletrnica igual ao teclado de um telefone, com mais trs teclas coloridas logo abaixo. Primeiro o eleitor digita os quatro nmeros do seu candidato a deputado federal. Confere na tela da urna a foto dele, o nmero e o partido. Se os dados estiverem corretos, o eleitor deve apertar a tecla verde, para confirmar o voto. Se no, aperta a tecla laranja e recomea a votar. Depois, a vez de votar, na seqncia, para deputado estadual ou distrital (no DF) - cinco nmeros -, dois senadores, o que ocorrer em um nico painel, ocupando cada voto a metade da tela da urna eletrnica - trs nmeros -, governador - dois nmeros - e Presidente da Repblica - dois nmeros. Quando o eleitor acabar, vai aparecer na tela a palavra Fim. - E se o eleitor digitar errado o nmero de seu candidato na hora de votar? s cancelar toda a operao, apertando a tecla laranja, e comear o processo novamente. - Quem no conseguir usar a urna eletrnica vai poder usar a cdula tradicional? No. A votao ser manual apenas se houver algum defeito na urna eletrnica. Ou seja, o TSE no informou ao eleitor que nas mquinas com VICE: Teria que conferir e confirmar o voto impresso. S poderia digitar a tecla CANCELA uma vez apenas. Seria levado ao voto manual caso cancelasse o voto impresso uma segunda vez.

Ademais, a Resoluo TSE 21.129/02 que dispunha sobre a utilizao das urnas eletrnicas com o MIE em 2002 - estabelecia no seu Art. 5 que tanto o MIE (inciso II) quanto a UPD (inciso III) deveriam receber lacres antes de serem enviados seo eleitoral, como destacados em negrito no texto da resoluo do TSE, verbis: Art. 5 Na preparao das urnas eletrnicas das sees eleitorais que utilizarem o sistema eletrnico de votao com mdulo impressor externo MIE, alm do que prescreve o art. 23 da Res./TSE n 20.997, devero ser adotados os seguintes procedimentos: II verificar se foi feita a identificao dos MIE com os dados da zona eleitoral, municpio e seo a que se destinam ou se se trata de um MIE de contingncia, e se foram lacrados os compartimentos da bobina de papel presentes nos MIE, tendo os lacres sido previamente assinados pelo juiz eleitoral, pelo representante do Ministrio Pblico e pelos fiscais ou delegados dos partidos polticos ou coligaes presentes; III verificar se as urnas plsticas descartveis, que sero utilizadas para coleta dos espelhos dos votos impressos, esto completamente vazias e, em seguida, identificar com os dados da zona eleitoral, municpio e seo a que se destinam e ved-las com os lacres, previamente assinados pelo juiz eleitoral, pelo representante do Ministrio Pblico e pelos fiscais ou delegados dos partidos polticos ou coligaes presentes;
84 Saiba como Votar . http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=12214 85 TSE responde as principais dvidas sobre as eleies . Braslia: TSE, 04/10/2002 http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=12247 -

66

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

No entanto, o Art. 8 da mesma resoluo do TSE, determinava que o mesrio que deveria retirar apenas o lacre da UPD para acopl-la ao MIE, verbis: Art. 8 Estando em ordem o material de votao, o presidente da mesa romper o lacre da urna plstica descartvel - UPD, instalando-a em seguida no mdulo impressor externo - MIE, vista dos fiscais ou delegados dos partidos polticos ou coligaes presentes. O mesrios que seguiram estritamente essas regras e orientaes oficiais, no retiravam o lacre que vedava a sada da impressora (MIE), provocando inevitvel atolamento do papel. Naturalmente, desinformados o eleitor e o mesrio, problemas surgiram durante a votao, como relatado no stio do TSE, de onde se destaca os seguintes comentrios:
- o desconhecimento do novo mecanismo, por parte de eleitores e de mesrios, trouxe dificuldade aos trabalhos; - o eleitor agiu como se no existisse o voto impresso; - a demora na votao foi maior que nas sees onde no havia voto impresso (com tempo mdio de votao de aproximadamente 10 minutos por eleitor); - ao corrigir o voto duas vezes, muitos eleitores se negaram a votar em cdula de papel, retirando-se da seo eleitoral; - o nmero de panes foi expressivo nas impressoras, por atolamento de papel;

Todos estes problemas apontados pelo administrador eleitoral so diretamente decorrentes da falta de treinamento mnimo adequado dos eleitores e dos mesrios por omisso ou erro do prprio administrador eleitoral. Para se avaliar possvel sabotagem ao voto impresso, como citado no Relatrio CCJC 2007, resta determinar por qual motivo o administrador eleitoral, sempre to zeloso no treinamento de eleitores e mesrios, deixou de informar e treinar aqueles que se haveriam com o voto impresso em 2002 quando, espontaneamente, se props testar esse mecanismo de fiscalizao que no contava com sua aprovao. Como informao relevante sobre a impresso do voto para conferncia pelo eleitor, lembre-se que em outros pases tem-se usado mquinas DRE com VICE sem maiores problemas. Na Venezuela, por exemplo, desde 2004 est em prtica a auditoria independente do software por meio da recontagem do voto impresso e, devidamente treinados eleitores e mesrios, a eleio com voto impresso acontece sem empecilhos. No seu relatrio, o CMTSE apenas reproduz o relato oficial acima, sem constatar que a desinformao dos eleitores e dos mesrios que provocou o insucesso da experincia, foi consequncia direta de atos e omisses da prpria autoridade eleitoral. Em mais um exemplo de sua parcialidade e incapacidade de criticar seu contratante, o CMTSE omitiu-se totalmente de avaliar a denncia de sabotagem contida no Relatrio CCJC 2007, sobre a responsabilidade do administrador eleitoral por no ter dado o necessrio treinamento aos mesrios e eleitores durante a experincia com o voto impresso em 2002.

Comit Multidisciplinar Independente

67

4.2

Salvaguardas do Sistema Eletrnico de Votao Brasileiro

Inicia-se, nesta seo, a anlise dos argumentos tcnicos presentes no Relatrio CMTSE. No Captulo 2 do Relatrio CMTSE apresentada uma descrio das salvaguardas de segurana atuais e previstas para Sistema Eletrnico de Votao. A descrio do CMTSE consiste numa reproduo fiel dos argumentos apresentados anteriormente por seu coordenador , Sr. Guiseppe Dutra Janino, nas audincias pblicas na Comisso de Constituio e Justia e de Cidadania (CCJC) da Cmara dos Deputados. Essa descrio oficial e terica das salvaguardas tambm estava apresentada no Sumrio do Voto Eletrnico86, disponibilizado na Internet antes da eleio de 2008, de onde se extrai a seguinte lista de salvaguardas: 1. 2. Processo de desenvolvimento dos softwares da urna que inclui a apresentao dos cdigos-fonte aos partidos. Assinatura digital e lacrao (do software), que inclui: a gerao de resumos digitais dos programas; assinatura digital pelo TSE e pelos Partidos, OAB e MP (com programa prprio); gravao e lacrao dos sistemas em mdia no regravvel. Processo de distribuio do software que inclui: gerao de mdias; carga das urnas; (auto-)verificao da assinatura digital; comparao do resumo digital; teste de votao; e lacrao fsica das urnas. Votao paralela auditoria. Processo de contabilizao dos votos (apurao) emisso de zersima; arquivos de auditoria (LOG, RDV, BU e outros). Auditoria da Totalizao e processamento do BU incluindo: criptografia e decriptografia; tratamento de pendncia usando a Tabela de Correspondncias; publicao dos BUs na Internet.

3.

4. 5. 6.

Essa lista terica das salvaguardas repetida, de modo quase que literalmente idntico, nas Sees 2.1 e 2.2 do Relatrio CMTSE, mostrando que o trabalho do CMTSE teve mais natureza descritiva da verso oficial do que analtica sobre ela. Trata-se, enfim, de uma viso interna e eminentemente terica do processo eleitoral uma vez que os seus autores no estiveram presentes e nem acompanharam em campo o desenvolvimento dos procedimentos descritos e, alm do mais, optaram por no ouvir a opinio dos agentes externos credenciados, representantes dos partidos, da OAB e do MP que fizeram esse acompanhamento, assistindo na prtica como se operavam tais procedimentos de segurana nas eleies passadas. O caso real muito diferente da explicao abstrata do CMTSE e revela que muitos pontos das salvaguardas descritas perdem, por vcio de implementao ou de forma, totalmente a efetividade, como se exemplifica nos captulos seguintes.

86 Sumrio do Voto Eletrnico - TSE, 2008 - http://www.tse.gov.br/internet/eleicoes/votoeletronico/sumario.htm

68

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

4.2.1.

Processo de desenvolvimento dos softwares da urna eletrnica

A Subseo 2.1.1 do Relatrio CMTSE aborda a apresentao do software dos sistemas aos partidos, mas restringe-se a dois pargrafos. Apenas diz que a lei prev a apresentao dos sistemas durante 180 dias aos representantes externos e que no seria possvel modificar ou executar qualquer trecho de cdigo naquele ambiente onde os sistemas so apresentados. Os membros do CMTSE, exceo do seu coordenador e mentor, no estiveram presentes na apresentao dos sistemas aos partidos nem na cerimnia de compilao e lacrao dos sistemas de 2008. No presenciaram as dificuldades e at impropriedades que ali ocorreram, o que os levou a essa descrio to sucinta e superficial do processo. O tema do desenvolvimento seguro de sistemas computacionais denso e complexo dentro da disciplina de Engenharia de Software. Como j dito na Seo 3.2, ler o cdigo-fonte de um sistema no , por si s, uma auditoria. Para se validar um cdigo-fonte corretamente necessrio ser possvel testar, simular e inserir alteraes para verificar as consequncias de situaes imprevistas. Nessa rea, uma anlise de profundidade sobre o desenvolvimento do software eleitoral brasileiro foi desenvolvida em 2002 por quatro professores da Fundao COPPETEC da UFRJ, especialistas em Engenharia de Software, os quais, autorizados pelo TSE, assistiram in loco os procedimentos e cerimnias oficiais. Essa avaliao de flego foi apresentada num relatrio 87 de 116 pginas sendo 13 pginas do relatrio e mais 103 pginas com tabelas geradas durante o estudo que apresentava concluses opostas s do CMTSE relativas eficcia da apresentao dos sistemas aos partidos. Extrai-se do Relatrio COPPE de 2002, verbis: Trata-se de uma metodologia incompleta e em alguns aspectos ultrapassada e
incoerente .

A metodologia no tem procedimentos claramente estabelecidos para garantia da


qualidade do produto [o software das urnas].

a documentao no indicou o uso de um processo adequado de desenvolvimento


e garantia da qualidade.

No h registros sobre os testes realizados, nem sobre os ndices de confiabilidade. o que se pode deduzir da documentao colocada para exame, no garante que este
tenha a qualidade esperada e necessria . Foi utilizado um processo de software bastante ad-hoc e IMATURO, o que em geral conduz a produtos de qualidade imprevisvel.

Vrios documentos fazem referncia a datas de trmino da codificao.. (que) mostram


que a codificao ultrapassou a data de avaliao dos partidos. "

Com base no exame da documentao disponibilizada no se pode fazer afirmativas


sobre a confiabilidade do produto.

A organizao interna das aplicaes demonstra que no ocorreu preocupao com o


projeto do software, e, a fase de projeto do software parece no ter sido realizada . H alguns absurdos na documentao..."

