Vous êtes sur la page 1sur 7

PROPOSTA DE UM SISTEMA ELETRNICO DE AUDITORIA APLICADO URNA ELETRNICA BRASILEIRA

Guimares, Marcelo Ferreira Fundao CERTI Campus da UFSC Caixa Postal 5053 Florianpolis SC Sell, Carlos Antnio Fundao CERTI Campus da UFSC Caixa Postal 5053 Florianpolis SC

mfg@certi.ufsc.br
Turcato, Renato Parenti Fundao CERTI Campus da UFSC Caixa Postal 5053 Florianpolis SC

cae@certi.ufsc.br
Assuiti, Carlos Henrique Fundao CERTI Campus da UFSC Caixa Postal 5053 Florianpolis SC

rpt@certi.ufsc.br
Custdio, Ricardo Felipe Laboratrio de Segurana em Computao LabSEC Departamento Informtica e Estatstica da UFSC Campus da UFSC Florianpolis SC

cha@certi.ufsc.br
Santos, Ricardo Antnio Pralon Fundao CERTI Campus da UFSC Caixa Postal 5053 Florianpolis SC

rap@certi.ufsc.br

custodio@inf.ufsc.br RESUMO
Um novo sistema, chamado SELA - Sistema Eletrnico de Auditoria foi desenvolvido para ser aplicado nas Urnas Eletrnicas Brasileiras. O SELA foi concebido como um sistema aberto, tanto o Hardware como o Software, para que seja amplamente conhecido e divulgado pela Sociedade. A segurana do Processo de Auditoria dos dados captados da Urna Eletrnica garantida atravs do uso de algoritmos consagrados que implementam uma Funo Resumo (Hash). Este artigo descreve o SELA bem como analisa a sua aplicao durante o processo eleitoral. Uma anlise comparativa feita entre o SELA e Impressoras Trmicas como sistema secundrio de registro dos votos. Os autores recomendam a aplicao piloto do SELA nas Eleies de 2002.

ABSTRACT
A new system, called SELA - Auditing Electronic System, has been developed in order to be applied to the Brazilian Electronic Voting Machine. The SELA was conceived to use an open Hardware and Software to be well known by the Society. The security of the auditing process is guaranteed by the application of a Fingerprint Algorithm, a Hash Function. The system is very robust and requires minimum modification of the Electronic Voting Machine. In this paper, the SELA is described as well as its use during the election process. A comparison between SELA and the use of thermal printers has also been made. A pilot application of SELA for the 2002 Elections is recommended by the authors.

1 INTRODUO Nos ltimos 10 anos, a Sociedade Brasileira fez investimentos significativos na informatizao do Processo Eleitoral Brasileiro, com ganhos visveis de eficincia e eficcia. Hoje o pas reconhecido internacionalmente como um lder na rea de Automao Eleitoral, pois conseguiu realizar em 2000 a maior eleio informatizada do mundo, quando aproximadamente mais de 108 milhes eleitores participaram do processo e, em poucas horas, os resultados da eleio foram conhecidos. A Urna Eletrnica, - UE que para o cidado a parte mais visvel de todo o processo eleitoral informatizado, contribuiu para esse sucesso por se tratar de um sistema robusto e muito simples de ser usado. um exemplo prtico de equipamento que promoveu a incluso digital no pas, sendo utilizado por cidados de todas as regies, classes sociais e nveis de escolaridade.

A facilidade de absoro de novas tecnologias pela Sociedade Brasileira hoje apontada por vrios estudos de classificao de grau de desenvolvimento entre pases (estudo do IMD em referncia) como um fator de competitividade do Brasil. Exemplos como da Urna Eletrnica, Declaraes de Imposto de Renda e Popularizao de Terminais de Auto-atendimento Bancrio so freqentemente citados na mdia como casos de sucesso e confirmam que a Populao Brasileira no avessa a Inovaes Tecnolgicas. Especificamente no caso da Votao Eletrnica, o pas assumiu um papel de lder inovador mundial e como tal tem a responsabilidade de manter o ritmo de evoluo tecnolgica das solues adotadas. Aps a consolidao do uso da Urna Eletrnica como um sistema de captao da vontade popular em 2000, pouco se tem discutido de forma sistemtica pela comunidade tcnico-cientfica em relao ao futuro tecnolgico do Sistema de Automao das Eleies Brasileiras.

