ANEXO 3
Extratos das Diretrizes VVSG
- traduzidos pelo CMind -
Voluntary Voting System Guidelines. U.S. Election Assistance Commission, 31/08/2007
Intro: 2.4 - Independência do Software
Part 1: 2.7 - Independência do Software
Todos os sistemas de votação precisam ser independentes do software para estar conformes com esta norma.
Testar [a integridade lógica de] software é tão difícil que auditorias da precisão de sistemas eleitorais não podem depender do próprio software estar correto. Assim, sistemas eleitorais devem ser 'software independent' para que auditorias não precisem confiar na correção do software do próprio sistema.
Os registros dos votos [para auditoria] devem ser produzidos de maneira que sua exatidão não dependa da integridade do software do sistema.
Um exemplo de sistema dependente do software são as máquinas DRE, que não estão conforme com estas normas .
Intro: 2.4.1 – Registros Independentes (do voto) Conferíveis pelo Eleitor (RICE)
Part 1: 2.7.1 - Obtendo a Independência do Software via RICE
É requerido que, para ser independente do software, todo sistema eleitoral inclua um equipamento para registro independente do voto conferível pelo eleitor (RICE). RICE podem ser auditados independentemente do software do sistema de votação.
Voto Impresso Conferível pelo Eleitor (VICE) é uma forma de RICE baseados em papel.
Atualmente, os sistemas de votação que podem satisfazer a definição de independência do software usam o registros em papel conferível pelo eleitor como:
- digitalizadores ópticos em conjunto com votos escritos ou VICE
máquinas DRE com VICE
Part 1: 1.1.6 Requisitos Principais -.. .
Esclarece-se que registros redundantes do voto (RDV) gravados em máquinas DRE são para fins de recuperação e não devem ser confundidos com registros independentes do voto conferível pelo eleitor (RICE) como especificado na Part 1: 4.4 Registros Independentes (do voto) Conferíveis pelo Eleitor
Part 1: 4.4.1 Requisitos Gerais -.. .
registros conferíveis pelo eleitor existem para prover um registro da vontade do eleitor independente (RICE) que possa ser usado para verificar a exatidão do registro eletrônico (RDV) produzido pelo equipamento de votação.
Part 1: 4.4.1-A.1 Verificação pelo eleitor
Equipamentos de votação DEVEM criar um RICE que o eleitor possa conferir sem auxílio de software , excetuando-se os programas-assistentes para deficientes.
Part 1: 4.4.1-A.2 Conferência do RICE pelos fiscais
Equipamentos de votação DEVEM criar um RICE que fiscais eleitorais e auditores possam conferir sem auxílio de software ou equipamentos programáveis .
Part 1: 4.4.1-A.8 Formato público do RICE
Equipamentos de votação DEVEM criar um RICE em formato público disponível e sem restrições, legíveis sem informações confidenciais, proprietárias e comerciais .
Part 1: 4.4.1-A.14 Permitido conteúdo não legível no RICE
O RICE PODE incluir código e outras informações ilegíveis sobre o voto dado .
Part 1: 6.6-B.2 Formato de troca dos Registros do Voto
Máquinas DRE e escaneadores óticos DEVEM usar um formato público disponível e sem restrições para exportar (para outros equipamentos) os Registros de Voto .
ANEXO 4
A verificação das assinaturas digitais nas urnas eletrônicas
O uso de assinaturas digitais como salvaguarda para determinar a integridade dos arquivos digitais usado no processo eleitoral, só tem eficácia se acompanhado de procedimentos seguros de verificação dessas assinaturas.
No momento de conferência das assinaturas digitais ou dos resumos digitais criptográficos, se eles forem calculados sem que o próprio software sob análise esteja "rodando", são independentes do software e têm validade. No entanto, se forem gerados sob controle do próprio software a ser verificado, podem ser apenas uma simulação. Como a memoria permanente da urna é do tipo que permite escrita e leitura dinâmica, as assinaturas digitais ou os resumos digitais devem ser verificados ANTES de qualquer programa ser executado (inclusive antes até do sistema de inicialização, BIOS) e não depois.