87 Rocha, A.R.C. Et al. Relatrio de Avaliao do Software TSE realizada pela Fundao COPPETEC. Braslia: COPPE/UFRJ, 09/08/2002 - http://www.angelfire.com/journal2/tatawilson/coppe-tse.pdf ver resumo em: http://www.votoseguro.org/textos/relcoppetec1.htm

Comit Multidisciplinar Independente

69

A qualidade e a importncia desse trabalho do COPPE foram reconhecidas pelo prprio TSE ao contratar seus autores em 2004 para colaborar no projeto do novo software. Porm em 2008, apesar da adoo de software de cdigo-fonte aberto nas urnas, os procedimentos de projeto seguro de software foram abandonados voltando-se ao um sistema imaturo de desenvolvimento envolto com improvisaes, ausncia de especificaes prvias, planos de testes incompletos, etc. Apenas trs agentes externos (partidos) enviaram representantes tcnicos para acompanhar a apresentao dos sistemas em 2008. Todos esses representantes foram convidados a contribuir com o CMind e so coautores da presente rplica. Testemunham que quase todos os problemas apontados pelo COPPE em 2002 continuavam presentes em 2008, tais como: No existia documentao prvia detalhando o projeto do software . Essa documentao foi sendo escrita durante o prprio desenvolvimento e s terminou muito dias depois de lacrados os sistemas. Por exemplo, a especificao dos arquivos LOG das urnas, solicitada para consulta em maio de 2008, s foi escrita e apresentada no final de setembro, 10 dias depois de encerrado o perodo de anlise previsto em lei. Documentos relativos a testes e anlise de segurana do sistema , desenvolvidos sob o Contrato TSE 032/2008, e que resultaram em muitas alteraes no projeto de software, foram mantidos secretos por deciso do coordenador do CMTSE (vide Anexo 1 desta Rplica), impedindo-se os fiscais externos de identificar quais modificaes foram implantadas. Constatou-se, no ltimo dia do prazo de 180 dias para anlise dos sistemas, que havia diferenas entre o cdigo-fonte apresentado aos representantes externos e o que era efetivamente compilado (vide Subseo 3.1.10 desta Rplica), esvaziando complemente a possvel eficcia dessa salvaguarda e, pior, acobertando uma via oculta de preparao do processo eleitoral. Apesar de ser dito na Subseo 2.1.1 do Relatrio CMTSE que no possvel modificar ou executar qualquer trecho de cdigo neste ambiente de acompanhamento externo, ao contrrio, alguns roteiros de compilao (scripts) foram alterados de ltima hora naquele ambiente para corrigir erros que impediam a compilao plena. A inexistncia de um plano de testes exaustivos, preconizado no Relatrio COPPE, impediu a deteco de uma grave incompatibilidade do software das urnas com um lote de 90 mil cartes flash-cards de marca Hitachi, resultando no travamento de milhares de urnas eletrnicas no dia da eleio (ver detalhes deste caso na Subseo 3.1.11 desta Rplica).

Tais fatos, graves, reais e testemunhados, desvirtuam totalmente a funo da Apresentao dos Sistemas como salvaguarda, a tornam incua como garantia, mas no foram considerados pela anlise do CMTSE que apenas replicou o discurso oficial. Comparando-se o contedo e concluses nas 116 pginas do Relatrio COPPE com os dois sucintos pargrafos que o Relatrio CMTSE gastou para avaliar o mesmo processo, desnuda-se a inaceitvel superficialidade deste.

70

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

4.2.2

Lacrao dos sistemas de software da urna

Na Subseo 2.1.2 do Relatrio CMTSE dito que: Do ponto de vista tcnico, os procedimentos que garantem essa lacrao [como salvaguarda] so: Gerao de resumos digitais de cada arquivo lacrado Assinatura digital de representantes do TSE Lacre fsico de mdia no regravvel No entanto, o CMTSE deixou de informar que, quebrando a referida salvaguarda, nem todos os resumos digitais dos arquivos oficiais foram calculados na cerimnia oficial de lacrao no dia 15 de setembro de 2008, como se comprova no Anexo 2.2, onde apresentado o fac-simile da tabela de resumos digitais que foram calculados apenas no dia 25 de setembro, 10 dias depois do encerramento da cerimnia oficial de lacrao. O motivo que levou ao clculo dos novos resumos digitais no dia 25 de setembro foi que, dois dias antes, a adv. Maria Cortiz, coautora desta Rplica, detectou a presena de 16 arquivos no assinados nas urnas eletrnicas do municpio de Timon, MA, como consta na ata da cerimnia de carga e lacrao das urnas daquela Zona Eleitoral (vide Subseo 3.1.4, onde tambm relatado caso similar ocorrido em 2002). Para contornar essa impropriedade, a Secretaria de Tecnologia da Informao do TSE decidiu calcular o valor dos resumos digitais desses arquivos sobrantes a portas fechadas, longe dos olhos dos fiscais dos partidos, do MP e da OAB, e publicar outra tabela de resumos digitais em seu portal, em frontal desrespeito ao que exige o 4 do Art. 66 da Lei 9.504/97 como salvaguarda de segurana. Novamente, tal fato esvazia complemente a possvel eficcia de mais uma salvaguarda e, pior, a omisso do CMTSE acoberta vias ocultas no desenvolvimento do sistema eleitoral. Adicionalmente, o CMTSE foi ambguo ao afirmar, na Subseo 2.1.2, o seguinte: Com o objetivo de aumentar a transparncia do processo eleitoral, o uso de softwares de assinatura digital de terceiros foi permitido, por Resoluo do TSE. Isso possibilitou aos partidos polticos, Conselho Federal da Ordem dos Advogados do Brasil e Ministrio Pblico Eleitoral, o desenvolvimento de seus prprios programas de assinatura digital e verificao De imediato, o CMTSE ignora que tal uso de softwares de assinatura digital de terceiros NO FOI SOLICITADO pelos agentes fiscalizadores e sim a eles imposto pela regulamentao da autoridade eleitoral (vide Subseo 3.2.3 desta Rplica). Na realidade, durante a cerimnia de lacrao dos sistemas em 2008, os partidos presentes abriram mo de usar programas de verificao de assinaturas pelos motivos expostos no Anexo 4 desta Rplica e o MP e a OAB tambm nada desenvolveram, apenas receberam, pro-forma, programa desenvolvido pelo prprio TSE.

Comit Multidisciplinar Independente

71

O CMTSE tambm esconde, com a redao ambgua do seu texto, que devido as dificuldades e custos que o procedimento impe nenhum dos agentes por ele citado (partidos, OAB e MP) desenvolveram, de fato, plano para fazer a tal verificao com programas prprios, ou qualquer outra forma de verificao de assinaturas digitais, em nvel nacional e de forma sistemtica. Alm do alto custo dos procedimentos comentado na Subseo 4.1.3 desta Rplica e da insegurana nos procedimentos de verificao das assinaturas relatado no Anexo 4, a recusa dos partidos em desenvolver programas prprios se deu porque o programa distribudo, com antecedncia, aos TRE e cartrios eleitorais de todo o Brasil para fins de treinamento de seus tcnicos, conforme previa o artigo 28 da Resoluo TSE n 22.714/2008, verbis: Art. 28. Os programas de verificao de assinatura digital dos partidos polticos, da Ordem dos Advogados do Brasil e do Ministrio Pblico,incluindo a respectiva chave pblica e assinaturas geradas, podero ser utilizados pela Justia Eleitoral para fins de treinamento de seus tcnicos. Como se v, o instrumento de auditoria permitido pelo TSE aos fiscais, conhecido e disponvel por todos os fiscalizados antes do momento da fiscalizao e, essa prerrogativa legalmente garantida pela regulamentao do prprio fiscalizado. Em resumo, ao contrrio do que leva a entender o CMTSE, em 2008 nenhuma entidade citada desenvolveu programa prprio e, simplesmente, no aconteceu nenhuma verificao sistemtica de assinaturas digitais por esses agentes. Tudo isto clareia pontos significativos para a confiabilidade do sistema eleitoral: 1. A lacrao dos sistemas como salvaguarda no funcionou de forma correta, j que, por erro do administrador eleitoral (e tambm assessores do CMTSE), nem todos os resumos digitais foram calculados na presena dos fiscais. 2. Para contornar o seu erro, o administrador eleitoral desrespeitou artigo de lei referente justamente s salvaguardas jurdicas do processo de desenvolvimento do sistema eleitoral. 3. Nenhuma consequncia recaiu sobre a instituio responsvel pelo desrespeito lei porque essa instituio tambm a responsvel pelo julgamento de processos eleitorais em que ela ou seus membros so rus; 4. A deteco de 16 arquivos sem resumos digitais nas urnas j inseminadas e prontas, no implicou no refazimento da carga das urnas e nem impediu que fossem usadas na eleio; 5. As ferramentas de verificao de integridade dos sistemas, alm de ineficazes (vide Anexo 4), ficaram disponveis para uso pelo fiscalizado antes do momento da fiscalizao. 6. Os agentes autorizados a desenvolver verificaes das assinaturas digitais, nada fizeram por causa do custo proibitivo e da insegurana tcnica dos procedimentos permitidos. Todavia, nada disso foi revelado no Relatrio CMTSE, mais uma vez evidenciando omisso, superficialidade e incapacidade de se opor ao discurso do seu coordenador.

72

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

4.2.3

Processo de distribuio e carga do software nas urnas eletrnicas

Na Subseo 2.1.3 do Relatrio CMTSE novamente apresentado apenas um resumo sucinto e terico do que ocorre nas Cerimnias de Carga e Lacrao das Urnas. Um conjunto complexo de procedimentos de fiscalizao, muito pouco entendido pelos presentes, fiscais inclusive, descrito como se eficazes fossem. No o que ocorre na prtica. Nas cerimnias de carga de urnas nos cartrios eleitorais comum ocorrer casos de quebras de segurana e, nesses casos, os fiscais, por despreparo prprio ou por autoritarismo do administrador-juiz, no alcanam sucesso nas suas tarefas de fiscalizao. Apenas como pequena amostra de um grande elenco de problemas j presenciados pelos membros da CMind, citam-se os seguintes: Nunca permitida a verificao independente das assinaturas digitais dos programas instalados. Toda verificao permitida auto-verificao feita a partir do prprio software da urna (ver detalhes no Anexo 4 desta Rplica). Simulao dos testes obrigatrios por lei (ver Caso de Itaja-2008 na Subseo 3.1.9 desta Rplica). Embora algumas irregularidades na carga das urnas s possam ser identificadas por anlise dos Arquivos LOG, que s so disponibilizados depois das eleies, eventuais impugnaes s so aceitas se feitas na hora (ver tambm no Caso de Itaja-2008 na Subseo 3.1.9 desta Rplica). Cerimnias de carga feitas na surdina, com posterior publicao retroativa do edital de convocao (ver Caso Diadema-2000 na Subseo 3.1.3 desta Rplica). Divergncias nos resumos digitais em arquivos gravados nas urnas (vide Anexo 2, a Subseo 3.1.4 e o Caso Timon-2008 na Subseo 4.2.2 desta Rplica), sem causar nenhuma consequncia na prtica. Autoritarismo de alguns juzes-administradores que impedem o sorteio livre das urnas a serem testadas. Cerimnias conjuntas de carga das urnas durando at 7 dias, quebrando a ateno, a disponibilidade e a eficincia da fiscalizao.

Sendo que basta o primeiro desses problemas a impossibilidade de verificao independente das assinaturas digitais dos arquivos carregados nas urnas - detalhada no Anexo 4 desta Rplica - para derrubar a eficcia da salvaguarda de segurana idealizadas para o processo de carga e lacrao das urnas eletrnicas. No entanto, o CMTSE, em vez de denunciar a ineficcia dos procedimentos relativos a assinatura digital adotados, cita esses procedimentos de segurana quebrada como salvaguarda do sistema eletrnico de votao, sem dar nenhuma explicao do porqu renegam a posio do prprio inventor da tcnica de assinatura digital quando este denuncia incontornvel a complexidade e dificuldade de testar a integridade de software de sistemas de votao, como pode ser visto no Anexo 5, na Seo 3.3 e na Seo 4.3 desta Rplica.

Comit Multidisciplinar Independente

73

4.2.4

Histrico de apurao de alegaes de fraudes

Na Seo 2.4 do Relatrio CMTSE dito que no existem fraudes comprovadas no sistema eletrnico de votao brasileiro e se explicam as crescentes reclamaes e denncias de fraudes como causadas pela falta de conhecimento do processo eletrnico de votao pelo pblico em geral ou por estelionatrios que se aproveitam dessa caracterstica [de falta de conhecimento] para aplicar um golpe configurado como um estelionato eleitoral. Dada a concentrao de poderes da autoridade eleitoral, j aqui exposta, tal argumento constitui uma petitio principii 88 por demais elementar num trabalho que, pela titulao de autores, se arvora de cunho acadmico. Como se conseguiria comprovar fraudes, se a produo de provas est sob controle absoluto dos fiscalizados ou at acusados inicialmente de omisso ou inpcia? No Anexo I daquele relatrio (tambm referido como Anexo A) so apresentados esclarecimentos para 3 casos denunciados como fraudes: 1) Caxias, MA, 2008; 2) Guarulhos, SP, 2004; e 3) Rondnia, 2008. No Anexo 6 desta Rplica, refuta-se a explicao do CMTSE dada ao Caso Caxias, na parte relativa entrevista dada por membro deste CMind. Mesmo assim, apenas trs casos explicados esto muito longe de atender a mais de centena de denncias89 registradas apenas em 2008 e, por simples lgica, no servem como prova, por induo, da invulnerabilidade do sistema. Em audincia pblica no Senado, no dia 12 de agosto de 2009, o adv. Fernando Neves90, que atuou como Ministro do TSE entre 1997 e 2004, apesar de sua total confiana na Justia Eleitoral e no sistema eletrnico de votao que ajudou a regulamentar, declarou que: a Secretaria de Tecnologia de Informao do TSE no vinha conseguindo apresentar explicaes convincentes para as crescentes denncias de problemas e fraudes nas urnas eletrnicas. Na Seo 3.1 desta Rplica foram descritos alguns casos documentados de problemas e impedimentos livre fiscalizao que nunca receberam, por parte do administrador eleitoral, explicaes que pudessem eliminar as dvidas e os sentimentos de insegurana gerados. Esses casos so exemplos de possvel sentido para ilocues do gnero no existirem fraudes comprovadas no sistema eletrnico de votao brasileiro , como lavrada no Relatrio CMTSE. So casos de impropriedades evidentes, todas devidamente documentadas, e em nenhum deles foi permitido auditoria independente ou percia dos sistemas envolvidos (urnas e computadores de totalizao). Sem percia, no se gera prova nesses casos.

