Reavaliação da ‘Análise de um sistema eleitoral eletrônico’

Em missiva [ver no Canal do Leitor] dirigida ao Observatório da Imprensa, comentando artigo de minha lavra publicado sob o título ‘Analise de um sistema eleitoral eletrônico’, um importante leitor da edição de 7/9/04 escreve:

As informações veiculadas no citado artigo serão aqui reavaliadas a pedido e à luz dos comentários do missivista. Para isso, e como orientação, faz-se necessária a correção de algumas de suas afirmações. A começar pelo meu sobrenome, que não é Resende: é Rezende.

Quanto à pretensa titulação PhD por Berkeley, jamais a usei em qualquer documento de minha lavra ou fala de minha boca. O título que uso é ‘ATC PhD’, acrônimo de ‘Advanced To Candidacy for Doctor of Phylosophy Degree’, conforme registros acadêmicos da referida instituição, obtido mediante aprovação em exame de qualificação ao doutorado realizado em 6 de novembro de 1981, sob orientação do Prof. John L Rhodes, no Department of Applied Mathematics.

Se meu título foi truncado em eventual revisão editorial, não se deve ampliar o erro para inferir ou insinuar intenção de minha parte em me fazer passar pelo que não sou. Admite-se que esse erro pode ter sido fruto de descuido, do tipo cometido em meu sobrenome, ou de ignorância. Mas pode ser pior. Se intencional ou recorrente poderia indicar má fé, semelhante a se acusar, por exemplo, um tenente-coronel de querer se passar por coronel, patente superior à sua, por usar suas legítimas credenciais;

O missivista erra, ainda mais lamentavelmente, ao afirmar:

A bem da verdade, corrige-se.

Os comentários no referido artigo não se limitam a conjecturas. Lacres que protegem burlas, enquanto pretendem o contrário, não são conjecturas: são fatos fundamentados na própria Justiça Eleitoral, exarados que foram de suas peças normativas e processuais. Neste caso, do processo TRE-BA 405/2000. Em seu cerne, meus comentários analisam peça essencial à segurança de um software – arquivo de configuração do sistema que seria o das urnas eletrônicas –, e não sem fundamentos. Ao revés, com fundamentos em princípios e práticas sadias e recomendadas por quem ensina – como eu, no magistério superior, por concurso público – e responde por segurança computacional efetiva.

Se o missivista desconhece, ignora, desdenha ou acolhe apenas como e quando lhe convém esses princípios e práticas, inclusive em despachos judiciais, não tendo em sua carreira se dedicado antes ao assunto, não deveria daí induzir o leitor e o eleitor a reducionismos e enganos. Muito menos seus superiores, diante da responsabilidade que reveste a função exercida por ele junto à Justiça Eleitoral, em cargo não-concursado.

Doutra feita, as conjecturas no referido artigo se limitam à origem e ao uso do software cujo arquivo de configuração foi analisado. O texto no arquivo setup.bat afirma ter sido este desenvolvido pela empresa Diebold, e não pela Justiça Eleitoral. Não há, por isso, conexão alguma entre as duas frases da supracitada afirmação do missivista, já que em nenhum ponto do artigo afirmo estar analisando software desenvolvido pela Justiça Eleitoral, e sim, software que teria sido por ela homologado e licenciado para uso em nossas eleições, desenvolvido pela empresa Diebold.

Se as conjecturas são ou não são fatos – se o dito software tem a origem que anuncia e foi usado em eleições no Brasil – ou se é forja, ninguém melhor do que o missivista para esclarecer, dada a função que exerce. Mas isso ele não faz. Não confirma nem nega o uso do referido software em nossas eleições. Ao invés prefere, partindo de uma desonesta caricatura dos comentários que apresento no citado artigo, tecer infeliz ataque ad hominem contra a minha pessoa.

A desqualificação que o missivista pretende imputar com este ataque não se limita aos comentários que faço no citado artigo. Atingem a pessoa do articulista, dada a conjugação verbal que escolheu para finalizar a citação supra. A esta pretensão, responderei ao longo desta revisão. Quanto à conjectura temos, adiante, novidades desde a publicação do artigo. Antes, porém, às impropriedades da primeira frase.