As regras da verificação das assinaturas são estabelecidas pelo próprio administrador eleitoral, que nesse caso também é o agente cujo trabalho estará sendo fiscalizado. Em outras palavras, no processo eleitoral brasileiro é o fiscalizado que estabelece as regras e limites da fiscalização, o que não é uma prática jurídico-administrativa recomendável.
Em 2008, as regras de verificação das assinaturas, citadas na Subseção 2.1.2 do Relatório CMTSE, decorrem da Resolução TSE 22.714/2008 e são as seguintes:
Auto-verificação pelos programas de computador do sistema eleitoral.
Impressão dos resumos digitais (hash) dos arquivos das urnas e computadores, pelo programa VPP ou VAD.
Verificação de assinaturas por meio de "programas próprios" dos partidos, MP e OAB.
Obs.: o uso de aspas na expressão "programas próprios" se justifica porque, contrário do que foi dito na Subseção 2.1.2 do Relatório CMTSE , em 2008 nenhuma entidade fiscalizadora usou, de fato, programas próprios para verificação das assinaturas digitais. O PDT e o PR optaram por não usar esse recurso por causa da falta de confiabilidade descrita neste anexo, e o PT, MP e OAB receberam, pro-forma, programas desenvolvidos e compilados pelo próprio ente fiscalizado, o TSE, e não os usaram de forma sistemática.
Essas 3 formas de verificação de assinaturas, permitidas no processo eleitoral, não atendem ao conceito de Independência do Software (vide Seção 3.3 desta Réplica) pois é o próprio software cuja integridade se quer determinar que, estando em execução:
Faz a auto-verificação.
Imprime os resumos digitais.
-
Lança e controla o ambiente de execução dos programas verificadores.
A ineficácia dessas formas de verificação de assinaturas foi cabalmente demonstrada com a ocorrência de erro na geração das tabelas de resumos digitais já no TSE (caso descrito com mais detalhes na Subseção 3.1.4 desta Réplica).
O Programa VPP, item (b) acima, acusava erro na verificaçãopois imprimia uma relação de resumos digitais diferente da tabela oficial. Mas os arquivos extras contidos na lista impressa, dizia o TSE, eram legítimos, revelando que o procedimento de verificação dos resumos digitais impressos pelo VPP resultava num "falso negativo".
O erro nas assinaturas dos sistemas pelo TSE também se propagou para os programas verificadores, item (c) acima,desenvolvidos pelo próprio TSE para uso pelo MP e pela OAB. Ao serem executados, programas verificadores nem mesmo detectavam a presença dos arquivos sem assinaturase não os listavam na respectiva tela de resultados, ou seja, seu resultado, ainda pior, era um "falso positivo".
Esses fatos demonstram que não é confiável nenhuma das duas formas 'dependentes do software' para a verificação das assinaturas e resumos digitais que são permitidas pela administração eleitoralaos fiscais externos.
É exatamente por causa dessa dependência direta do próprio software para determinar a sua integridade, que as Diretrizes VVSG 96 afirmam, em sua Seção Intro: 2.4 (vide Anexo 3 desta Réplica), o seguinte:
"Testar [a integridade lógica de] software é tão difícil que auditorias da precisão de sistemas eleitorais não podem depender do próprio software estar correto. Assim, sistemas eleitorais devem ser 'independente do software' para que auditorias não precisem confiar na correção do software do próprio sistema.
Um exemplo de sistema dependente do software são as máquinas DRE, que não estão conforme com estas normas."
O uso permitido para os programas verificadores de assinaturas consiste em se colocar um disquete na urna e depois ligá-la para que o fiscal possa, de braços cruzados, observar a tela com o resultado de pretensa "verificação". Além de contrariar as Diretrizes VVSG, essa forma de verificação também está em flagrante conflito com o que foi proposto na Seção 5.5 do chamado Relatório "Unicamp" 97 , que diz:
"Após a inseminação da urna deve ser permitido aos representantes de partidos o acesso aos programas internos da urna para cálculo e verificação da conformidade de seu resumo com aquele divulgado ao final do processo de compilação...