88 petitio principii (em portugus: petio de princpio) um estratagema de argumentao circular ou autoreferente, que adota premissas to questionveis quanto a concluso desejada. Por ex: "Scrates tentou corromper a juventude da Grcia, logo foi justo conden-lo morte." 89 Ver em: http://www.fraudeurnaseletronicas.com.br/2008/12/relacao-municipios-suspeita-fraude.html 90 Fernando Neves: advogado, foi ministro do TSE entre 1997 e 2004, sendo o Relator das Instrues de 2002 e de 2004, quando permitiu acesso dos partidos aos Arquivos LOG das urnas eletrnicas.

74

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Alm de exemplos de que o TSE no foi suficientemente responsivo s demandas por maior transparncia, como reconhecido pelo CMTSE, os casos aqui descritos revelam tticas que dificultam e at impedem a gerao provas, como as seguintes: Autoritarismo para criar obstculos fiscalizao. Protelao do processo, chegando at a causar perda do objeto. Arquivamento sem julgamento. Indeferimento baseado em argumentos esdrxulos e contraditrios. Cobrana de custos proibitivos ao requerente da percia. Ocultao ou bloqueio do acesso a provas documentais sob sua guarda. Distorcer fatos em relatrios produzidos internamente. Aceitao como prova judicial irrefutvel ou percia tcnica imparcial, relatrios elaborados por seus prprios tcnicos, funcionrios pblicos vinculados ao processo, em desrespeito ao artigo 138 do Cdigo do Processo Civil.

Por escolher a prpria autoridade eleitoral como fonte exclusiva de sua informao, o Relatrio CMTSE no captou nenhum desses fatores que limitam e impedem a revelao e produo de provas e apenas fez repetir o discurso oficial de que no existem fraudes comprovadas no sistema eletrnico de votao brasileiro. Em vista dessas tticas, h, tambm, que se ponderar a quem deve ser debitada a responsabilidade por, aps 13 anos de uso das urnas eletrnicas, ainda grassar entre os eleitores a falta de conhecimento do processo eletrnico de votao que abre espao para ao de estelionatrios, como alegado pelo CMTSE. Seria culpa exclusiva dos agentes ativos e passivos (eleitores e partidos), desatentos e indolentes, que no procuram compreender a sofisticada engrenagem de segurana do sistema eleitoral depois de 13 anos de uso? Ou, como bem colocaram os membros da Corte Constitucional Alem (vide Subseo 4.1.1 desta Rplica), seria a complexidade do sistema que impede a compreenso desse mecanismo pelo cidado comum, desrespeitando o Princpio da Publicidade no processo eleitoral? Tal percepo, de natureza eminentemente jurdica, escapou ao CMTSE, composto exclusivamente por membros da rea da Tecnologia da Informao, e que s conseguiu ver responsabilidade do prprio eleitor por sua falta de conhecimento do processo eletrnico de votao. Omitir citao inerente complexidade do sistema escolhido - complexidade esta que parece ter se tornado um fim em si mesmo - e a bvia responsabilidade do administrador eleitoral pelas escolhas que levam falta de compreenso dos eleitores comuns e dos candidatos, mais um ponto que desnuda a parcialidade do CMTSE.

Comit Multidisciplinar Independente

75

4.3

Identificao do Eleitor

No Relatrio CCJC 2008 se prope a separao fsica entre as mquinas de votar e as mquinas de identificar o eleitor, argumentando-se o seguinte: um programa malicioso, que porventura seja inserido em urnas eletrnicas durante o processo de preparao das mesmas, possa identificar sistematicamente o voto de cada eleitor ... Na Seo 3.1 do Relatrio CMTSE esse argumento enfrentado em dois sucintos pargrafos nos quais se afirma que, dentro das urnas eletrnicas, o processo de identificao do eleitor independente do processo de votao e que eventual comunicao entre os processos poderia ser evitada, como no seguinte texto: Ainda que se possa argumentar que esses processos possam ser modificados, de forma que haja comunicao entre eles, isso pode ser evitado por meio da auditoria de cdigo e da garantia de que os softwares que rodam na urna so ntegros Ora, auditoria de cdigo complexo e garantia de integridade do software eleitoral no tarefa trivial. Como descrito no Anexo 5 desta Rplica, marcante a posio da grande maioria dos profissionais de renome na rea de segurana de dados, que tambm estudam o voto eletrnico, de que construir sistemas eleitorais comprovadamente confiveis em muito suplanta a capacidade tcnica e econmica disponveis. So vozes quase solitrias que se alinham com o CMTSE para, de forma simplria e superficial, afirmar que basta auditar o cdigo e garantir a integridade do software eleitoral, como se tarefa simples fosse. Na Subseo 2.1.2 do seu relatrio, o CMTSE afirma que se obtm tal garantia de integridade do software eleitoral pelo uso das tcnicas de assinatura digital. Esta proposta pode ser refutada , recorrendo-se avaliao do prprio inventor da tcnica de assinatura digital , Ronald Rivest, no seu artigo91 que apresenta o conceito de Independncia do Software em Sistemas Eleitorais (vide Seo 3.3 desta Rplica) justamente para enfrentar o problema da complexidade e dificuldade de testar a integridade de software de sistemas de votao, onde ele diz o seguinte: 2 Problema: A Complexidade do Software de Sistemas Eleitorais Sistemas eletrnicos de votao so complexos e esto ficando cada vez mais, conforme se tornam mais complexas as eleies e a interface com o eleitor. Os requisitos para um sistema eleitoral tambm so exigentes: preciso da apurao final, inviolabilidade do voto e segurana contra ataques e mantm graves conflitos entre si... Encontrar todos os erros em sistemas amplos beira o impossvel ou muitssimo caro. Nossa habilidade de desenvolver software complexo de longe excede nossa habilidade de provar sua exatido ou de test-lo satisfatoriamente a custos razoveis. (traduo do CMind)
91 Rivest R.R. , Wack, J.P. - On the notion of "software independence" in voting systems. EUA : National Institute of Standards and Technology (NIST), 28/07/2006 - http://vote.nist.gov/SI-in-voting.pdf

76

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Na Subseo 4.1.3 e no Anexo 4 desta Rplica elencam-se, respectivamente, as limitaes financeiras e as dificuldades tcnicas dos fiscais externos para confirmar a integridade do software de mais de 400 mil urnas eletrnicas por meio da verificao das assinaturas digitais. Enfim, longe de ser tarefa simples, impossvel na prtica a proposta do CMTSE para garantir a inviolabilidade do voto pela auditoria do cdigo e verificao de sua integridade com assinatura digital, como corrobora a experincia de todos os representantes das entidades fiscalizadoras externas que acompanham a produo dos sistemas do TSE desde 2004, e que tambm so todos membros do CMind. Ademais, em sua anlise sucinta e simplria do tema, o CMTSE deixou de considerar e avaliar o efeito psicolgico negativo da vinculao da identificao do eleitor com a mquina de votar sobre a possibilidade de coao dos eleitores em larga escala, independente da integridade do software instalado. Na Subseo 3.1.1 desta Rplica foram apresentados os casos documentados de coao de eleitores em larga escala, na modalidade denominada Voto-de-Cabresto-emMassa, ocorridos em Porto Alegre (1998) e no Rio de Janeiro (2008). uma fraude eleitoral, de natureza psicolgica, que sobrevive e cresce a cada eleio, explorando a equivocada forma de identificar os eleitores na mesma mquina de votar que a autoridade eleitoral decidiu adotar, e as urnas biomtricas, que j tm sido o objeto de larga campanha publicitria do TSE, vo realimentar as condies psicossociais que tornam vivel essa modalidade de fraude. Desta forma, independente de estar integro ou no o seu software, mquinas de identificar o eleitor acopladas a mquinas de votar facilitam e at estimulam o Voto-deCabresto-em-Massa, problema este que, para ser enfrentado, tem gerado desgaste ao administrador eleitoral e custos adicionais crescentes de publicidade em larga escala, sem que se saiba at onde, e como, a propaganda resolveria o problema. O CMTSE praticamente se omitiu em relao a este problema, no apresentou nenhum argumento consistente a respeito, desconheceu a experincia real da fiscalizao eleitoral externa no Brasil, ignorou o que discutido e proposto no meio acadmico internacional sobre as dificuldades de validar e certificar software eleitoral e props soluo impossvel na prtica. Enfim, deu tratamento leviano proposta do legislador de separar as mquinas de votar e de identificar o eleitor.

Comit Multidisciplinar Independente

77

4.4

Impresso do Voto

O principal argumento apresentado pelo CMTSE para justificar sua defesa do uso de mquinas DRE sem VICE foi apresentado na Seo 3.2 do seu relatrio, onde est especificamente dito: relevantes estudos1 advogam a tese de que todos os sistemas eletrnicos de votao em uso tm deficincias, mas que cada sistema passvel de medidas de mitigao dos riscos em cada caso. Desta forma, escolhida uma das tecnologias, h que se atentar para as salvaguardas como custo necessrio da opo feita. Isso se aplica no caso brasileiro tambm, cujo sistema do tipo conhecido como DRE (Direct Recording Electronic), sem impresso do voto.
1 Brennan; Voluntary Voting System Guidelines Recommendations to the Election Assistance Commission AUGUST 31, 2007). (sic)

Como detalhado na Subseo 2.3.2 desta Rplica, essa referncia bibliogrfica (1), acima transcrita, ambgua e aponta para dois estudos diferentes, ambos relevantes: o Relatrio Brennan e as Diretrizes VVSG. No sumrio executivo92 do Relatrio Brennan se encontram as seguintes colocaes:

"DESCOBERTAS PRINCIPAIS
As vulnerabilidades mais preocupantes de cada sistema podem ser substancialmente eliminadas se contra-medidas APROPRIADAS forem implementadas no nvel estadual e municipal.

VULNERABILIDADES DOS SISTEMAS DE VOTAO


Depois de uma reviso de mais de 120 ameaas a sistemas de votao, a Fora-Tarefa chegou s concluses cruciais a seguir: Quando o objetivo mudar o resultado de uma eleio apertada, ataques que envolvem a insero de programas de computador maliciosos ou outros softwares corrompidos o que h de mais fcil. Mquinas DRE sem VICE no contam com uma poderosa medida para impedir ataques de software: as rotinas de auditoria automticas ps-eleio que comparem os registros em papel com os registros eletrnicos.

