Protesto do PDT contra as urnas eletrônicas de 2004:

EXMO. SR. MINISTRO PRESIDENTE DO COLENDO TRIBUNAL SUPERIOR ELEITORAL

O PARTIDO DEMOCRÁTICO TRABALHISTA, PDT, sociedade civil de direito privado, com sede em Brasília/DF e no Rio de Janeiro/RJ, com seu estatuto registrado no Egrégio Tribunal Superior Eleitoral, inscrito no CNPJ sob nº 079.575/0001-69, por sua advogada, vem respeitosamente perante V.Exa., com o acato necessário, e fundamento nos artigos 14 da Constituição Federal e 66 da Lei 9.504/97, apresentar PROTESTO em face dos procedimentos adotados para o processo eletrônico das eleições de 2004, conforme abaixo articulado:

I – Dos Fatos:

Ainda, conforme § 6º do Art. 59 da Lei 9.504/97, com redação dada pela Lei 10.740/03, as urnas eletrônicas manterão também os Registros de Voto Digital gravados em um Arquivo de Votos Digitais, o qual receberá assinatura digital que registre o horário do final das eleições.

Este Arquivo de Votos Digitais, metaforicamente, é o equivalente virtual das antigas urnas de lona e contém as seguintes informações:

1. a identificação da seção eleitoral a qual pertence e registro da hora em que se encerrou a votação;
2. os votos, formados por pares vereador/prefeito com identificação da urna e com assinatura digital, embaralhados.

Um primeiro problema legal com conceito de registro digital do voto advém de se assinar digitalmente cada voto virtual. A assinatura digital é um procedimento regulamentado que tem por finalidade garantir a integridade e a não adulteração do registro digital do voto mas para isto implica em registrar a hora em que o voto foi produzido. Porém adicionar ao voto o registro da sua hora permite violação imediata do voto. A situação revela claro o conflito entre se garantir a integridade do voto digital e em se garantir a inviolabilidade do voto, conforme fora previsto pela professora americana Ph.D. Rebecca Mercuri de Universidade da Pensilvânia. Em sua tese de doutorado "Electronic Vote Tabulation Checks & Balances", cuja produção a levou a ser palestrante convidada do Simpósio de Segurança de Informática promovido pelo CTA-ITA em 2003, é dito nas conclusões, capítulo 7.0:

"Sistemas de votação baseados em computador oferecem promessas de fácil acessibilidade e rápida tabulação em troca de uma variedade de riscos que nem existiam ou que são piores que aqueles encontrados em sistemas de votação manual. Alguns problemas, como os que envolvem fraudes em larga escala, travamento do sistema e a incompatibilidade do voto secreto com auditoria da apuração, são INERENTEMENTE sem solução. " (tradução nossa)

Um segundo problema legal com conceito de registro digital do voto está em se adicionar ao voto digital a identificação da urna onde foi gerado. Logo após a aprovação da Lei 10.740/03 em outubro de 2003, o Dr. Jorge Stolfi, Professor Titular do Instituto de Computação da UNICAMP, publicou artigo onde anunciou que o acesso simultâneo às informações (A) e (B) acima poderia permitir a quebra do sigilo do voto por meio de um conjunto de procedimentos cuja conseqüência é a volta do voto-de-cabresto ao sistema eleitoral brasileiro. O Senador Marcelo Crivela, durante a votação da Lei 10.740/03 na CCJR do Senado, referiu-se a esta possibilidade de violação do voto digital como "voto-de-cabresto-pós-moderno".

1.1. Durante a semana da apresentação dos sistemas eleitorais aos partidos políticos, à OAB e ao Ministério Público, entre 02 e 06 de agosto de 2004, analisando a documentação disponibilizada, os representantes do PDT verificaram que, diferentemente do que preconiza o § 4º do Art. 59 da Lei 9.504/97, os votos digitais de cada eleitor não receberiam individualmente nem a identificação da urna onde foi gerado e nem a assinatura digital individual. O sistema apresentado prevê colocar a identificação da urna e a assinatura digital apenas coletivamente no Arquivo dos Votos Digitais. Mas, não se assinando digitalmente cada voto virtual é automaticamente eliminada a garantia de integridade individual de cada voto virtual que seria dada justamente pelo uso da assinatura digital prevista na lei.