Copyright 2001 por Fundao CERTI Direitos Autorais Reservados

Aps o caso de quebra de sigilo do Painel Eletrnico do Senado, iniciou-se uma discusso na mdia se existiriam problemas de segurana tambm na urna. Os poucos Fruns de Discusso no Brasil sobre os melhoramentos e evoluo tecnolgica das Urnas Eletrnicas foram muito politizados, prejudicando a qualidade tcnica da discusso. fato que a Sociedade Brasileira hoje exige que a comunidade tcnico-cientfica ajude a esclarecer se o sistema adotado pelo pas seguro, pois este agora o tema central nas prximas eleies. J no mais necessrio discutir se a Urna vai ser til ou no, ou se os cidados vo conseguir votar ou no, ou se ela vai funcionar ou no, como eram as preocupaes nas eleies de 1996, 1998 e 2000. Essas perguntas j esto respondidas pelo sucesso da aplicao das Urnas. A questo agora saber se as Urnas so realmente seguras e como garantir ao cidado o direito de verificar que seu voto ser contabilizado de forma correta. Este trabalho tem o objetivo de propor uma soluo inovadora para mostrar que a urna segura. A Urna Eletrnica tem que ser imune a ataques externos e a ataques internos. Neste sentido, foi desenvolvido o SELA - Sistema Eletrnico para Auditoria - que aplicado Urna Eletrnica resulta num sistema que atende um maior nmero de requisitos de segurana. O desenvolvimento do SELA deu ateno especial aos aspectos relativos transparncia do processo eleitoral. O sistema utiliza o hardware existente, muda o mnimo do software e evita os problemas do papel. O trabalho apresenta a soluo enfatizando seus conceitos e caractersticas de segurana. O SELA visto como uma soluo de curto prazo para alguns questionamentos importantes feitos pela sociedade, como a garantia de auditoria externa ao sistema no dia da votao e permitir a visualizao do voto pelo eleitor.

Permitir a conferncia dos resultados da UE; Ser um dispositivo para depsito/armazenagem de forma segura dos votos impressos em papel pela UE; Permitir a constatao visual de ZERO votos depositados no incio da votao; Possibilitar seu uso aps o encerramento da votao com identificao da seo; Ter lacre e procedimentos jurdicos que garantem a segurana dos votos fisicamente armazenados; Ser conectvel a qualquer UE do mesmo modelo; Ter baixo custo.

Estas caractersticas permitem que o conjunto UE/UPD confira maior transparncia ao processo tcnico de votao e credibilidade junto ao eleitor. Isto acontece porque para o eleitor a UPD constitui-se num sistema paralelo, simples e conhecido de conferncia e, assim, o funcionamento interno da UE passa a ser secundrio. No entanto, alguns fatores criam limitaes significativas para esta soluo. So eles: Existem srios problemas tcnicos em relao ao transporte, corte e armazenagem de papel que diminuem a robustez do sistema como um todo; O uso da UPD no processo eleitoral permite a volta de ataques e fraudes clssicos na era da urna de lona; A visualizao do voto impresso antes do depsito no possvel na UPD atualmente implementada. O voto no assinado pela mesa no tendo valor jurdico.

2 SISTEMA ELETRNICO DE AUDITORIA SELA: UMA ALTERNATIVA INOVADORA O SELA foi desenvolvido a partir de uma analogia feita com um acessrio, atualmente existente na urna eletrnica, denominado Urna Plstica Descartvel UPD. 2.1 Urna Plstica Descartvel UPD A UPD (figura 1) constituda por um saco plstico preto para armazenar os votos impressos, sustentado por uma estrutura em poliestireno com bocais de encaixe e fixao projetados para conexo mecnica com a Urna Eletrnica. Cumpre funes similares s da antiga urna de lona e caracteriza-se por:
Figura 1 Foto da UPD.