RECOMENDAES DE SEGURANA
1. Efetuar Auditorias Automticas de rotina comparando os Votos Impressos Conferveis pelo Eleitor com os Registros Eletrnicos aps cada eleio. O Voto Impresso Confervel pelo Eleitor acompanhado de uma slida Auditoria Automtica pode ser um bom caminho para tornar os ataques mais simples, bem mais difceis. " De fato, o Relatrio Brennan diz que cada sistema deve ter suas vulnerabilidades mitigadas por contra-medidas apropriadas, porm, ao contrrio do citado pelo CMTSE, literalmente declara que a principal contra-medida apropriada para mquinas DRE o uso do Votos Impressos Conferveis pelo Eleitor em auditorias de rotina sobre a apurao.
92 sumrio executivo em portugus em: http://www.votoseguro.org/textos/brennan-pt.pdf

78

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

A sua primeira e principal recomendao de segurana para sistemas eleitorais justamente "efetuar Auditoria Automtica de rotina comparando os Votos Impressos Conferveis pelo Eleitor com os RDV" o que no possvel em mquinas DRE sem voto impresso. Portanto, o contedo do Relatrio Brennan NO CORROBORA O ARGUMENTO DO CMTSE que o citou. Tambm nas Diretrizes VVSG, mquinas DRE sem voto impresso so explicitamente rejeitadas. Na seo de introduo do VVSG j colocada sua posio: Intro: 2.4 Software Independence All voting systems must be software independent in order to conform to the VVSG... One example of a software dependent voting system is the DRE, which is now non-conformant to this version of the VVSG. Que traduzimos para: Intro: 2.4 Independncia do Software Todo sistema [eletrnico] de votao precisa ter independncia do software para estar conforme com estas diretrizes... Um exemplo de um sistema que dependente do software o modelo DRE [das urnas brasileiras], que no est conforme com estas diretrizes. Tambm est evidente que, AO CONTRRIO DO CITADO PELO CMTSE, as Diretrizes VVSG explicitamente descredenciam o uso de mquinas DRE sem VICE. Em resumo, os dois relevantes estudos apontados pela referncia ambgua do CMTSE afirmam o oposto ao citado. Ou seja, dizem literalmente o contrrio daquilo que os autores do CMTSE lhes imputam pelo contexto da referncia. Os membros do CMTSE houveram por bem apresentar a citao de forma imprecisa, sem indicar os captulos ou itens que confirmassem a tese alegada, encobrindo, assim, o fato de que tais itens corroborantes sua posio simplesmente inexistem nas obras citadas. Por bvio que inexistem! O que h nos trabalhos citados mostra o oposto, j que so trabalhos srios e seus autores so profissionais de grande projeo com emritas reputaes a zelar. Indicar obra de grande renome como referncia bibliogrfica, mas sob forma mal especificada e cujo contedo literalmente oposto ao citado, para emprestar crdito a ponto de vista polmico que se pretende defender, vcio que retira toda credibilidade do Relatrio do Comit Multidisciplinar TSE e do seus autores. To grave atitude tem o potencial de vir at macular a imagem da Justia Eleitoral, pois esse relatrio, com tais inveracidades, foi formalmente entregue 93 aos Deputados da CCJC como sendo a palavra oficial do TSE , e tambm poder vir macular as imagens das demais instituies as quais seus autores esto profissionalmente vinculados, a saber: o Ministrio de Cincia e Tecnologia, a UnB e a UNICAMP.
93 Notcia do TSE: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1187457

Comit Multidisciplinar Independente

79

4.4.1

Votao manual e vulnerabilidades da impresso do voto

Na Subseo 3.2.1 do seu relatrio, o CMTSE lista as vulnerabilidades da impresso do voto para fundamentar o argumento de que a impresso no elimina a possibilidade de fraudes no processo, mas introduz uma srie de outros riscos. Porm muito diferente o rigor sob o qual o CMTSE analisa o voto impresso daquele sob o qual avalia o voto eletrnico. Por exemplo, pode-se utilizar em ambos - voto virtual ou voto impresso - as tcnicas de assinatura digital para garantia de autenticidade e de originalidade dos dados. Quando aplicadas ao voto eletrnico, o CMTSE denomina-as de salvaguardas, sem nenhuma restrio. Mas quando aplicadas ao voto impresso, o CMTSE assume posio fortemente crtica e afirma no item 3 da Subseo 3.2.1: 3. A adio de evidncias criptogrficas, que tm sido proposta como um mtodo para evitar a insero de votos [impressos] no autorizados, no efetiva pois o eleitor nunca vai saber se o seu verdadeiro voto continha as evidncias corretas, quando foi criado. Neste caso, os votos podero no ser apurados durante a recontagem evidente o desequilbrio de tratamento. Essa mesma observao acima poderia ser aplicada ao voto eletrnico, j que neste o eleitor no tem como sabe r se as evidncias criptogrficas (assinatura digital) colocadas nos Registros Digitais do Voto (o voto eletrnico) garantem que estes contenham as evidncias corretas do seu voto. O CMTSE no explica porque rejeita para o registro impresso do voto a mesma tcnica de segurana que declara como salvaguarda do registro digital do voto. A ideia de acrescentar a assinatura digital da prpria urna eletrnica ao voto impresso tem por funo garantir a autenticidade da origem , ou seja, que o voto foi impresso em determinada urna, detentora nica de uma chave privada de assinatura digital, e que possa ser conferida contra a chave pblica correspondente em plataforma neutra. A verificao dessa assinatura digital, em voto impresso de origem duvidosa, pode ser feita em qualquer plataforma computacional, sem prejuzo das outras salvaguardas protegidas pela autoridade eleitoral. E quem ir, conferir as evidncias criptogrficas com as evidncias do voto impresso, ser quem estiver na posio de auditor aps a eleio e no o eleitor ao votar, exatamente como ocorre com o RDV. O CMTSE volta a dar trato desequilibrado ao voto impresso quando descreve, no item 7 da Subseo 3.2.1, possvel fraude ao voto impresso em mquinas DRE. Essa modalidade de fraude em urnas eletrnicas mesmo com o voto impresso uma daquelas 128 descritas no Relatrio Brennan. Consiste no seguinte procedimento: 1. em mquinas DRE com VICE, o software de votao e apurao poderia ser adulterado para imprimir o voto errado numa primeira tentativa de desviar o voto de um candidato para outro; 2. Se o eleitor, desavisado, no conferir o voto impresso e o confirmar, o software desonesto completa a fraude, criando um RDV igualmente falso. A fraude est consumada; 3. Se o eleitor, atento, rejeitar o voto impresso adulterado, cancelando-o, o software desonesto disfara a tentativa de fraude, imprimindo um novo voto, agora correto, para confirmao do eleitor. Nesse caso, o RDV tambm ser gravado com o voto correto para no deixar rastros e gerar suspeitas.

80

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

Primeiro, destaque-se o fato do CMTSE ter apresentado essa fraude como vivel, pois, nesse momento, passou a aceitar implicitamente que o software de mquinas DRE so passveis de adulteraes fraudulentas para desviar votos. E, se o software de Mquinas DRE com VICE podem ser adulterados para tentar desviar votos, certamente tambm podem o de Mquinas DRE sem VICE. Assim, numa avaliao imparcial, essa possibilidade deve ser analisada em ambos os casos, ou seja, em Mquinas DRE com e sem VICE. No caso do voto impresso, vimos acima, o eleitor atento consegue se defender da fraude. No caso de Mquinas DRE sem VICE a fraude fica assim: 1. o software de votao e apurao poderia ser adulterado para criar um Registro Digital do Voto errado diferente do visto e confirmado pelo eleitor; 2. O eleitor, qualquer que seja sua ateno, no tem como conferir se o gravado no RDV mesmo o seu voto. A fraude est consumada; evidente que o Voto Impresso Confervel pelo Eleitor criou para o eleitor a alternativa de se defender da fraude de adulterao do software . Essa alternativa no existe em Mquinas DRE sem VICE. E para defender o eleitor desavisado - aquele que, sem treinamento, no confere o voto impresso - deve-se fazer uma campanha instrutiva e motivadora, ensinando o eleitor a votar corretamente em mquinas com VICE. Porm, o CMTSE sofisma para se alinhar com o pensamento do seu coordenador. Contaminando-se de parcialidade, distorce o caso e descreve essa defesa contra a adulterao do software das urnas eletrnicas como se fosse vulnerabilidade do voto impresso, enquanto omite que nenhuma defesa possvel ao eleitor nas mesmas urnas sem voto impresso. Tambm importante lembrar que a efetividade dessa defesa em mquinas DRE com VICE no exige que TODOS os votos impressos sejam conferidos de fato . Para que funcione, basta que, em ordem aleatria, alguns eleitores confiram o voto impresso ao votar. Essa considerao tambm derruba outro sofisma argumentado no item 10 da Subseo 3.2.1 do relatrio CMTSE, de que eleitores portadores de deficincias e analfabetos seriam prejudicados por no conseguirem conferir o voto impresso. Sem o voto impresso, esses eleitores, e mais todos os que enxergam e leem, j esto completamente prejudicados em seu direito a conferir o destino do voto. Doutra feita, uma eventual repetio de impresso errada do voto, para eleitores que veem e leem, serve como forte indcio ou suspeita de disfuno ou desvio, tornando esse tipo de fraude arriscado, enquanto sem o VICE a fraude seguir invisvel para todos. falacioso, portanto, o raciocnio do CMTSE. Desde que cegos e analfabetos votem em ordem aleatria, misturados com outros eleitores habilitados a conferir o voto impresso, TODOS ESTARO PROTEGIDOS pelo Voto Impresso Confervel pelo Eleitor contra a fraude de adulterao do software em mquinas DRE. Mesmo cegos e analfabetos resultam beneficiados por esta defesa com o voto impresso.

Comit Multidisciplinar Independente

81

por isso que todos, incluindo as Diretrizes VVSG que normatizam o voto eletrnico nos EUA, dizem voto impresso CONFERVEL pelo eleitor e no CONFERIDO. Para sua eficcia, no necessrio que todos o confiram, mas que possam conferi-lo. A parcialidade com que o CMTSE avalia o voto impresso chega ao extremo, beirando a hbris, no item 8 da Subseo 3.2.1, onde afirma: 8. A impresso do voto requer um re-exame do significado dos termos "voto" e "voto oficial". Isto no um exerccio meramente semntico, mas uma grande questo legal e de significncia constitucional. Pode um pedao de papel ser considerado voto se ele no nem marcado ou mesmo tocado pelo eleitor? Neste caso, mudanas legais significativas devero ser feitas.... Neste momento importante demarcar uma diferena crucial entre o voto impresso e o voto virtual: o voto impresso gravado no papel ANTES de ser visto e confirmado pelo eleitor; o voto virtual gravado no arquivo RDV DEPOIS de confirmado pelo eleitor.

Assim, o voto impresso confervel pelo eleitor enquanto o RDV no tem como ser conferido. Lembre-se que o CMTSE reconheceu implicitamente, ao criticar o voto impresso, que o software de mquinas DRE pode ser viciado para adulterar o RDV. O administrador eleitoral sempre considerou vlido o RDV como expresso do voto, mas ao colocar este item 8, o CMTSE questiona se um pedao de papel impresso que o eleitor viu mas no tocou pode, semntica e juridicamente, ser considerado seu voto! indubitvel que o VICE, visvel e confervel, rene qualidades semnticas e ontolgicas muito superiores s do invisvel RDV para representar o voto do eleitor. Esse tipo de sofisma, colocado pelo CMTSE no item 8 acima transcrito, s faria sentido sob a tcita presuno de que quem manipula o software gerador do RDV so sempre incorruptveis anjos-do-bem. A prola final dos argumentos equivocados e absurdos do CMTSE contra o voto impresso est no item 9 da Subseo 3.2.1 e que tambm foi apresentado pelo Sr. Amndio Ferreira Balco Filho, membro do CMTSE, em audincia pblica na Assembleia Legislativa de So Paulo no dia 01 de junho de 2009. Afirma que um dos problemas de existir o voto impresso que havendo uma forma alternativa de conferir e recontar os votos eletrnicos, todos os candidatos vo querer se valer desta possibilidade e vo querer conferir a apurao eletrnica. uma posio obscurantista, que coloca a vontade do candidato de conferir a apurao do voto como se fosse algo condenvel e no um direito soberano e objetivo nascido da conjuno do direito constitucional de ser votado com o Princpio da Publicidade no processo eleitoral, como insculpido em lei e discutido na Subseo 4.1.1 desta Rplica. Essa surpreendente colocao em pblico do Sr. Amndio Filho causou indignao na plateia na Assembleia paulista, provocando apupos e tornando necessria a interveno do presidente da mesa para pedir ordem para prosseguimento da audincia. mais um exemplo de como o acmulo de poderes da autoridade eleitoral brasileira tem-na levado a relegar direitos dos eleitores e dos partidos, e que, tambm neste caso, foi postura encapada pelos membros do CMTSE.