2. No processo licitatório 10.450/03, para o fornecimento de urnas e programas do sistema eleitoral, se estabeleceu a criação de um novo programa de computador que integrado aos demais programas das urnas eletrônicas permitiria a impressão de conteúdo do Arquivo de Votos Digitais. Este novo programa inicialmente denominado ICE, passou a intitular-se "Sistema de Impressão do Voto Digital", SIBVD.

Não há exigências legais ou imposições técnicas para a existência do SIBVD, já que a Lei 10.740/03 prevê apenas que nas urnas se crie UMA ÚNICA CÓPIA do Arquivo de Votos Digitais. A obrigatoriedade legal do registro digital do voto não implica na implantação de um programa em cada urna que permita a impressão dos votos digitais sem restrições, nem obriga que se reproduza inúmeras cópias deste arquivo, o que, ainda metaforicamente falando, equivale a reproduzir diversos clones idênticos das antigas urnas de lonas com seus votos em papel durante o processo eleitoral.

Ante a falta de regulamentação da matéria, o PDT efetuou consulta em abril de 2004 ao Exmo. Ministro Fernando Neves e posteriormente ao Exmo. Ministro Antônio Madeira, Relator nas Eleições de 2004, originando a Resolução 21.744 que restringe a entrega dos arquivos aos interessados em virtude dos riscos contra a inviolabilidade dos votos inerentes ao Arquivo dos Votos Digitais. A referida Resolução mostra ainda que os ministros do TSE acataram as seguintes sugestões do Grupo de Trabalho dos Sistemas das Urnas Eletrônicas, GT-SUE:

1. No caso de votos válidos, o voto virtual seria gravado com o número digitado pelo eleitor, mas no caso de votos nulos, o voto virtual deveria ser gravado por um único número indicador diferente do digitado pelo eleitor, caso contrário seria possível ao eleitor registrar marca que identificasse o seu voto;
2. O conteúdo completo dos Arquivos dos Votos Digitais de cada urna, composto pelas informações (A) e (B) acima descritas, não poderiam ser disponibilizadas aos partidos Políticos e outras entidades de estudo que o solicitassem, sob pena de violar o sigilo de voto. Estes arquivos deveriam antes ser tratados pelos TRE para extrair a informação de identificação das seções eleitorais e para acumular os votos digitais, sem identificação da urna de origem, num único arquivo geral com os votos virtuais do município;

2.1. Diante dos riscos à inviolabilidade dos votos conseqüência da presença do sistema SIBVD nas urnas eletrônicas para impressão dos votos virtuais, bem como pela indemonstrada necessidade da sua existência, cuja utilização se restringe às operações de Votação Paralela e uma possível auditoria ainda não regulamentada, procedimentos viáveis através de um programa de impressão de votos digitais instalado em computadores da Justiça Eleitoral, o PDT apresentou no dia 03 de agosto de 2004 à Secretaria de Informática do TSE o Pedido de Esclarecimento nº 27, solicitando a exclusão do sistema SIBVD das urnas eletrônicas. Este pedido foi transformado na Petição nº 1493 (Protocolo nº 7628/2004) julgado e indeferido em sessão do mesmo dia.

3. Em 15 de junho de 2004, o representante técnico do PDT apresentou o Pedido de Esclarecimento nº 05 à Secretaria de Informática do TSE dentro do "Evento de análise, assinatura e lacração dos programas a serem utilizados nas eleições 2004" no qual solicitava apresentação para análise dos códigos-fonte dos Sistemas Operacionais e do "Sistema Básico de Entradas e Saídas" (BIOS) que seriam utilizados nas urnas eletrônicas. Diante do não atendimento deste pedido, novo Pedido similar de nº 11 foi apresentado no dia 07 de julho de 2004. Neste mesmo dia foi apresentado o Pedido nº 13 para apresentação do "Drive de Proteção de Boot" (DPB) citado no Anexo A-V-2b do Edital de Licitação 46/2003.