O motivo que aleguei à Justiça Eleitoral para não participar do processo de análise de programas no TSE está insculpido no requerimento protocolado às 10h33 do dia 5 de agosto, sob nº 24271/2002. Aleguei apenas discordar do termo de compromisso de sigilo, imposto de surpresa à fiscalização partidária em 2002, da qual participaria. Não aleguei, como afirma o missivista, que discordava por achar que uma tal mordaça impediria acesso livre e irrestrito à informação.

Quem associou tal mordaça a tal impedimento foi a própria Justiça Eleitoral, de formas e em ocasiões várias. Ao sonegar divulgação prévia do termo de compromisso aos partidos, quando solicitada. Ao sonegar, sob o privilégio de ser a juíza de seus próprios atos, e agora pela terceira eleição seguida, acesso ao código-fonte do sistema operacional usado em mais de 2/3 das urnas de 2002, o VirtuOS, informação a que tinham direito os partidos, por força da insofismada letra no artigo 66 da Lei 9.504/97. De surpresa em 2000, e de forma deveras infeliz em 2002 ao permitir, à guisa de intermediar o acesso, que o fornecedor do citado sistema tentasse extorquir partidos interessados, protegido por essa mordaça e na sede do próprio TSE.

O que sempre aleguei, e alego, quanto ao tema em meus artigos, é que essa mordaça fere a letra e o espírito daquela lei eleitoral, além do espírito da democracia sadia, como bem ilustram os casos acima e o que segue nesta resposta. Fiscal eleitoral não é fiscal só de si mesmo, muito menos do fiscalizado. E menos ainda em sistemas eletrônicos, onde a competência para fiscalizar é escassa. Fiscal de partido é fiscal da sociedade. Não faz sentido exigir dele que prometa ao fiscalizado guardar segredo sobre o que fiscaliza. Pensar doutra forma é escolher o pior possível – no sentido objetivo do termo – modelo de segurança para o sistema, baseado no obscurantismo, modelo que se pode resumir numa regra: quem decide sobre fiscalização é o fiscalizado.

Pela tendência que Hobbes entende guiar a natureza humana, a de evitar responsabilidades e buscar o poder, esse modelo leva qualquer sistema eleitoral em direção a um estado de coisas onde o que se elimina são possibilidades de as vítimas obterem provas admissíveis de fraudes, enquanto os meios internos para perpetrá-las se tornam, intencionalmente ou não, os mais bem protegidos.

Sistema eleitoral é tripé: votação, apuração e fiscalização. Aleijar sua terceira perna, sob o pretexto de se acelerar a segunda, o tornará instável. Com a informatização, a instabilidade com que se paga o fetiche da agilidade fica escamoteada. As novas formas de fraude que a acompanham, formas de se programar pontualmente burlas por atacado, à moda dos vírus, são invisíveis e facilmente autodespistantes.

Embora possa assim parecer ao leigo, a escassez de competências, quer procedimentais, quer humanas para a fiscalização de um sistema eleitoral informatizado não justifica a escolha do obscurantismo como modelo para sua segurança. Esta escassez deveria, outrossim, nortear o projeto do sistema para que a fiscalização partidária não se tornasse dela refém. Infelizmente, não foi o que ocorreu no Brasil. Não obstante, em qualquer modelo obscurantista a inexistência de provas de fraude não guarda qualquer relação com a inexistência de fraudes, mas sim com o obscurantismo subjacente, e é muito perigoso ignorar isso.

A lógica desse raciocínio repousa no fato de que sistemas eleitorais têm como principal invariante mais de dois interesses potencialmente conflitantes em jogo: o de quem organiza a eleição e os de pelo menos dois candidatos. Com mais de dois interesses a possibilidade de conluio se torna um risco, que o modelo obscurantista ignora ou escamoteia. Como sistemas eleitorais informatizados não são feitos nem operados por seres angelicais, pensar ou agir como se fossem é crença mística, não é ciência nem técnica. Esta lógica é a que tem norteado todas as críticas que tenho feito ao nosso sistema eleitoral, concentradas em mostrar a inadequação do modelo obscurantista de segurança, por hora adotado.