82

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

4.5

Sobre as Concluses e Recomendaes do CMTSE

Nas concluses do CMTSE, apresentadas na Seo 4.1, de incio, h completa omisso sobre os aspectos jurdicos levantados pelos deputados da CCJC, tais como as consequncias do acmulo de poderes no processo eleitoral brasileiro e os diretos dos eleitores comuns e candidados a um sistema eleitoral que lhes permita acompanhar o destino do voto sem recorrer a conhecimentos especiais e diferenciados. No item 3 das suas concluses, o CMTSE volta a repetir citao imprecisa e ambgua ao Relatrio Brennan e s Diretrizes VVSG, novamente invertendo o mrito do citado para tentar justificar seu discutvel argumento , como j descrito na Seo 4.4 desta Rplica. No item 4 das concluses, o CMTSE faz interessante observao, em rebuscada linguagem, dizendo: ... o caso do Processo Eleitoral Brasileiro, que peculiarmente possui um complexo processo organizacional, com modos precisos de verificao e auditoria, impondo altos custos/benefcios na explorao de possveis vulnerabilidades identificadas. No entanto, em nenhum local do mesmo Relatrio CMTSE apresentado algum estudo ou esboo de estudo sobre a citada relao custo/benefcio de eventuais fraudes, que justifique ou embase essa concluso. Uma proposta94 de elaborao desse tipo de estudo foi apresentada em 2000 durante o Simpsio de Segurana em Informtica SSI'2000, no ITA. A proposta chegou ao conhecimento da secretaria de informtica do TSE por meio de seus assessores tcnicos convidados para assistir a apresentao pelo organizador do evento, o prof. Clovis Torres Fernandes, membro do CMind. A proposta nunca foi aceita pelo corpo tcnico do TSE e surpreende que o coordenador do CMTSE assine essa concluso apontando para uma direo de estudo que sempre desconsiderou. O Relatrio Brennan, de 2006, contm um extensivo e bem elaborado - nico conhecido - estudo de riscos e custos sobre fraudes em sistemas eleitorais e argumenta contra mquinas DRE sem VICE: Depois de uma reviso de mais de 120 ameaas a sistemas de votao, a Fora-Tarefa chegou s concluses cruciais a seguir: Quando o objetivo mudar o resultado de uma eleio apertada, ataques que envolvem a insero de programas de computador maliciosos ou outros softwares corrompidos o que h de mais fcil. Mquinas DRE sem VICE no contam com uma poderosa medida para impedir ataques de software: as rotinas de auditoria automticas ps-eleio que comparem os registros em papel com os registros eletrnicos.
94 Brunazo F., A. Avaliao da Segurana da Urna Eletrnica Brasileira, in Anais do Simpsio de Segurana em Informtica SSI 2000. So Jos dos Campos: ITA, 10/2000 http://www.votoseguro.org/textos/SSI2000.htm

Comit Multidisciplinar Independente

83

Essas concluses sobre riscos e custos de mais de 120 modalidades de fraudes no voto eletrnico, contidas no Relatrio Brennan, esto fundamentadas em regras de avaliao explicitadas e em dados e tabulaes apresentados, s claras, ao longo de suas quase 200 pginas. Totalmente diferente da concluso oposta que o CMTSE apresenta num sucinto pargrafo desassociado de qualquer estudo que a fundamente, sem mostrar dados, sem definir regras e mtricas de avaliao e valendo-se aqui e ali de referncias falsas. Ainda, no item 5 das suas concluses, o CMTSE coloca que o sistema vem funcionando sem comprovaes concretas de fraude at o momento. Mais uma vez, uma concluso fruto de anlise superficial e incompleta , onde deixou-se de ouvir aqueles que denunciam as dificuldades de produzir provas num processo sob total concentrao de poderes como relatado nas Sees 3.1, 4.1.2, 4.2.3 e 4.2.4 desta Rplica. Por fim, as quatro recomendaes do CMTSE, presentes na Seo 4.2, refletem a superficialidade da anlise desenvolvida. Resumidamente, so as seguintes: 1. 2. 3. 4. Criar uma comisso pblica para propor melhorias ao TSE. Melhorar a comunicao do TSE com o pblico. Criar um portal na Internet para atender o item 2. Estabelecer cronograma para apresentao dos programas das urnas eletrnicas.

So recomendaes diversionistas, que no focam os problemas apontados nos relatrios da CCJC Por vazias que so, no causaram nenhuma reao ou aceitao pelo destinatrio, o TSE. Passados 9 meses do seu enunciado, nada mudou. No se vislumbra como essas recomendaes vazias possam atender a revindicao por formas mais simples de fiscalizao que viabilizem tcnica e financeiramente a auditoria do resultado eleitoral eletrnico pela sociedade.

84

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

5 5.1

Concluses Finais e Recomendaes do CMind Concluses sobre o Relatrio CMTSE

A anlise dos argumentos tcnicos defendidos, bem como dos OMITIDOS, no Relatrio do CMTSE revelou perceptvel PARCIALIDADE E SUPERFICIALIDADE, como repetidamente demonstrado ao longo desta Rplica. A parcialidade na avaliao do tema parece ter sido consequncia direta da composio do CMTSE, que recaiu exclusivamente em membros comprometidos com o projeto do seu coordenador e assessorados apenas por funcionrios da equipe tcnica responsvel direta pelo sistema criticado nos relatrios da CCJC. Ao contrrio da CCJC, que, como recomenda a prudncia e o mtodo cientfico, se abriu para ouvir defensores de diversas linhas de pensamento, o CMTSE se fechou e evitou conhecer o contraditrio. No procurou ouvir diretamente nenhum dos especialistas com viso discordante da administrao eleitoral, citados nos relatrios da CCJC. A superficialidade da anlise desenvolvida pelo CMTSE se manifesta por diversas peculiaridades, tais como: Referncias bibliogrficas escassas, imprecisas, generalizadas e, por vezes, falsas, sem especificao clara e correta dos objetos, itens e captulos citados (ver exemplos nas Sees 2.3 e 4.4 e Anexo 4 desta Rplica). Omisso perante problemas denunciados (vide Seo. 4.1 desta Rplica) como o acmulo de poderes do administrador eleitoral, a responsabilidade deste pela desinformao do eleitor durante a experincia com voto impresso em 2002 ou a falta de recursos e a inviabilidade prtica para a fiscalizao dos partidos. Anlises sucintas ou excessivamente reduzidas (vide Sees 4.2.1, 4.2.2 e 4.3) por exemplo, a descrio em apenas dois pargrafos do processo de desenvolvimento dos softwares eleitorais, declarando sua efetividade, quando conhece-se o estudo detalhado da Fundao COPPE-UFRJ, que precisou de 116 pginas, descrevendo as falhas que ainda persistem no mesmo processo. Incoerncia nos argumentos - como apresentar a auto-verificao do software das urnas como se fosse auditoria independente do software (vide Anexo 4 desta Rplica) e ao indicar como salvaguardas o uso de Urnas Biomtricas e os Testes de Votao Paralela, que so dois recursos incompatveis e mutuamente excludentes, revelando que nem se percebeu a incompatibilidade. Verifica-se que o Relatrio CMTSE consiste numa reproduo fiel dos argumentos apresentados anteriormente por seu coordenador em audincias pblicas na Comisso de Constituio e Justia e de Cidadania (CCJC) da Cmara dos Deputados mostrando sua natureza muito mais descritiva da posio oficial do que crtica sobre ela. Para tomar emprestado crditos, o CMTSE foi a extremos chegando a citar, com explcita inverso de mrito, trabalhos tcnicos de terceiros como justificativa de seus argumentos (vide Seo 4.4 e Anexo 4 desta Rplica).

Comit Multidisciplinar Independente

85

Diante dessas condies, conclui-se que o Relatrio do Comit Multidisciplinar do TSE no construiu a credibilidade necessria para o fim que se props, devendo ser desconsiderado em qualquer anlise sria com o fim de aperfeioar o nvel de confiana e de segurana do sistema de votao eletrnica brasileiro. ...algum pode enganar poucos por muito tempo, muitos por pouco tempo, mas no todos por todo o tempo. Abraham Lincoln 5.2 Concluses Gerais e Recomendaes do CMind A concluso final do CMind que o TSE pode e deveria fazer mais. Alm do sistema de apurao rpida, que j nos oferece, o TSE deveria propiciar uma sistema eleitoral de apurao confervel pela sociedade civil. Com relao a todo o processo eleitoral brasileiro concluiu-se que nele h exagerada concentrao de poderes, resultando em comprometimento do Princpio da Publicidade e da soberania do eleitor em poder conhecer e avaliar, motu prprio, o destino do seu voto. Como consequncia disso, constata-se que no sistema eleitoral brasileiro atual IMPOSSVEL para os representantes da sociedade conferir e auditar o resultado da apurao eletrnica dos votos. Em outras palavras, desde 1996 a sociedade civil brasileira no tem como conferir e confirmar o resultado publicado pela autoridade eleitoral e foi esta impossibilidade de auditoria independente do resultado que levou rejeio de nossas urnas eletrnicas em todos os mais de 50 pases que aqui vieram estud-la. As recomendaes dos membros do Comit Multidisciplinar Independente so as seguintes: 1. Propiciar separao mais clara de responsabilidades nas tarefas de normatizar, administrar e auditar o processo eleitoral brasileiro , deixando Justia Eleitoral apenas a tarefa de julgar o contencioso. Em especial, dentro da estrutura administrativa eleitoral, as funes de projeto, de operao e de auditoria interna deveriam ser totalmente separadas, no devendo as mesmas pessoas se ocuparem destas tarefas, como hoje ocorre. 2. Possibilitar uma auditoria externa dos resultados eleitorais totalmente independente das pessoas envolvidas na sua administrao. Em especial, as regras de fiscalizao e auditoria externa no podem ser estabelecidas pelos prprios administradores e operadores, os fiscalizados enfim. 3. Regulamentar mais detalhadamente o princpio de independncia do software em sistemas eleitorais definindo claramente as regras de auditoria com o Voto Impresso Confervel pelo Eleitor. Em especial, na regulamentao do Art. 5 da Lei 12.034/09, deve-se cuidar para que no se volte a inviabilizar a conferncia da apurao eletrnica.

86

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

ANEXO 1 Informao 002/2008-STI do TSE


Emitida no dia 11 de novembro de 2008, pelo Secretrio de Informtica do TSE e Coordenador do CMTSE

Comentrios:
Esse ofcio do TSE, cuja integra apresentado adiante, foi emitido em resposta petio de 12 de agosto de 2008 feita pelos representantes dos partidos que acompanhavam a apresentao dos sistemas no TSE e que pretendiam conhecer os relatrios parciais elaborados pela empresa FACTI, que estavam induzindo correes e modificaes no software das urnas eletrnicas. A deciso, negando a apresentao dos relatrios, foi dada em 12 de novembro de 2008, depois de j encerrada a cerimnia de apresentao dos sistemas em 15 de setembro de 2008. Para justificar o impedimento de acesso dos representantes dos partidos aos relatrios parciais que afetavam os programas, no pargrafo 5 dessa informao foram apresentados os seguintes argumentos: A petio dos fiscais representantes dos partidos seria uma inoportuna e no justificada interferncia de terceiros. Os relatrios parciais eram referentes fase inicial, inconclusa dos testes preparatrios (embora j estivessem provocando modificaes no sistema). O solicitado envolvia matria atinente segurana em tecnologia da informao.

Esses argumentos discricionrios e incoerentes revelam autoritarismo. E a deciso de manter dados secretos demonstra a adeso do administrador eleitoral ao Princpio de Segurana por Obscurantismo, radicalmente imprprio para esse caso onde deveria prevalecer o Princpio da Publicidade (ou Transparncia) do processo eleitoral cristalizado no Art. 66 da lei 9.504/97 o qual, apesar de ter sido citado na Subseo 2.1.1 do Relatrio CMTSE como salvaguarda do processo, no integralmente cumprido pela autoridade eleitoral. A integra da Informao 002/2008/STI apresentada a seguir.

Obs.: Os erros na numerao dos pargrafos constam do documento original. Os destaques em negrito foram colocados pelo CMind.

Comit Multidisciplinar Independente

87

TRIBUNAL SUPERIOR ELEITORAL


Informao n. 002/2008 - STI Referncia: Petio n 1896 Assunto: Peties nos 11.209/2008 e 19.603/2008 Senhor Diretor-Geral, Tratam-se de Peties protocolizadas pelo Partido dos Trabalhadores PT, pelo Partido Democrtico Trabalhista - PDT e pelo Partido da Republica - PR (Prot. 11.209/2008 e 19.603/2008 - fls. 45/51) requerendo, em sntese: Alteraes na proposta de minuta de resoluo que disciplina os testes de vulnerabilidade quanto segurana do sistema eletrnico de votao; Juntada, aos presentes autos, do contrato TSE n 32/2008, firmado com a FACTI, com a anuncia do CTI, que tem como objeto a prestao de servios de consultoria para a elaborao, o acompanhamento da execuo e a posterior anlise dos testes de vulnerabilidade; Juntada, aos presentes autos, dos relatrios, atuais e futuros, decorrentes dos testes de vulnerabilidade, para conhecimento e considerao dos senhores Ministros dessa Corte, em seus julgamentos.