Como sugestões para a implementação da verificação da autenticidade dos programas , podem ser consideradas as seguintes alternativas:
- utilização de um flash card externo que contenha um programa verificador;
- verificação do flash card interno em computador independente ."
Essas duas alternativas propostas no Relatório "Unicamp", se atendidas, garantiriam total controle do ambiente computacional pelo fiscal externo, permitindo que a verificação de assinaturas fosse feita ANTES de ser executado os softwares da urna, pois:
as urnas eletrônicas têm sua inicialização (boot) preferencial pelo conector externo de cartões flash 98. Assim, o flash-card externo pode assumir, como processo-pai, o controle do ambiente digital da urnas e verificar a integridade do que está gravado lá dentro de forma totalmente independente;
num computador independente da urnas, obviamente, a verificação de assinaturas também seria independente do software da urna.
Isto mostra que esta sugestão no chamado Relatório "Unicamp" estava, precocemente, apontando para o conceito de Independência do Software na sua proposta de verificação das assinaturas digitais, antes mesmo desse conceito ter sido enunciado em 2006 pelo inventor da técnica de assinatura digital.
No entanto, no sistema brasileiro, é o próprio software a ser auditado que controla a plataforma e o ambiente computacional onde está instalado o programa de verificação de assinaturas. O programa verificador, gravado em disquete, é executado dentro deste ambiente e não tem nunca como assumir o seu controle. Estará sempre sob controle do próprio software a ser auditado.
Nada impede que um software maliciosamente adulterado instalado numa urna eletrônica, burle essas verificações e gere resultados falso-positivos da seguinte forma:
Não executa a auto-verificação e segue adiante.
Imprime os resumos digitais oficiais previamente conhecidos e publicados.
Controle a ação dos programas verificadores, camuflando os arquivos adulterados.
Por isso, todas essas formas permitidas de auto-verificação permitidas pela autoridade eleitoral não atendem ao conceito de independência do software e não servem como salvaguardas de segurança contra a adulteração do próprio software.
Dentro das regras em que pode atuar, o auditor ou fiscal do partido nunca terá como saber se a urna eletrônica fiscalizada contém um software honesto ou um desonesto que burla as verificações permitidas.
Porém, o mais surpreendente é que, no lugar de denunciar a ineficácia da verificação de assinaturas como regulamentado pela autoridade eleitoral e, ainda, que a proposta de verificação das assinaturas contidas na Seção 5.5 do chamado Relatório "Unicamp" nunca foi atendida pelos procedimentos adotados pelo TSE, o CMTSE diz, na Subseção 2.1.3 do seu relatório, o seguinte:
"Essa medida de auto-verificação foi implantada em atendimento à sugestão do Relatório da UNICAMP de 2002"
Como a sugestão do citado, de verificação das assinaturas em plataforma computacional independente, nunca foi de fato atendida pela regulamentação do TSE em seus detalhes essenciais, revela-se aqui outra evidente inversão de mérito relativa ao conteúdo de obra citada no Relatório CMTSE.
Com esta atitude, o CMTSE volta a praticar ato impróprio, de natureza similar àquele descrito na Seção 4.4 desta Réplica, que depõe contra a credibilidade do seu relatório e dos seus membros.
ANEXO 5
Voto Eletrônico e Transações Financeiras Digitais
Com frequência, entre leigos em segurança de dados, costuma-se comparar a segurança e a confiança em sistemas de voto eletrônico com sistemas digitais de transações financeiras. O argumento básico e simples costuma ser:
"a tecnologia digital permite transmissão segura de valores enormes por computadores então também pode desenvolver sistemas seguros para a contagem de votos".