Copyright 2001 por Fundao CERTI Direitos Autorais Reservados

Tudo isto foi considerado para a no utilizao da UPD e para desenvolver-se o SELA como uma alternativa. 2.2 Soluo Conceitual O SELA um dispositivo eletrnico que tem caractersticas similares a de uma UPD. Conceitos de segurana tais como: funo resumo e arquitetura aberta; e conceitos de projeto robusto tais como: poucas peas, sem partes mveis, uso de tecnologias dominadas e foco nas interfaces foram empregados neste dispositivo.

2.2.1 Requisitos Adotados No quadro 1 so apresentados os principais requisitos empregados para o desenvolvimento do SELA. 2.2.2 Concepo Fsica do Dispositivo O SELA (figura 2) composto por uma placa eletrnica e um visor acomodados num gabinete de plstico e conectado a UE por uma interface. Seu design deve ser ergonmico de modo que o eleitor possa visualizar e comparar claramente os nmeros mostrados no visor.

Quadro 1: Principais requisitos do SELA Arquitetura Aberta Uso de Primitivas Criptogrficas Auditvel Independente de eleio e de urna Projeto de Hardware e Software aberto ao conhecimento pblico. Segurana baseada em algoritmos criptogrficos de conhecimento pblico e padres de segurana internacionais. Projetado de forma a ser facilmente auditado por parte dos partidos, Tribunal Superior Eleitoral - TSE e sociedade a qualquer momento. No necessita de qualquer programao antes da eleio ou aps a eleio.

Mnimo de modificaes no sistema Permitir o uso na maioria das urnas j fabricadas de forma a preservar o atual da urna patrimnio pblico. Logstica simples Minimizar as alteraes necessrias aos processos de logstica usados atualmente. Uso em 100% e/ou por amostragem Auditoria em amostragem ou 100% conforme grau de segurana desejado. Baixo custo Visualizao do Voto Dispositivo de baixo custo (cerca de 10% do custo da Urna Eletrnica). Permitir que o eleitor veja ergonomicamente o voto digitado comparando-o com o mostrado na UE.

O gabinete deve ser transparente permitindo a inspeo visual dos componentes eletrnicos, seu sistema de fechamento e conexes de interface devem ser projetadas para permitirem o uso de lacres. Gabinete Transparente

2.2.3 Arquitetura de Hardware e Descrio dos Estados Na figura 3 so visualizados os seguintes mdulos : CPU - Unidade de Processamento - tem a funo de executar o cdigo gravado; MEMRIA - armazena o cdigo do programa, que pode ser facilmente lido com instrumentos existentes no mercado. Acumula os dados dos totalizadores dos votos de forma no seqencial; VISOR - Mostrador com capacidade de apresentar simultaneamente 5 nmeros decimais, sendo assim capaz de mostrar todos os nmeros de candidatos/legenda existentes no pas; INTERFACE de ENTRADA/SADA - Interface eltrica com a UE, executa a comunicao da UE com o SELA. Tem Interface onde so extrados os totalizadores de votos em caso de auditoria.

Conexo com trava mecnica

Figura 2 Concepo Fsica do SELA

Copyright 2001 por Fundao CERTI Direitos Autorais Reservados

Visor

Memria

CPU

Interface de entrada/ sada


Figura 3 - Arquitetura bsica do Hardware Eletrnico do SELA

O funcionamento do SELA descrito a seguir: Inicializao: a UE envia comando de incio para o SELA, toda a memria limpa e as variveis inicializadas; Zersima: a UE envia comando para clculo da funo resumo do software do SELA. A funo resumo calculada e mostrada no visor para ser anotada pelos mesrios; Votao: A UE envia comando de abertura de eleitor marcando incio de um voto. A UE envia comando de votao com a identificao do pleito e nmero do candidato a ser mostrado no visor; nmero do candidato armazenado em memria e pode: ser CORRIGIDO : apaga nmero do visor e da memria; ser CONFIRMADO: armazena nmero na memria e incrementa quantidade de votos para o candidato; A UE envia comando para fechar o voto do eleitor; Finalizao: A UE envia comando para trmino da eleio. O SELA calcula a funo resumo dos votos contidos na memria e mostra esse valor no visor para anotao por parte dos mesrios. O SELA entra em modo de Auditoria; Auditoria: O SELA apenas permite a leitura dos votos (pleito, nmero do candidato e nmero de votos) contidos na memria. Os dados so gravados na memria. O valor da funo resumo calculado comparado ao valor anotado pelos mesrios no fechamento da votao e garante a legitimidade do SELA.