2. A proposta de minuta de resoluo referida pelos requerentes, foi elaborada pelo grupo de trabalho, institudo pela Portaria 339/2007, com vistas realizao de estudos sobre a viabilidade tcnica da efetivao dos testes de vulnerabilidade. O referido grupo de trabalho acatou o pedido de alterao da minuta no sentido de conceder prioridade aos partidos polticos na indicao de investigadores para os testes, bem como, a extenso da exigncia de ttulo de doutor a todos os membros da Comisso Avaliadora. Contudo, no mereceu acolhida, o pedido para que os representantes da Justia Eleitoral no tivessem direito a voto na Comisso Avaliadora, tendo em vista que os representantes da justia eleitoral constituiro minoria no quorum deliberativo, pois, a comisso ser composta por um representante de cada partido poltico que, em outubro de 2008, j totalizaram 27 (vinte e sete), por representantes dos institutos de pesquisa, pelo Ministrio Pblico, pela Ordem dos Advogados do Brasil e por, no mximo, 04 (quatro) representantes da Justia Eleitoral. A propsito, o grupo de trabalho apresenta nova proposta de minuta de resoluo, com as devidas alteraes.

88

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

2. No h bice ainda, ao deferimento do pedido de juntada, aos presentes autos, do Contrato TSE n 32/2008, mesmo porque, a formalidade e a publicidade, so princpios nsitos a todos os contratos administrativos. Inclusive, a publicao do contrato, na imprensa oficial, condio para sua eficcia. 3. O Contrato TSR n 32/2008, em sua clusula segunda, dispe sobre a execuo da prestao dos servios de consultoria para a elaborao, o acompanhamento da execuo e a posterior anlise dos testes de vulnerabilidade, especificando as atividades a serem realizadas pela empresa contratada (FACTI) . 4. O cronograma dessas atividades, nos termos contratualmente ajustados, composto de duas fases: a fase interna, relativa anlise preparatria dos testes. E a fase externa, na qual sero realizadas os testes pblicos, com a participao de todos os interessados. 5. A execuo do referido contrato encontra-se em sua fase inicial, inconclusa, dos testes preparatrios, de interesse exclusivo desse Tribunal, por envolver matria atinente segurana em tecnologia da informao, o que impossibilita o deferimento do pedido de juntada de relatrios parciais . Desse modo, a interferncia de terceiros, alheios ao contrato, alm de inoportuna, no se justifica, pelo fato de que, ao final, quando da realizao dos testes pblicos, os interessados tero amplo acesso e participao. Acrescente-se que os relatrios dos testes parciais em curso encontram-se devidamente arquivados neste Tribunal, e inteiramente disposio dos Ministros desta Corte, bastando que sejam requisitados a esta Secretaria. 5. Convm aclarar, que, devido conjuntura eleitoral, estuda-se a possibilidade da realizao dos testes pblicos no segundo semestre do ano de 2009. A sua considerao, Braslia, 12 de novembro de 2008.

GIUSEPPE DUTRA JANINO Secretaria de Tecnologia da Informao

Comit Multidisciplinar Independente

89

ANEXO 2 2002 e 2008 - Assinaturas Digitais Divergentes

Comentrios:
Neste anexo so apresentados o fac-simile de dois documentos produzidos pelo administrador durante o processo eleitoral de 2002 e de 2008 que comprovam a ocorrncia de problemas na verificao das assinaturas digitais e resumos digitais criptogrficos (hash) nas urnas eletrnicas. So exemplos acabados de como a concentrao de poderes cria as condies para abusos que acabam por comprometer a transparncia do processo eleitoral. O documento de 2002 apresentado no Anexo 2.1 um memorando da Secretaria de Informtica do TRE-PB aos supervisores dos polos de carga de urnas onde comunica a ocorrncia de divergncias nas assinaturas digitais nas urnas eletrnicas relativas aos valores publicados no portal do TSE. Com o explcito objetivo de evitarmos problemas com os partidos, ou seja, para esconder o problema dos fiscais externos (MP e Partidos), o servidor eleitoral graduado passa uma nova instruo a seus subordinados de que s devemos imprimir o hash se for solicitado, contrariando orientao geral que existia ento de sempre imprimilos para serem includos nas atas das cerimnias. O documento de 2008 apresentado no Anexo 2.2 - a primeira pgina da Tabela de Hash denominada Chaves das Urnas95, que foi calculada no dia 25 de setembro de 2008, sem a presena dos representantes dos Partidos , OAB ou MP, dez dias aps o encerramento da Cerimnia Oficial de Lacrao dos Sistemas que ocorrera em 15/09/2008.

95 http://www.tse.gov.br/internet/eleicoes/resumos_digitais/2008/chaves_ue.pdf

90

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

ANEXO 2.1

Comit Multidisciplinar Independente

91

ANEXO 2.2 Resumos Criptogrficos Chaves da Urna - pg. 1 de 4


arquivo completo em: http://www.tse.gov.br/internet/eleicoes/resumos_digitais/2008/chaves_ue.pdf

Calculados no dia 25 de setembro de 2008, sem a presena dos representantes dos Partidos, OAB ou MP, 10 dias aps o encerramento da Cerimnia Oficial de Lacrao dos Sistemas ocorrida em 15/09/2008

92

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

ANEXO 3 Extratos das Diretrizes VVSG


- traduzidos pelo CMind -

Voluntary Voting System Guidelines. U.S. Election Assistance Commission, 31/08/2007 http://www.eac.gov/vvsg

Intro: 2.4 - Independncia do Software Part 1: 2.7 - Independncia do Software Todos os sistemas de votao precisam ser independentes do software para estar conformes com esta norma. Testar [a integridade lgica de] software to difcil que auditorias da preciso de sistemas eleitorais no podem depender do prprio software estar correto. Assim, sistemas eleitorais devem ser 'software independent' para que auditorias no precisem confiar na correo do software do prprio sistema. Os registros dos votos [para auditoria] devem ser produzidos de maneira que sua exatido no dependa da integridade do software do sistema. Um exemplo de sistema dependente do software so as mquinas DRE, que no esto conforme com estas normas.

Intro: 2.4.1 Registros Independentes (do voto) Conferveis pelo Eleitor (RICE) Part 1: 2.7.1 - Obtendo a Independncia do Software via RICE requerido que, para ser independente do software, todo sistema eleitoral inclua um equipamento para registro independente do voto confervel pelo eleitor (RICE). RICE podem ser auditados independentemente do software do sistema de votao. Voto Impresso Confervel pelo Eleitor (VICE) uma forma de RICE baseados em papel. Atualmente, os sistemas de votao que podem satisfazer a definio de independncia do software usam o registros em papel confervel pelo eleitor como: digitalizadores pticos em conjunto com votos escritos ou VICE mquinas DRE com VICE

Part 1: 1.1.6 Requisitos Principais - ... Esclarece-se que registros redundantes do voto (RDV) gravados em mquinas DRE so para fins de recuperao e no devem ser confundidos com registros independentes do voto confervel pelo eleitor (RICE) como especificado na Part 1: 4.4 Registros Independentes (do voto) Conferveis pelo Eleitor

Comit Multidisciplinar Independente

93

Part 1: 4.4.1 Requisitos Gerais - ... registros conferveis pelo eleitor existem para prover um registro da vontade do eleitor independente (RICE) que possa ser usado para verificar a exatido do registro eletrnico (RDV) produzido pelo equipamento de votao.

Part 1: 4.4.1-A.1 Verificao pelo eleitor Equipamentos de votao DEVEM criar um RICE que o eleitor possa conferir sem auxlio de software, excetuando-se os programas-assistentes para deficientes.

Part 1: 4.4.1-A.2 Conferncia do RICE pelos fiscais Equipamentos de votao DEVEM criar um RICE que fiscais eleitorais e auditores possam conferir sem auxlio de software ou equipamentos programveis.

Part 1: 4.4.1-A.8 Formato pblico do RICE Equipamentos de votao DEVEM criar um RICE em formato pblico disponvel e sem restries, legveis sem informaes confidenciais, proprietrias e comerciais.

Part 1: 4.4.1-A.14 Permitido contedo no legvel no RICE O RICE PODE incluir cdigo e outras informaes ilegveis sobre o voto dado.

Part 1: 6.6-B.2 Formato de troca dos Registros do Voto Mquinas DRE e escaneadores ticos DEVEM usar um formato pblico disponvel e sem restries para exportar (para outros equipamentos) os Registros de Voto.

94

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

ANEXO 4 A verificao das assinaturas digitais nas urnas eletrnicas

O uso de assinaturas digitais como salvaguarda para determinar a integridade dos arquivos digitais usado no processo eleitoral, s tem eficcia se acompanhado de procedimentos seguros de verificao dessas assinaturas. No momento de conferncia das assinaturas digitais ou dos resumos digitais criptogrficos, se eles forem calculados sem que o prprio software sob anlise esteja rodando, so independentes do software e tm validade. No entanto, se forem gerados sob controle do prprio software a ser verificado, podem ser apenas uma simulao. Como a memoria permanente da urna do tipo que permite escrita e leitura dinmica, as assinaturas digitais ou os resumos digitais devem ser verificados ANTES de qualquer programa ser executado (inclusive antes at do sistema de inicializao, BIOS) e no depois. As regras da verificao das assinaturas so estabelecidas pelo prprio administrador eleitoral, que nesse caso tambm o agente cujo trabalho estar sendo fiscalizado. Em outras palavras, no processo eleitoral brasileiro o fiscalizado que estabelece as regras e limites da fiscalizao , o que no uma prtica jurdicoadministrativa recomendvel. Em 2008, as regras de verificao das assinaturas, citadas na Subseo 2.1.2 do Relatrio CMTSE, decorrem da Resoluo TSE 22.714/2008 e so as seguintes: a) b) c) Auto-verificao pelos programas de computador do sistema eleitoral. Impresso dos resumos digitais (hash) dos arquivos das urnas e computadores, pelo programa VPP ou VAD. Verificao de assinaturas por meio de programas prprios dos partidos, MP e OAB.

Obs.: o uso de aspas na expresso programas prprios se justifica porque, contrrio do que foi dito na Subseo 2.1.2 do Relatrio CMTSE, em 2008 nenhuma entidade fiscalizadora usou, de fato, programas prprios para verificao das assinaturas digitais. O PDT e o PR optaram por no usar esse recurso por causa da falta de confiabilidade descrita neste anexo, e o PT, MP e OAB receberam, pro-forma, programas desenvolvidos e compilados pelo prprio ente fiscalizado, o TSE, e no os usaram de forma sistemtica. Essas 3 formas de verificao de assinaturas, permitidas no processo eleitoral, no atendem ao conceito de Independncia do Software (vide Seo 3.3 desta Rplica) pois o prprio software cuja integridade se quer determinar que, estando em execuo: Faz a auto-verificao. Imprime os resumos digitais. Lana e controla o ambiente de execuo dos programas verificadores.

Comit Multidisciplinar Independente

95

A ineficcia dessas formas de verificao de assinaturas foi cabalmente demonstrada com a ocorrncia de erro na gerao das tabelas de resumos digitais j no TSE (caso descrito com mais detalhes na Subseo 3.1.4 desta Rplica). O Programa VPP, item (b) acima, acusava erro na verificao pois imprimia uma relao de resumos digitais diferente da tabela oficial. Mas os arquivos extras contidos na lista impressa, dizia o TSE, eram legtimos, revelando que o procedimento de verificao dos resumos digitais impressos pelo VPP resultava num falso negativo. O erro nas assinaturas dos sistemas pelo TSE tambm se propagou para os programas verificadores, item (c) acima, desenvolvidos pelo prprio TSE para uso pelo MP e pela OAB. Ao serem executados, os programas verificadores nem mesmo detectavam a presena dos arquivos sem assinaturas e no os listavam na respectiva tela de resultados, ou seja, seu resultado, ainda pior, era um falso positivo. Esses fatos demonstram que no confivel nenhuma das duas formas 'dependentes do software' para a verificao das assinaturas e resumos digitais que so permitidas pela administrao eleitoral aos fiscais externos. exatamente por causa dessa dependncia direta do prprio software para determinar a sua integridade, que as Diretrizes VVSG96 afirmam, em sua Seo Intro: 2.4 (vide Anexo 3 desta Rplica), o seguinte: Testar [a integridade lgica de] software to difcil que auditorias da preciso de sistemas eleitorais no podem depender do prprio software estar correto. Assim, sistemas eleitorais devem ser 'independente do software' para que auditorias no precisem confiar na correo do software do prprio sistema. Um exemplo de sistema dependente do software so as mquinas DRE, que no esto conforme com estas normas. O uso permitido para os programas verificadores de assinaturas consiste em se colocar um disquete na urna e depois lig-la para que o fiscal possa, de braos cruzados, observar a tela com o resultado de pretensa verificao. Alm de contrariar as Diretrizes VVSG, essa forma de verificao tambm est em flagrante conflito com o que foi proposto na Seo 5.5 do chamado Relatrio Unicamp 97, que diz: Aps a inseminao da urna deve ser permitido aos representantes de partidos o acesso aos programas internos da urna para clculo e verificao da conformidade de seu resumo com aquele divulgado ao final do processo de compilao... Como sugestes para a implementao da verificao da autenticidade dos programas, podem ser consideradas as seguintes alternativas: utilizao de um flash card externo que contenha um programa verificador; verificao do flash card interno em computador independente. Essas duas alternativas propostas no Relatrio Unicamp, se atendidas, garantiriam total controle do ambiente computacional pelo fiscal externo, permitindo que a verificao de assinaturas fosse feita ANTES de ser executado os softwares da urna, pois:
96 Voluntary Voting System Guidelines. USA: U.S. Election Assistance Commission, 31/08/2007 pgina virtual em: http://www.eac.gov/vvsg relatrio completo em: http://www.eac.gov/files/vvsg/Final-TGDC-VVSG-08312007.pdf 97 Tozzi, C.L. et al. - Avaliao do Sistema Informatizado de Eleies. Campinas: TSE, maio de 2002 http://www.tse.gov.br/internet/eleicoes/relatorio_unicamp/rel_final.pdf

96

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

as urnas eletrnicas tm sua inicializao (boot) preferencial pelo conector externo de cartes flash98. Assim, o flash-card externo pode assumir, como processo-pai, o controle do ambiente digital da urnas e verificar a integridade do que est gravado l dentro de forma totalmente independente; num computador independente da urnas, obviamente, a verificao de assinaturas tambm seria independente do software da urna.