O CMTSE, na Subseção 3.2.1 de seu relatório, aparenta endossar este argumento ao citar como referência bibliográfica para reforçar suas posições, o seguinte artigo:
Paper versus Electronic Voting Records - An Assessment.
https://euro.ecom.cmu.edu/people/faculty/mshamos/paper.htm (17 a 27) 2/14/2006 10:04:09 AM
Esse artigo, escrito em 2004 por Michael Ian Shamos, professor da Carnegie Mellon University, defende que o voto impresso não resolve os problemas de segurança de Máquinas DRE e, na base do seu argumento, compara o nível da segurança em máquinas eletrônicas de votar com a eletrônica embarcada em aviões comerciais e com sistemas financeiros virtuais que "executam transações financeiras de, pelo menos, $ 2 trilhões por dia".
Shamos é uma voz quase solitária no meio universitário norte-americano quando defende essa posição. É bem maior o número de professores universitários e teóricos da computação que argumentam na posição contrária.
Citamos, a seguir, 3 autores americanos, todos detentores de grande reconhecimento no meio acadêmico internacional, que afirmam que a dificuldade para se construir sistemas eleitorais seguros é incomparavelmente maior do que outros sistemas, inclusive sistemas financeiros. Citamos também trabalho original de um dos coautores desta Réplica, que analisa os fundamentos e a natureza desta incomparabilidade.
Ronald Rivest, cuja importância fundamental na área de segurança de dados digitais e do voto eletrônico foi descrita na Seção 3.3 desta Réplica, no artigo "A Modular Voting Architecture" 99 publicado em 2001, apresentou a seguinte consideração:
"INTRODUÇÃO...
A princípio, nós deveríamos estar aptos para construir sistemas eletrônicos de votação confiáveis. Na prática, isto é surpreendentemente difícil. Parece muito mais difícil do que construir sistemas de comércio eletrônico confiáveis .
Uma razão que torna difícil construir sistemas digitais eleitorais confiáveis é que deve ser impossível para o eleitor provar para terceiros em quem votou... O voto digital, uma vez gravado, precisa ser simultaneamente anônimo e ilegível (criptografado). Isto torna o voto eletrônico mais desafiador do que o comércio eletrônico , onde existir recibos e documentos de rastreamento detalhados e completos é a norma." (tradução do CMind)
Já Bruce Schneier, premiado criptógrafo e autor dos maiores best-sellers sobre segurança digital, no seu artigo "Internet Voting vs. Large-Value e-Commerce" [100] diz:
"Há duas importantes diferenças entre grandes transações financeiras e votação que fazem as primeiras muito mais aptas para implementação em sistemas digitais: anonimato e recuperabilidade.
"sistemas financeiros com identidade (cartões de crédito, ordens de pagamento, PayPal, etc.) são muito mais comuns que versões de 'dinheiro eletrônico' porque são mais fáceis de tornar seguros. Todas as transações financeiras de alto valor carregam nomes em anexo: quem recebe o dinheiro e quem paga. Votos carregam apenas o nome dos destinatários; a principal característica do voto secreto é eliminar o nome do eleitor. É isto que torna muito mais difícil proteger o sistema de fraudes, muito mais difícil de detectar fraudes e muito mais difícil de identificar o fraudador e prendê-lo .
Outra diferença entre grandes transações financeiras e votação é que se pode reconstruir a trilha da transação financeira. Isto é importante. Se alguém manipula um roubo de um bilhão de dólares de um sistema financeiro, pode-se congelar a transação, tentar descobrir o que ocorreu e, possivelmente, recuperar o dinheiro.
Se alguém ajeita para desviar um voto, não tem nada que se possa fazer (o eleitor não pode ser chamado para uma nova votação)... Nossos sistemas de votação não possuem a mesma capacidade de refazer transações que os sistemas financeiros possuem.
Construir um sistema de votação seguro em rede é um problema muito difícil, mais difícil que todos os outros problemas de segurança em computador que enfrentamos e não solucionamos." (tradução do CMind)
Peter G. Neumann, cientista chefe do Computer Science Laboratory da ONG SRI International, um dos pioneiros a propor em 1993 os critérios de segurança necessários para sistemas eleitorais digitais, em seu artigo "Security Criteria for Electronic Voting" [101], já comentava e previa as dificuldades de se implementar sistemas eleitorais:
"CONCLUSÕES...