Analisar código-fonte sem o direito de verificar, por meios próprios, se o software usado nas eleições é o mesmo antes analisado, é ato fiscalizatório por si só inócuo. Num sistema eleitoral, a segurança do eleitor não pode se basear apenas nessa medida. E no nosso atual, como explico em várias ocasiões, todas as medidas adicionais são igualmente inócuas. Com a mordaça, atada sobre bocas e mentes dos fiscais por um compromisso de sigilo absoluto e irrevogável, a fiscalização se torna farsa cujo único efeito prático passa a ser o de legitimar, perante a sociedade, o modelo obscurantista de segurança adotado. Fiscais credenciados podem até se envaidecer, tomando o direito de serem amordaçados como prova de sua competência. Mas é antes prova de sua subserviência a quem se dispõem a fiscalizar, e isso, a médio e longo prazos é uma armadilha para a democracia.

Minha recusa em participar de tal farsa é coerente com a lógica de minhas críticas. Rebatê-las com estratégias inócuas e de ética duvidosa, tais como a de tratar a segurança do eleitor como assunto de marketing, gastando-se muita verba pública em campanhas que o induzam a crer no sistema como eficazmente fiscalizável, ou a de ataques ad hominem aos críticos da crença mística na representação desta eficácia, como o do missivista contra mim, não enfraquecem nem invalidam meus argumentos. Apenas os obscurecem com emocionalismo, psicologismos e argumentos de autoridade.

Já no segundo parágrafo, o missivista afirma:

Novamente ele desvirtua, desta vez a natureza da comparação. A comparação com estudos realizados por especialistas estrangeiros se limitou, no citado artigo, às vulnerabilidades nos softwares lá e cá analisados que permitiriam a operadores do sistema eleitoral, legítimos ou não, inserir no ambiente de execução da urna programas embusteiros que poderiam, de forma indetectável, alterar o resultado de uma eleição. Vamos, então, à verdade por partes. Primeiro, o que foi comparado.

A possibilidade de programas embusteiros alterarem o resultado de uma eleição se deve a propriedades das operações aritméticas de adição e subtração. As mesmas operações que todos usam para lidar com dinheiro, em qualquer lugar onde exista. Quanto à segurança dessas operações, tanto em eleição limpa como burlada, consta-me ser a mesma em ambas legislações e culturas, já que empregam a mesma tabuada e as mesmas fórmulas, herdadas do mundo das formas e idéias perfeitas de Platão.

Esta possibilidade pressupõe embuste e manipulação furtiva. Para a manipulação ocorrer, tanto lá como cá o programa embusteiro precisaria somar e subtrair sobre estruturas de dados representáveis através de uma matriz de números inteiros não negativos, que correspondem aos votos sufragados para candidatos aos pleitos em curso. Não me consta que uma estrutura de dados assim representável apresente dificuldades ou impossibilidades de manipulação que dependam da legislação a que se submetam, ou da cultura em que estão imersos, o programador da estrutura e o programador embusteiro, ou mesmo que dependam daquelas que porventura vigem no local onde as operações eletronicamente se processem.

Quanto à furtividade, esta depende do modelo seguido na construção e programação da máquina de votação exibir ou não uma característica particular. A saber, a de impedir a recontagem dos votos nela sufragados. Esta característica é comum às máquinas de votar comparadas. Ressalte-se que a comparação no citado artigo foi entre vulnerabilidades, e não entre eventuais justificativas para a aceitação, lá e cá, de modelo de máquina com esta característica particular. Portanto, os argumentos utilizados para justificar a supressão do direito de recontagem, que poderiam se relacionar às legislações e culturas de lá e de cá, não tem impacto ou efeito na furtividade das eventuais formas de ataque comparadas, furtividade esta decorrente apenas da impossibilidade da recontagem propriamente dita.

Esta possibilidade pressupõe vulnerabilidades na arquitetura e implementação do software que animam as respectivas urnas eletrônicas. Esse é o ponto onde a comparação ganha valor, pois é onde se lança luz sobre as dificuldades e riscos em que incorreria um pretenso fraudador, empenhado em elaborar programa embusteiro e inseri-lo em alguma etapa do processo de preparação das urnas para uma eleição. No citado artigo, a comparação entre as urnas de lá e de cá se atém às dificuldades na elaboração de programas embusteiros.