Os códigos-fonte do Sistema Operacional VirtuOS, que equipará 2/3 das urnas eletrônicas, e dos BIOS e DPB de 100% delas, NÃO FORAM DISPONIBILIZADOS para análise.

Os códigos fontes dos Sistemas Operacionais Windows CE versão 4.0 e versão 4.2 foram disponibilizados para análise apenas no dia 02 de agosto de 2004. O conjunto destes dois sistemas contém mais de 60 mil arquivos de dados tornando impossível sua análise no tempo disponível.

Em 31 de julho de 2004, o PDT apresentou o Pedido nº 19 no qual solicitava o fornecimento das estruturas dos dados que serão gerados durante o processo eleitoral para que tivesse tempo hábil para desenvolver e testar seus próprios programas de análise das Tabelas de Correspondências, dos Arquivos de Log e do Relatório dos BUs. Até a presente a informação solicitada não nos foi fornecida.

4. O PDT também atendeu a todos os pedidos oficiais e formais apresentados pelo corpo técnico do TSE para ajuste de seus programas Assinador e Verificador de Assinaturas Digitais. A última versão dos programas do PDT, atendendo ao último pedido do TSE foi entregue na tarde do dia 04 de agosto de 2004, portanto antes de se iniciarem os trabalhos de compilação no dia 05.

Apesar disto, em Notícia do TSE divulgada na tarde do dia 06 de agosto de 2004 se divulga informação equivocada de que o adiamento da cerimônia de lacração dos programas do sistema eleitoral seria devido à concessão de "tempo suficiente para que o PDT, a OAB e o Ministério Público ajustem seus programas de assinatura digital".

Os programas do PDT, já compilados pelo TSE, foram testados na manhã do dia 07 de agosto de 2004, juntamente com os programas equivalentes do Partido dos Trabalhadores, da OAB e do Ministério Público, tendo todos funcionado corretamente e, como os demais programas destas entidades, detectou e apontou erros nos empacotamentos de programas do TSE em todos os ambientes, ou seja, foram detectadas divergências de assinaturas digitais em arquivos do TSE nos quatro modelos de urnas eletrônicas, no ambiente RISC e no ambiente Windows NT.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.

Inscrever

A cerimônia de assinatura e lacração dos programas se encerrou por volta das 23 h do dia 06 de agosto de 2004, depois que se montaram os empacotamentos dos programas, mas sem que fosse feita a assinatura sobre os arquivos com programas-fonte pois o porte do sistema demandaria tempo além do inicialmente previsto.

O erro na estimativa do tempo necessário para compilar, assinar e lacrar todos os arquivos do sistema eleitoral de 2004 foi causado pela introdução de um terceiro Sistema Operacional, o Windows CE 4.2, nas urnas eletrônicas. O sistema de eleições de 2000, sobre o qual os técnicos da Unicamp recomendaram simplificar para viabilizar a análise e auditoria, continha em torno de 10 mil arquivos. O sistema de eleições de 2002, sobre o qual os técnicos da SBC recomendaram simplificar para viabilizar a análise e auditoria, continha em torno de 30 mil arquivos e demorou-se em torno de 10 horas para ser preparado e lacrado. O sistema de 2004, com a introdução de um terceiro sistema operacional, chegou a mais de 60 mil arquivos e consumiu mais de 20 horas de trabalho de preparação sem que se conseguisse completar todas as tarefas.

Restou cabalmente demonstrado que se os cinco dias previstos para a apresentação dos programas finais do sistema eleitoral eram insuficientes em 2002 para efeito de fiscalização, conforme relatório da SBC, em 2004 não foram suficientes sequer para acabar a preparação dos mesmos para lacração pelo TSE.

A se continuar introduzindo um novo Sistema Operacional a cada eleição passadas 10 delas teremos computados 13 sistemas sendo necessário despender anos no processo de apresentação e lacração dos programas e de produção de software sem qualidade como apontado no Relatório do COPPE de 2002.