O requisito de inviolabilidade do voto e o requisito auditabilidade plena e garantida de ponta a ponta do voto são conceitualmente contraditórios . É essencialmente impossível contemplar ambos requisitos ao mesmo tempo [em sistemas eleitorais] sem recorrer a complicados mecanismos que, por sua vez, podem introduzir novas vulnerabilidades e oportunidades de subversão sofisticadas."
(tradução do CMind)
E por fim, Pedro Antônio Dourado de Rezende, coautor desta réplica e pioneiro no estudo de modelos semiológicos de confiança para segurança em informática, expõe no artigo "Modelos de Confiança para Segurança em Informática" [102], o seguinte:
"a utilidade das técnicas criptográficas [por exemplo, assinatura digital ou cifragem para sigilo] requer certas condições de confiabilidade no preparo do material que habilita ao uso dos mecanismos escolhidos, pelo que o uso adequado dos mesmos presume uma situação em que tais condições estejam atendidas. Ainda, o uso eficaz na situação presume, também, escolhas adequadas à natureza da proteção almejada. É fato – por demais ofuscado, mas paradigmático – que há contextos onde dos mesmos dados e ao mesmo tempo um interesse a proteger demanda sigilo enquanto outro, integridade apenas (transparência), e, desses dados, nenhum interessado é mais "dono".
Por isso é útil, quando necessário, distinguir entre segurança da informação, segurança informacional (relativa a informação) e na informática (relativa a contextos informáticos). Confusões entre essas metas de proteção assumem postura ideológica ao reduzir todas à primeira, que é oblívia a conflitos entre interesse legítimos, trivializando as diferenças. Tais confusões, intencionais ou não, sempre dificultam a distinção entre teatro e processo de segurança, principalmente onde houver conflitos de interesse . Entre sigilo e transparência, por exemplo, o foco da proteção nos dados (e não nos interesses) ofusca conflitos e empoderamentos.
…
A possibilidade de conluio já se constitui, pois em vetor para refinamentos na análise de riscos e na gestão da Política de segurança.
Na prática, um modelo de interesses unipolar serviria para representar, além de enredos trágicos em teatros de segurança, a semântica de riscos em sistemas cujos computadores foram desligados das tomadas e trancados em cofre cujo segredo foi perdido... . A segurança em foco se resumiria a "safety". Trata-se, portanto, de um modelo inútil para processos reais de segurança não-triviais no estágio atual das tecno-imersões de práticas sociais, apesar de estar implícito em modelagens da Política de Segurança de entidades complexas que desconsideram, às vezes deliberada ou casuisticamente, riscos de ataque originados internamente ("todos aqui são honestos, alguém duvida disso?!").
Ainda, enredos trágicos são também encenados no processo da segurança de entidades complexas cuja abordagem a riscos corresponde à modelagens [de interesses] bipolar; isto é, por entidades cuja Política de Segurança mapeia interesses conforme uma lógica binária, "nós contra eles", reducionista demais para a situação em foco. Encenações desses enredos tendem a surgir em situações que envolvem sistemas sensíveis em rede aberta, ou sistemas em rede fechada que atendem a interesses conflitantes e oponíveis ao interesse superveniente (do dono do sistema). Ao não contemplar refinamentos multipolares [de interesses potencialmente conflitantes] em sua análise de riscos, por orientação precária ou por outra razão, essas entidades se expõem , junto com outras afetas à situação e talvez despreparadamente, à condição de reféns , a armadilhas de colusão envolvendo mediadores e terceiros, ou ambas."
O que escapa à abordagem de Michael Shamos, é o fato de que a modelagem bipolar de interesses é útil para a segurança digital de aplicações financeiras, posto que o cliente e sua instituição financeira têm interesses que se alinham, enquanto é perigosa para a segurança digital de sistemas de votação eletrônica, posto que o eleitor interessado em eleição limpa e dois candidatos que concorrem a um pleito têm interesses potencialmente conflitantes entre si, pelo que o risco de colusão - envolvendo operadores do sistema de votação - deve ser, neste caso, não apenas considerado, mas basilar para a eficácia do processo de segurança.