aplicada uma mensagem de qualquer tamanho, seja gerado um resumo de tamanho fixo e bastante pequeno (normalmente 128 ou 160 bits). Com a funo resumo pode-se garantir que o contedo de uma mensagem no foi alterado. Ela representa um papel fundamental na criptografia moderna pois permite garantir a integridade de dados e a autenticao de mensagens. A idia bsica das funes resumo que um resumo serve como uma imagem representativa compacta (s vezes chamada de impresso digital ou "message digest") da cadeia de bits da entrada, e pode ser usada como se fosse unicamente identificvel com aquela entrada. As funes resumo funcionam semelhante ao dgito verificador do CPF. Por exemplo, se um nmero qualquer do CPF for modificado, o dgito verificador tambm sofrer alterao. Uma boa funo resumo tem uma caracterstica chamada de efeito avalanche. Isto significa que uma pequena mudana no arquivo de entrada acarreta uma grande e imprevisvel mudana na sada. As funes resumo so diferentes das funes normais de criptografia por no possurem uma chave e por serem irreversveis. Qualquer um pode verificar a autenticidade de uma certa mensagem, apenas calculando a funo novamente, e comparando o resultado com o j obtido anteriormente. Assim, as funes de resumo podem ser usadas para garantir a integridade do cdigo e dos dados do SELA. A funo resumo deve ser conhecida de todos e aceita sem restries quanto a sua funcionalidade. Por isto optou-se pelo uso da funo SHA-1. Esta funo aceita internacionalmente como segura, eficaz e prova de fraudes. O procedimento de uso da funo resumo no SELA deve ser o s eguinte: 1. Os mesrios, juntamente com os fiscais dos partidos polticos, devem calcular atravs do SELA, o resumo do cdigo e dados do SELA. Este valor j previamente conhecido e deve coincidir com o valor previamente publicado e, portanto, de conhecimento pblico. Esse procedimento ir garantir que o cdigo o original e que no h dados previamente inseridos no SELA. Assim, garante-se a independncia do SELA em relao a URNA e a uma Eleio em particular; Ao final da votao, novamente aplicada a funo resumo. O resultado desta funo tambm anotado pela mesa e pelos fiscais dos partidos. O valor deve ser anotado em documento formal e assinado por todos os presentes. Isso ir garantir que a partir deste momento no ser mais possvel alterar qualquer informao contida no SELA.

2.

2.2.4 O Conceito de Segurana Para garantir que os dados do SELA sejam os mesmos publicados e, portanto, no sejam maliciosamente alterados, necessrio estabelecer um mecanismo que possibilite a obteno de uma "assinatura" de seu cdigo e dados. Esta assinatura possvel atravs da utilizao de uma funo hash ou funo resumo. Funes resumo, permitem que, ao ser

2.3 O Prottipo Implementado Para testar o conceito proposto foi implementado um prottipo do SELA, que mostrado na figura 4.

Copyright 2001 por Fundao CERTI Direitos Autorais Reservados

para simular a eleio em um microcomputador. F oi utilizada uma interface serial padro RS232 para comunicao entre o computador e o SELA. 2.4 O Processo de Uso O SELA foi desenvolvido para ser utilizado durante a eleio na seo eleitoral e, posteriormente, no processo de auditoria da urna. 2.4.1 O Uso do SELA na Seo Eleitoral O quadro 2 mostra as etapas de utilizao do SELA no dia da votao em uma seo eleitoral.

Figura 4 - Foto do prottipo implementado para testar o conceito

Foram utilizados componentes comerciais disponveis no mercado e desenvolvido um programa

Processo Instalao

Quem? Mesrios

Quadro 2: Uso do SELA na seo eleitoral. Urna Conectar a energia eltrica. Autoteste. Verificao dos lacres.

SELA

Conectar com a Urna e lacre da interface. Autoteste. Zeragem da memria de dados.