Isto mostra que esta sugesto no chamado Relatrio Unicamp estava, precocemente, apontando para o conceito de Independncia do Software na sua proposta de verificao das assinaturas digitais, antes mesmo desse conceito ter sido enunciado em 2006 pelo inventor da tcnica de assinatura digital. No entanto, no sistema brasileiro, o prprio software a ser auditado que controla a plataforma e o ambiente computacional onde est instalado o programa de verificao de assinaturas. O programa verificador, gravado em disquete, executado dentro deste ambiente e no tem nunca como assumir o seu controle. Estar sempre sob controle do prprio software a ser auditado. Nada impede que um software maliciosamente adulterado instalado numa urna eletrnica, burle essas verificaes e gere resultados falso-positivos da seguinte forma: a) b) c) No executa a auto-verificao e segue adiante. Imprime os resumos digitais oficiais previamente conhecidos e publicados. Controle a ao dos programas verificadores, camuflando os arquivos adulterados.

Por isso, todas essas formas permitidas de auto-verificao permitidas pela autoridade eleitoral no atendem ao conceito de independncia do software e no servem como salvaguardas de segurana contra a adulterao do prprio software. Dentro das regras em que pode atuar, o auditor ou fiscal do partido nunca ter como saber se a urna eletrnica fiscalizada contm um software honesto ou um desonesto que burla as verificaes permitidas. Porm, o mais surpreendente que, no lugar de denunciar a ineficcia da verificao de assinaturas como regulamentado pela autoridade eleitoral e, ainda, que a proposta de verificao das assinaturas contidas na Seo 5.5 do chamado Relatrio Unicamp nunca foi atendida pelos procedimentos adotados pelo TSE, o CMTSE diz, na Subseo 2.1.3 do seu relatrio, o seguinte: Essa medida de auto-verificao foi implantada em atendimento sugesto do Relatrio da UNICAMP de 2002 Como a sugesto do citado, de verificao das assinaturas em plataforma computacional independente, nunca foi de fato atendida pela regulamentao do TSE em seus detalhes essenciais, revela-se aqui outra evidente inverso de mrito relativa ao contedo de obra citada no Relatrio CMTSE. Com esta atitude, o CMTSE volta a praticar ato imprprio, de natureza similar quele descrito na Seo 4.4 desta Rplica, que depe contra a credibilidade do seu relatrio e dos seus membros.
98 A sequncia de boot ou de inicializao das urnas eletrnicas : 1) conector externo de cartes flash; e 2) flash-card interno. Nunca o boot ocorre pelo disquete, o que impede os programas verificadores gravados em disquete de funcionarem em um ambiente independente do prprio software das urnas eletrnicas.

Comit Multidisciplinar Independente

97

ANEXO 5 Voto Eletrnico e Transaes Financeiras Digitais


Com frequncia, entre leigos em segurana de dados, costuma-se comparar a segurana e a confiana em sistemas de voto eletrnico com sistemas digitais de transaes financeiras. O argumento bsico e simples costuma ser: a tecnologia digital permite transmisso segura de valores enormes por computadores ento tambm pode desenvolver sistemas seguros para a contagem de votos. O CMTSE, na Subseo 3.2.1 de seu relatrio, aparenta endossar este argumento ao citar como referncia bibliogrfica para reforar suas posies, o seguinte artigo:
Paper versus Electronic Voting Records - An Assessment. http://euro.ecom.cmu.edu/people/faculty/mshamos/paper.htm (17 a 27) 2/14/2006 10:04:09 AM

Esse artigo, escrito em 2004 por Michael Ian Shamos, professor da Carnegie Mellon University, defende que o voto impresso no resolve os problemas de segurana de Mquinas DRE e, na base do seu argumento, compara o nvel da segurana em mquinas eletrnicas de votar com a eletrnica embarcada em avies comerciais e com sistemas financeiros virtuais que executam transaes financeiras de, pelo menos, $ 2 trilhes por dia. Shamos uma voz quase solitria no meio universitrio norte-americano quando defende essa posio. bem maior o nmero de professores universitrios e tericos da computao que argumentam na posio contrria. Citamos, a seguir, 3 autores americanos, todos detentores de grande reconhecimento no meio acadmico internacional, que afirmam que a dificuldade para se construir sistemas eleitorais seguros incomparavelmente maior do que outros sistemas, inclusive sistemas financeiros. Citamos tambm trabalho original de um dos coautores desta Rplica, que analisa os fundamentos e a natureza desta incomparabilidade. Ronald Rivest, cuja importncia fundamental na rea de segurana de dados digitais e do voto eletrnico foi descrita na Seo 3.3 desta Rplica, no artigo A Modular Voting Architecture99 publicado em 2001, apresentou a seguinte considerao: INTRODUO... A princpio, ns deveramos estar aptos para construir sistemas eletrnicos de votao confiveis. Na prtica, isto surpreendentemente difcil. Parece muito mais difcil do que construir sistemas de comrcio eletrnico confiveis. Uma razo que torna difcil construir sistemas digitais eleitorais confiveis que deve ser impossvel para o eleitor provar para terceiros em quem votou... O voto digital, uma vez gravado, precisa ser simultaneamente annimo e ilegvel (criptografado). Isto torna o voto eletrnico mais desafiador do que o comrcio eletrnico, onde existir recibos e documentos de rastreamento detalhados e completos a norma. (traduo do CMind)
99 Rivest, R. et al. - A Modular Voting Architecture. CalTech-MIT Voting Technology Project, EUA, 2001 http://people.csail.mit.edu/rivest/BruckJeffersonRivest-AModularVotingArchitecture.doc

98

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

J Bruce Schneier, premiado criptgrafo e autor dos maiores best-sellers sobre segurana digital, no seu artigo Internet Voting vs. Large-Value e-Commerce100 diz: H duas importantes diferenas entre grandes transaes financeiras e votao que fazem as primeiras muito mais aptas para implementao em sistemas digitais: anonimato e recuperabilidade. sistemas financeiros com identidade (cartes de crdito, ordens de pagamento, PayPal, etc.) so muito mais comuns que verses de 'dinheiro eletrnico' porque so mais fceis de tornar seguros. Todas as transaes financeiras de alto valor carregam nomes em anexo: quem recebe o dinheiro e quem paga. Votos carregam apenas o nome dos destinatrios; a principal caracterstica do voto secreto eliminar o nome do eleitor. isto que torna muito mais difcil proteger o sistema de fraudes, muito mais difcil de detectar fraudes e muito mais difcil de identificar o fraudador e prend-lo. Outra diferena entre grandes transaes financeiras e votao que se pode reconstruir a trilha da transao financeira. Isto importante. Se algum manipula um roubo de um bilho de dlares de um sistema financeiro, pode-se congelar a transao, tentar descobrir o que ocorreu e, possivelmente, recuperar o dinheiro. Se algum ajeita para desviar um voto, no tem nada que se possa fazer (o eleitor no pode ser chamado para uma nova votao)... Nossos sistemas de votao no possuem a mesma capacidade de refazer transaes que os sistemas financeiros possuem. Construir um sistema de votao seguro em rede um problema muito difcil, mais difcil que todos os outros problemas de segurana em computador que enfrentamos e no solucionamos. (traduo do CMind) Peter G. Neumann, cientista chefe do Computer Science Laboratory da ONG SRI International, um dos pioneiros a propor em 1993 os critrios de segurana necessrios para sistemas eleitorais digitais, em seu artigo Security Criteria for Electronic Voting 101, j comentava e previa as dificuldades de se implementar sistemas eleitorais: CONCLUSES... O requisito de inviolabilidade do voto e o requisito auditabilidade plena e garantida de ponta a ponta do voto so conceitualmente contraditrios. essencialmente impossvel contemplar ambos requisitos ao mesmo tempo [em sistemas eleitorais] sem recorrer a complicados mecanismos que, por sua vez, podem introduzir novas vulnerabilidades e oportunidades de subverso sofisticadas. (traduo do CMind) E por fim, Pedro Antnio Dourado de Rezende, coautor desta rplica e pioneiro no estudo de modelos semiolgicos de confiana para segurana em informtica, expe no artigo Modelos de Confiana para Segurana em Informtica 102, o seguinte:
100Schneier, B. - Internet Voting vs. Large-Value e-Commerce. Em Crypto-Gram Newsletter, Counterpane Internet Security, Inc. - 15/02/2001 - http://www.schneier.com/crypto-gram-0102.html#10 101Neumann, P.G. - Security Criteria for Electronic Voting - Computer Science Laboratory da SRI International; 1993 - http://www.csl.sri.com/neumann/ncs93.html 102Rezende, P. A. D. - Modelos de Confiana para Segurana em Informtica. Departamento de Cincia da Computao, UnB: 2009 - http://www.cic.unb.br/~pedro/trabs/modelos_de_confianca.pdf

Comit Multidisciplinar Independente

99

a utilidade das tcnicas criptogrficas [por exemplo, assinatura digital ou cifragem para sigilo] requer certas condies de confiabilidade no preparo do material que habilita ao uso dos mecanismos escolhidos, pelo que o uso adequado dos mesmos presume uma situao em que tais condies estejam atendidas. Ainda, o uso eficaz na situao presume, tambm, escolhas adequadas natureza da proteo almejada. fato por demais ofuscado, mas paradigmtico que h contextos onde dos mesmos dados e ao mesmo tempo um interesse a proteger demanda sigilo enquanto outro, integridade apenas (transparncia), e, desses dados, nenhum interessado mais dono". Por isso til, quando necessrio, distinguir entre segurana da informao, segurana informacional (relativa a informao) e na informtica (relativa a contextos informticos). Confuses entre essas metas de proteo assumem postura ideolgica ao reduzir todas primeira, que oblvia a conflitos entre interesse legtimos, trivializando as diferenas. Tais confuses, intencionais ou no, sempre dificultam a distino entre teatro e processo de segurana, principalmente onde houver conflitos de interesse . Entre sigilo e transparncia, por exemplo, o foco da proteo nos dados (e no nos interesses) ofusca conflitos e empoderamentos. A possibilidade de conluio j se constitui, pois em vetor para refinamentos na anlise de riscos e na gesto da Poltica de segurana. Na prtica, um modelo de interesses unipolar serviria para representar, alm de enredos trgicos em teatros de segurana, a semntica de riscos em sistemas cujos computadores foram desligados das tomadas e trancados em cofre cujo segredo foi perdido. ... A segurana em foco se resumiria a safety. Trata-se, portanto, de um modelo intil para processos reais de segurana no-triviais no estgio atual das tecno-imerses de prticas sociais, apesar de estar implcito em modelagens da Poltica de Segurana de entidades complexas que desconsideram, s vezes deliberada ou casuisticamente, riscos de ataque originados internamente (todos aqui so honestos, algum duvida disso?!). Ainda, enredos trgicos so tambm encenados no processo da segurana de entidades complexas cuja abordagem a riscos corresponde modelagens [de interesses] bipolar; isto , por entidades cuja Poltica de Segurana mapeia interesses conforme uma lgica binria, ns contra eles, reducionista demais para a situao em foco. Encenaes desses enredos tendem a surgir em situaes que envolvem sistemas sensveis em rede aberta, ou sistemas em rede fechada que atendem a interesses conflitantes e oponveis ao interesse superveniente (do dono do sistema). Ao no contemplar refinamentos multipolares [de interesses potencialmente conflitantes] em sua anlise de riscos, por orientao precria ou por outra razo, essas entidades se expem, junto com outras afetas situao e talvez despreparadamente, condio de refns, a armadilhas de coluso envolvendo mediadores e terceiros, ou ambas. O que escapa abordagem de Michael Shamos, o fato de que a modelagem bipolar de interesses til para a segurana digital de aplicaes financeiras, posto que o cliente e sua instituio financeira tm interesses que se alinham, enquanto perigosa para a segurana digital de sistemas de votao eletrnica, posto que o eleitor interessado em eleio limpa e dois candidatos que concorrem a um pleito tm interesses potencialmente conflitantes entre si, pelo que o risco de coluso - envolvendo operadores do sistema de votao - deve ser, neste caso, no apenas considerado, mas basilar para a eficcia do processo de segurana.