Nesse ponto, devido às semelhanças na arquitetura e implementação do software básico empregado nos dois modelos de urna, provavelmente decorrentes do fato de terem sido desenvolvidas pelo mesmo fornecedor, pode-se observar como essas dificuldades são igualmente mínimas, lá e cá, para quem conhece o sistema em grau suficiente para ter que operá-lo e mantê-lo. Pode-se observar, finalmente, como essas dificuldades, relativizadas em mesmo grau pelo obscurantismo do modelo de segurança lá e cá subjacentes, dependem apenas da arquitetura e implementação dos respectivos softwares, e em nada das legislações e culturas vigentes onde operam.

Os desdobramentos da divulgação de vulnerabilidades semelhantes nos permitiria comparar os sistemas eleitorais de lá e de cá, quanto à influência nelas exercida por legislação ou cultura. Porém, não pudemos na ocasião comparar esses desdobramentos porque, enquanto lá já haviam ocorrido, aqui a divulgação apenas começava, pelo artigo mesmo que comparava as vulnerabilidades. Daí, apenas comentamos os desdobramentos lá ocorridos. Lá, a empresa Diebold foi descredenciada devido, além das vulnerabilidades propriamente ditas, ao fato da sua divulgação ter revelado conduta desonesta da empresa no processo de homologação, valendo-se do obscurantismo que se supõe moldar a segurança daquilo que se homologava.

Doutra feita, se a reprovação de conduta negligente e desonesta de um mesmo fornecedor, manifesta em grau suficiente para lá influir no descredenciamento, for uma particularidade de legislação e cultura estrangeiras que não dizem respeito à legislação e cultura de cá, não vejo nisso razão para considerar inadequada a comparação no citado artigo. Antes, vejo nisso exemplo positivo para a legislação e cultura de cá. Exemplo de critérios jurídicos e culturais por uma maior seriedade no trato do processo eleitoral. Além, obviamente, de mais um indício da inadequação do modelo obscurantista de segurança para processos eleitorais, em democracias que se valorizem como tal.

O missivista prossegue:

Não vejo utilidade em se atirar no mensageiro quando a mensagem desagrada. A mensagem diz que o modelo obscurantista de segurança do sistema eleitoral atual é perigoso à democracia, e explica por quê. É perigoso porque trata como seres angelicais desenvolvedores e operadores que são apenas humanos. Quem cria insegurança, com ou sem clima, é a implícita crença na santidade digitalmente adquirida, não o discurso que expõe essa crença e suas possíveis conseqüências. A forma do artigo pode criar um clima, mas será um clima condizente com fatos ocultos pela manipulação midiática que alimenta esta crença. Turbulento ou não, um tal clima será a reação a essa manipulação por quem ama seu país e pensa por si próprio. E será sempre benéfico à verdadeira democracia, baseada na transparência da coisa pública.

O processo de aprimoramento da democracia, desafio que cresce em dificuldade com o insaciável apetite do poder do dinheiro, tem várias vertentes das quais a integridade do processo eleitoral é apenas uma. Nessa vertente, entendo a reação de tecnófilos quando sua crença é assim chamada, preterida a sua versão de verdade necessária. O equilíbrio mental de cada um depende de periódicas imersões no mundo da vida, e esse tipo de reação é uma delas. Mas quem não quiser descer do pedestal do santo byte, andor que começa a trincar com os efeitos colaterais da escolha desse modelo, nada ganha ao atacar o patriotismo dos que denunciam tal crença como nociva à democracia. Ganharia mais se buscasse alternativas ao modelo obscurantista, ou auxílio psicológico, se a verdadeira democracia houver de triunfar.

Para dirimir eventuais dúvidas insinuadas acerca do meu verdadeiro intento, passo a listar as iniciativas com que busquei participar, como verdadeiro brasileiro, em várias instâncias e etapas do referido processo, pelo aprimoramento, sem aspas, da democracia neste país.

Minha primeira tentativa de contribuição remonta ao episódio conhecido como Escândalo do Painel do Senado. Em decorrência do mal-estar coletivo por ele causado, o Congresso Nacional pôs-se a deliberar sobre uma reforma da lei eleitoral que introduzisse meios para recontagem nas eleições gerais. Busquei contribuir com a elaboração de medidas técnicas que servissem a eventuais recontagens, ao mesmo tempo que a auditorias por amostragem através de votos impressos em paralelo ao eletrônico, aproveitando ao máximo o investimento já feito no sistema em uso. Então percebi que, mesmo sob efeito do mal-estar coletivo causado pelo escândalo, havia feroz resistência a tal reforma, que acabaria por triunfar sobre a efemeridade daquela indignação coletiva.