Zersima

Mesrios

Impresso do relatrio informando Mesrios devem anotar na ATA da Eleio o que todos os candidatos tem ZERO resultado do clculo da Funo Resumo do cdigo de votos. programa mais a memria de dados. Este nmero ser o mesmo para todo Brasil.

Incio de Votao

Automtico Envia para o SELA as informaes Grava as informaes da Seo. as 8 horas. da seo. Disponibiliza a entrada do nmero do ttulo de eleitor no microterminal. Aguarda comando da urna informando inicio de votao do eleitor. Recebe comando da Urna informando incio do processo de votao de novo eleitor. Recebe da urna os nmeros teclados pelo eleitor para cada pleito.

Votao

Mesrio Eleitor

Habilita a votao de um novo eleitor. Tecla o nmero do candidato escolhido para o pleito.

Finalizao do Pleito

Mesrio

O eleitor confere se o nmero que aparece na urna o mesmo que aparece no visor do SELA podendo confirmar ou corrigir seu voto. O SELA grava em sua memria de dados o ltimo nmero mo strado no visor (voto). Emite o Boletim de Urna com os Finaliza o processo com o clculo da funo resumo resultados da seo. dos dados da memria. Informa ao SELA o final de eleio. Mesrio anota na ATA da eleio o resultado da funo resumo calculada. Grava disquete com o resultado. Convoca fiscais para verificarem o resultado da funo resumo e assinam ATA da eleio. Levar disquete para local de apurao. Desconecta SELA, embala e entrega junto com o disquete.

Transporte do Disquete e Embalagem

Mesrio

Copyright 2001 por Fundao CERTI Direitos Autorais Reservados

2.4.2 O Uso do SELA para Auditoria das Urnas Eletrnicas Durante a auditoria de uma seo deve-se: Verificar a integridade fsica do SELA atravs dos lacres; Verificar anotaes do resultado da funo res umo feitos pelos mesrios da seo e fiscalizados pelos partidos; Ler o cdigo do programa do microcontrolador do SELA e compar-lo com o do cdigo fonte aberto; Extrair dados da votao do SELA utilizando um comando especfico para isto; Comparar dados finais do SELA com os dados da urna da seo; Facultativamente pode-se recalcular manualmente a funo resumo da Zersima; Facultativamente pode-se recalcular manualmente a funo resumo do resultado da eleio na seo.

2.5 Anlise de Robustez da Soluo Conceitual O quadro 3 demonstra a robustez do SELA em relao a algumas das principais perturbaes s quais estar exposto durante seu ciclo de vida. 2.6 Anlise Comparativa: Voto Impresso x SELA O quadro 4 apresenta uma comparao entre o uso do voto impresso e o SELA como mecanismos de auditoria e conferncia da votao.

Ambiente Fabricao

Quadro 3: Anlise Simplificada de Robustez do SELA Rudos Aes Hardware Adulterado Homologao de fornecedores Firmware Adulterado Acompanhamento da produo Memria de dados pr-gravada Lacres Hardware Adulterado Inspeo de recebimento nos TREs Inspeo de recebimento nos TREs Testes 100% com acompanhamento dos partidos Inspeo visual do gabinete transparente do SELA Verificao do CRC do cdigo gravado Clculo da funo resumo do cdigo e memria de dados Lacres de inviolabilidade Substituio do SELA Seo deixaria de ser auditada Seo deixaria de ser auditada, pois o SELA necessita passar por todas as fases de votao para ter dados vlidos. Urna d alarme no prximo evento da seo Auditoria cancelada com registro em ATA Violao dos lacres deve ser tratado com procedimento jurdico a ser definido Seo deixaria de ser auditada Incoerncia entre dados deve ser tratado com procedimento jurdico a ser definido. Se tudo estiver correto com o SELA a indicao de problemas com a Urna

Transporte

Firmware Adulterado TREs e Partidos Hardware Adulterado Firmware Adulterado

Sees Eleitorais SELA com lacres rompidos SELA no conectado Urna Urna apresenta problema durante votao

Zonas de Apurao

SELA desconectado durante votao SELA apresenta problema durante votao Lacres violados No possvel ler os dados do SELA (probabilidade de falha muito pequena) Dados do SELA diferentes da Urna