100

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

ANEXO 6 Contradita explicao do Caso Caxias-MA 2008


No esclarecimento ao Questionamento 7, contido no item I.1 do Anexo I do Relatrio CMTSE, apresentado um esclarecimento imprprio ao comentrio feito pelo eng. Amilcar Brunazo Filho, membro do CMind, sobre o caso ocorrido na cidade de Caxias, MA, em 2008. Uma reportagem da TV Bandeirantes, logo aps as eleies, apresentava reclamaes de eleitores e incluiu uma fala de 8 segundos de durao do eng. Amilcar Brunazo Filho. Nessa fala, foi feito um comentrio sobre o fato de existirem 16 arquivos extras nas urnas eletrnicas que no constavam da Tabela de Resumos Digitais ( hash) originais, que haviam sido calculadas no dia 15 de setembro de 2008 durante a cerimnia oficial de lacrao dos sistemas no TSE. No Anexo 2.2 e na Subseo 3.1.4 desta Rplica est apresentada, respectivamente, a tabela dos hashs extras e a explicao sobre o erro da equipe tcnica do TSE que resultou na gerao dessa nova tabela somente no dia 25 de setembro, FORA da cerimnia oficial e longe dos olhos dos fiscais representantes dos partidos , entre os quais se inclua o eng. Brunazo. Para uma entrevista sucinta para televiso aberta, no cabiam explicaes detalhadas sobre criptografia, assinaturas digitais e integridade de software. O eng. Brunazo se expressou nos seguintes termos, nos 8 segundos que disps: Na hora que tem programa l dentro [das urnas] que ningum sabe de onde veio, eu no sei o que o programa faz. Pode fazer qualquer coisa. Pode desviar voto, pode identificar voto, pode fazer o que quiser. No Esclarecimento 7 a esta entrevista, o CMTSE, no lugar de explicar que ocorreu um erro da equipe tcnica do TSE durante a gerao das tabelas de hashs que impedia os fiscais saberem de onde provinham tais arquivos extras, optou por esconder o erro dos seus assessores e impropriamente afirmou: Questionamento 7: O engenheiro Amilcar Brunazo afirma que a urna possui arquivos que "ningum sabe de onde veio". Esclarecimento 7: Todos os sistemas da urna eletrnica so assinados digitalmente para garantia de autoria e procedncia. Se as assinaturas digitais no estiverem corretas a urna eletrnica no funciona. Para efeito de fiscalizao, a eventual garantia de autoria ou procedncia de arquivos digitais s pode ser considerada vlida se a assinatura digital desses arquivos ocorrer em condies assistidas e controladas pelos fiscais e no a portas fechadas como ocorreu nesse caso. O Eng. Amlcar Brunazo Filho mantm sua afirmao de que havia programas nas urnas eletrnicas em 2008 que ningum [os fiscais] sabia de onde vinham.

Comit Multidisciplinar Independente

101

ANEXO 7 O Registro Digital do Voto - RDV


O Registro Digital do Voto, RDV, foi criado em 2003 pela Lei 10.740/03, para substituir o Voto Impresso Confervel pelo Eleitor. A aprovao dessa lei contou com forte apoio e presso por parte do presidente do TSE de ento, min. Seplveda Pertence, que interferiu ativamente tanto na votao da lei no Senado quanto na Cmara dos Deputados. No Senado, o Min. Pertence telefonou para o relator na CCJ, durante a sua votao, para solicitar a aprovao sem modificaes. Na Cmara, compareceu no ltimo dia do prazo reunio de lideres para solicitar a aprovao da lei em regime de urgncia urgentssima, no que foi atendido pelos parlamentares103. Nessas duas oportunidades, prometeu-se aos parlamentares que qualquer ajuste necessrio na lei seria feito posteriormente por meio de resoluo do TSE. Embora a ideia do RDV viesse acompanhada de promessas de total transparncia e acesso aos partidos104, desde a sua criao em 2003, o TSE nunca permitiu acesso livre dos partidos aos arquivos RDV.

2006 RDV negados


Uma petio PET TSE 2.722/2006 de dezembro de 2006, onde um partido poltico solicita acesso aos RDV de cinco Estados (Braslia, So Paulo, Rio de Janeiro, Paran, Alagoas, Bahia e Gois), passados mais de 3 anos, ainda no foi respondida. Sua apreciao vem sendo sistematicamente protelada no TSE, juntando-se pareceres e contra-pareceres de departamentos internos da administrao eleitoral, onde foi posta at a alegao de que o acesso ao RDV permitiria a violao do voto. Tambm no Caso Alagoas-2006 (vide Subseo 3.1.7 desta Rplica), foi negado acesso aos arquivos RDV para os assistentes tcnicos da parte que questionou o resultado e demonstrou haver diferenas na quantidade de votos registrados entre os arquivos LOG e os arquivos BU. A negativa de apresentao dos RDV de Alagoas partiu da Secretaria de Informtica do TSE atravs da Informao n 90/2006-ASPLAN/STI sob o argumento primeiro de ser questo de segurana. Lembre-se, no entanto, que antes da adoo das urnas eletrnicas, 100% dos Registros do Voto de ento as cdulas eleitorais eram automaticamente abertas e mostradas para conhecimento dos fiscais dos partidos. Enfim, o Registro do Voto, virtual ou material, deveria ser um documento de carter essencialmente pblico, como impe o Princpio da Publicidade.
103 Ver noticia do TSE em: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=12796 104 Ver ltimo pargrafo em: http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=12801

102

Relatrio sobre o Sistema Brasileiro de Votao Eletrnica

2008 RDV pr-processados


O acesso aos arquivos RDV originais gerados pelas urnas eletrnicas no foi possvel nem mesmo em 2008, quando foi emitida a resoluo TSE 22.770/08 que estabelece normas e procedimentos para a distribuio do arquivo RDV para fins de fiscalizao, conferncia, auditoria, estudo e estatstica. Essa resoluo, cuja redao foi proposta pelo coordenador do CMTSE , estabelecia ainda que os arquivos RDV fossem criptografados e, para serem entregues aos solicitantes, deveriam antes serem decriptografados ou pr-processados por sua equipe tcnica. Mas, o 6 do Art. 59 da Lei 9.504/97, que trata deste assunto, estabelece apenas que o arquivo RDV receba Assinatura Digital mas no prev Criptografia. A diferena funcional entre estas tcnicas so:

Assinatura Digital garante a integridade e a autenticidade de arquivos digitais mas mantm a legibilidade do documento. A conferncia de uma assinatura digital sempre feita atravs de uma CHAVE PBLICA sendo, portanto, perfeitamente compatvel com o Princpio de Publicidade. Em outras palavras, a assinatura digital tem por funo impedir a substituio de votos e a alterao dos registros, como previsto no 6 do Art. 59 da Lei 9.504/97, mas sem impedir que o contedo do arquivo possa ser visto, lido e conferido por um eventual fiscal ou auditor que a ele tenha acesso, independente de interferncia por terceiros;

Critpografia garante a confidencialidade de documentos digitais, tornandoos ilegveis. O deciframento de dados criptografados sempre feita por meio de uma CHAVE SECRETA, de forma que um procedimento que enfrenta o Princpio da Publicidade. Essencialmente a criptografia, que literalmente significa escrita escondida, modifica o contedo de um arquivo para que este se torne ilegvel ou incompreensvel para quem a ele tenha acesso. Para recuperar a legibilidade, para uso por um eventual fiscal ou auditor, o arquivo criptografado necessita antes ser decifrado (ou pr-processado) por aquele que detenha a chave secreta de deciframento.

Assim, o secretrio da STI/TSE e coordenador do CMTSE, ao propor o texto da resoluo que determina a criptografia do RDV e que seu deciframento seja centralizado sob seu prprio comando, basicamente, usou o poder de legislar da autoridade eleitoral para criar um privilgio e um poder para si prprio , ou seja, arvorou a si prprio a indita tarefa de conhecer e filtrar todos os Registros dos Votos de todas as urnas eletrnicas antes destes serem mostrados aos fiscais. E foi usando este poder discricionrio, no previsto em lei, que se recusou a apresentar os RDV de Alagoas em 2006, como citado acima. Criou, assim, um vis onde o atendimento ao Princpio da Publicidade do registro do voto deixa de ser automtico e direito de todos candidatos, passando a ser tutelado pelos agentes com o privilegio de serem os nicos a poder ler e conhecer o contedo do RDV diretamente.

Comit Multidisciplinar Independente

103

Certamente, este vis agride o carter pblico inerente a todo registro do voto e no est na direo de dar segurana ao cidado, pois est baseado em modelo de segurana bipolar (Vide Anexo 5 desta Rplica) onde o risco de coluso - envolvendo operadores do sistema de votao no est sendo considerado. No Esclarecimento 9 presente no Anexo I.2 do Relatrio CMTSE, se afirma que o RDV corresponde cdula em papel, mas na Subseo 4.1.1 desta Rplica, mostrou-se que h diferenas fundamentais entre o voto impresso e o voto virtual a ponto deste comprometer o Princpio da Publicidade no processo eleitoral, e a criptografia do RDV vem agravar essa impropriedade. As Diretrizes VVSG, que o CMTSE citou como referncia relevante a justificar as opes de segurana adotadas, estabelecem as regras para gerao e guarda de documentos usados para conferncia ou recontagem dos votos em mquinas de votar, em especial dos registros dos votos, nos seguintes termos: Part 1: 4.4.1 Requisitos Gerais - ... registros do voto conferveis pelo eleitor existem para prover um registro da vontade do eleitor independente que possa ser usado para verificar a exatido do registro eletrnico produzido pelo equipamento de votao. Part 1: 4.4.1-A.2 Conferncia do RICE pelos fiscais Equipamentos de votao DEVEM criar um registro independente do voto que fiscais eleitorais e auditores possam conferir sem auxlio de software ou equipamentos programveis. Part 1: 4.4.1-A.8 Formato pblico do RICE Equipamentos de votao DEVEM criar um registro independente do voto em formato pblico disponvel e sem restries, legveis sem informaes confidenciais, proprietrias e comerciais. Part 1: 6.6-B.2 Formato de troca dos Registros do Voto Mquinas DRE e escaneadores ticos DEVEM usar um formato pblico disponvel e sem restries para exportar [para outros equipamentos] os Registros de Voto. Todas essas regras indicam que os registros do voto devem ser criados e mantidos pelas mquinas de votar em formato aberto e legvel pelos fiscais. Ou seja, dever-se-ia recorrer apenas s tcnicas de assinatura digital (que mantm a legibilidade do texto), mas no de criptografia (que eliminam a legibilidade), para preservar a integridade e autenticidade do RDV. Uma vez que a integridade e autenticidade do RDV j so garantidas por tcnicas de assinatura digital, imposta por lei, o uso de criptografia nesse caso, imposta pela autoridade eleitoral, tem a nica funo de manter o acesso ao RDV controlado exclusivamente pela equipe do coordenador do CMTSE, o que contraria todas as regras de transparncia e segurana sugeridas nas Diretrizes VVSG. Todos os fiscais que solicitaram o RDV ao administrador eleitoral em 2008 receberam arquivos descriptografados e editados e o mesmo ir ocorrer em 2010 , pois o TSE no aceitou sugesto de partido poltico para suprimir a criptografia do RDV nas urnas. Nestas condies, contrariando as promessas da autoridade eleitoral aos parlamentares, os arquivos RDV originais nunca puderam ser vistos pelo fiscais , e continuam sendo mantidos inacessveis desde sua criao em 2003.