5. Como é cediço o planejamento dos testes dos programas de computador do sistema eleitoral de 2004 prevê apenas testes individuais e independentes de cada programa para prevenção de falhas de funcionamento (safety). Não estão previstos testes focados na questão da segurança contra fraudes (security), tais como Testes de Penetração insertos em normas nacional e internacionalmente aceitas (como as baseadas na norma ISO 15.408 – Critérios Básicos de Segurança - Common Criteria), ou outros testes com visão mais abrangente do problema de segurança.

Visando cobrir parte desta lacuna nos testes previstos, o PDT apresentou o Pedido de Esclarecimentos nº 33 no dia 05 de agosto de 2004 à Secretaria de Informática do TSE, onde solicitava fosse desenvolvido um teste de utilização cruzada dos programas das urnas eletrônicas incluindo o uso simultâneo dos programas de Votação, de Ajuste de Data e Hora e do Sistema de Impressão do Voto Digital.

O teste que o PDT solicitou objetivava verificar se era possível imprimir a relação dos votos no meio de uma votação oficial e retomar a votação normal depois da impressão. Se o teste tivesse sucesso revelaria uma grave lacuna de segurança pois seria possível que, em seções onde faltassem fiscais, agentes desonestos imprimissem a relação dos votos periodicamente, de hora em hora por exemplo, causando enorme risco de identificação dos votos principalmente considerando que esta impressão apresenta justamente o conteúdo do Arquivo dos Votos Digitais que a Resolução 21.744 considerou arriscado divulgar.

O teste solicitado consistia das seguintes operações:

1. Carregar urnas de votação com dados de candidatos e eleitores quaisquer;
2. Utilizar o programa Data-e-Hora para ajustar as urna para o inicio da votação;
3. Iniciar o programa de Votação oficial e introduzir alguns votos;
4. Desligar a urna depois do voto de um eleitor qualquer;
5. Trocar o Disquete de Votação pelo Disquete SIBVD;
6. Utilizar o programa SIBVD para imprimir a relação dos votos dados até então;
7. Destrocar os disquetes e retomar a votação normal.

Depois de insistentes apelos dirigidos ao Secretário de Informática do TSE, Sr. Paulo Camarão, que afirmava que o teste não teria sucesso pois a urnas não retomariam a votação depois da impressão dos votos, o teste foi autorizado e realizado na tarde do dia 07 de agosto de 2004. O sucesso do teste, como registrado na ata, demonstrou exatamente o contrário do afirmado pelo Secretário de Informática pois comprovou que é perfeitamente possível imprimir o conteúdo do Arquivo dos Votos Digitais (embaralhado) no transcorrer da votação e retornar a votação como se não houvesse interrupção.

II – Do Protesto

1. porque o sistema apresentado aos partidos na semana de 02 a 06 de agosto de 2004 não está compatível com padrões de qualidade de segurança, apresentando falhas consideradas graves, especialmente relativas à preservação da inviolabilidade dos votos que somente seria sanado com a exclusão do sistema SIBVD das urnas eletrônicas;
2. pela inexistência de restrições/regulamentação de uso do sistema SIBVD, que embora paliativas deveriam prever: a) proibição de uso sem a presença do Ministério Público e fiscais dos partidos; b) impedimento de uso durante o período de votação; c) estipulação de prazo de validade bastante limitado para os disquetes do SIBVD;
3. a grande profusão de cópias de cada Arquivo de Voto Digital mantidas sob baixo nível de controle apesar do risco a inviolabilidade do voto que o acesso às informações deste arquivo pode propiciar, soando inexorável seguida destruição assim que uma nova cópia fosse criada em qualquer sistema;
4. porque questões de relevância apresentadas pelo PDT nos meses de junho, julho e durante a cerimônia de apresentação dos programas não foram respondidas até a presente data, inviabilizando procedimentos delas decorrentes;
5. porque notícia equivocada da assessoria de imprensa do TSE atribui ao PDT o motivo do adiamento da lacração dos programas.

Nestes Termos;
Pede Deferimento.

Brasília, 12 de agosto de 2004.

pp
Maria Aparecida Silva da Rocha Cortiz
OAB/SP 147.214