Copyright 2001 por Fundao CERTI Direitos Autorais Reservados

Requisito Credibilidade e segurana

Desempenho

Quadro 4: Anlise Comparativa Voto Impresso x SELA Impresso Fsica do Voto no Papel SELA - Possibilidade de ataque aos votos - Hardware e Software abertos com segurana depositados durante recontagem; garantida por algoritmos matemticos - Possibilidade de adulterao dos votos no consagrados; transporte. - Sigilo do eleitor garantido por uso de acumuladores. - Aumento no tempo de votao devido ao - Baixa modificao da urna sem alterao de tempo de impresso e verificao; desempenho e tempo de votao; - Correo de voto exige cancelamento de - Fcil correo do voto. voto impresso ou uso de outra impresso. - Mecanismo sensvel com possvel enrosco de papel; - Alto consumo de energia da bateria da urna em locais sem energia; - Uso de papel trmico que sensvel s condies de umidade. - Baixa ergonomia para leitura do voto (impresso com letras pequenas comparado ao SELA); - Logstica e instalao de mais uma impressora e rolo de papel; - Processo complexo de auditoria. - Custo de logstica dos consumveis; - Custo de impressora e consumvel. - Sistema compacto e sem partes mveis; - Baixssimo consumo de energia, inferior a 5% do consumo de uma impressora trmica com corte de papel no mesmo ciclo de trabalho; - Dados na forma de bits. tima ergonomia de conferncia pelo ele itor; - Fcil instalao; - Processo muito simples de auditoria.

Robustez

Facilidade de uso e operao

Custo

- Custo compatvel com impressora sem consumvel.

3. CAMINHOS FUTUROS E CONCLUSES Recomenda-se que o SELA possa ser implementado j nas prximas eleies de 2002, de forma paulatina, atravs de um lote piloto. A partir da avaliao deste programa piloto ser possvel fazer otimizaes e definir os processos de auditoria para as prximas eleies de forma abrangente. Desta forma, os partidos polticos e a sociedade tero uma ferramenta poderosa que garantir a transparncia do processo de apurao das eleies. Considerando a segurana do processo eleitoral, o SELA evita o retorno das fraudes do passado. A aplicao deste sistema no implica que melhoramentos de segurana da prpria urna deixem de ser perseguidos, como a implantao de assinaturas digitais nos softwares da urna. Certamente o SELA contribui para a manuteno da credibilidade da Urna Eletrnica, conquista e patrimnio da Sociedade Brasileira. AGRADECIMENTOS Os autores agradecem a colaborao dos alunos do Programa Especial de Treinamento PET Metrologia e Automao da Universidade Federal de Santa Catarina

pelo auxlio na preparao e execuo dos testes. Aos demais pesquisadores do Centro de Inovao em Produtos da Fundao CERTI, o agradecimento dos autores pela colaborao com preciosas sugestes e revises. REFERNCIAS BIBLIOGRFICAS BA LTIM O RE, Dav id ; VEST , Ch ar les M . V oting : wh ats is wh at c oul d be . Un ited States o f A mer ica, M as s ach u ttes : Ca lifo rn ia In s titu te o f Tech n o lo g y/M as s ach uttes In s titute o f Tech n o lo g y , 20 0 1. BRU NA ZO F I LH O, A mlcar . A s eg u ran a d a u rn a eletr n ica. In : SIM P SI O D E S EGU RA N A EM INF O RM TI CA , 2 00 0, So Pau lo . BURROW S, Ja mes H . Secu re Has h Stan d ard . Gaith ers b u rg : N IST Nat io n al In s titu te o f Stan d ard s and Tech n o lo gy , 19 9 5. EDITA L DE LI CITA O , M EDIA NT E CON CO RRN CIA , N 27/ 99 . Bras lia: Tr ib u n al Su p erio r Ele ito ral, v . 1, 1 9 99 . GA RELLI, ST PHA N E. The worl d co mpetiti ve nes s year bo ok 2 0 0 0 . Sw itze rlan d : IM D In tern atio n al In s titu te fo r M an ag emen t Dev elo p men t, 2 00 0.

Copyright 2001 por Fundao CERTI Direitos Autorais Reservados