Proposta pelos senadores Roberto Requião e Romeu Tuma, a iniciativa foi alvo de ação desarticuladora do então presidente do TSE. Primeiro, ele pediu ao Senado que aguardasse contribuições do Tribunal que presidia, para aprimorar o projeto de lei. Enviou-as cinco dias antes do prazo para a vigência já na eleição de 2002. Dentre as emendas propostas, uma esvaziava a função fiscalizatória do voto impresso, antecipando para a véspera a escolha das urnas a serem auditadas. O relator que votou em urgência a favor das emendas, seguido pela maioria, ganhou do TSE duas semanas depois o governo do Piauí, num processo de impugnação da eleição de 1998 à qual havia concorrido e perdido, processo que se arrastava há mais de ano. Por ironia semântica, o deposto era conhecido por ‘Mão Santa’.

Depois, na Câmara, estimulou acordo de lideranças para a votação urgente do projeto, sem alterações, sob o argumento de que a lei vigiria na eleição de 2002. Convidou a seu gabinete no STF congressistas interessados, para informar de seu engano sobre o prazo de vigência: a Lei 10.408/02 não vigiria em 2002. Para atenuar a confusão, oferecia seu empenho para que a Justiça Eleitoral ‘testasse’ o mecanismo de auditoria em 3% das urnas em 2002, enquanto o Senado organizaria um seminário técnico sobre a segurança do sistema. Para esse seminário fui convidado a contribuir. Escrevi o artigo ‘A lanterna de Diógenes’, analisando os possíveis modelos de segurança do sistema, com ênfase nos riscos do modelo obscurantista.

Com o esfriamento da indignação coletiva pelo escândalo do painel, o seminário no Senado foi cancelado. E a empreitada que lhe fazia par, em que a fiscalizada organizava ‘um teste’ do mecanismo que os representantes do povo haviam escolhido para fiscalizá-la, foi seguida de perto pela grande mídia. Mas não para investigar as prováveis razões técnicas do que consideraram ter sido um fracasso: apenas para repassar a auto-avaliação do fiscalizado.

Falhas nas instruções para se montar as impressoras de votos, falhas no treinamento de eleitores e excesso de eleitores em sessões com urnas ‘de teste’, ignoradas na auto-avaliação e pela grande mídia. Auto-avaliação, aliás, apresentada solenemente ao Congresso por quem viria a confessar publicamente, oito meses depois, ter ‘pirateado’ dois artigos na Constituição, enquanto congressista constituinte em 1988. As prováveis razões para o suposto fracasso desse ‘teste’ só encontraram espaço importante um ano e meio depois, num congresso internacional patrocinado pelo centro de pesquisa em computação teórica da Fundação de Ciência dos EUA, o DIMACS.

Quanto ao teste da função fiscalizatória propriamente dita, nem pensar. No TRE-DF, onde todas as urnas de 2002 estavam sob o ‘teste’ do mecanismo de recontagem por voto impresso, o pedido de recontagem do candidato derrotado por 0,2% para governador foi rechaçado por sete a zero. Justificativa? A recontagem poderia ‘colocar sob suspeita as eleições nacionais’. Em paralelo, tentei também contribuir com alguma proposta que dirimisse a ineficácia dos mecanismos de fiscalização que estavam sendo sondados e propostos pela Justiça Eleitoral, como alternativa à auditoria por voto impresso, que entraria em vigor na eleição de 2004.

Esvaziada a função fiscalizatória do voto impresso, em agosto de 2002 elaborei uma proposta de protocolo para verificação cruzada que permitiria a inspeção de softwares de urnas de votação em ambiente controlado pelo fiscal. Nesse protocolo, o acesso do fiscal ao software estaria também sob controle de vazamento e risco de falso negativo pela Justiça Eleitoral. Submeti-o à apreciação de um partido, que encampou a proposta e a submeteu, em conjunto com medidas fiscalizatórias correlatas, em audiência pública para acolhimento de sugestões, em 3/6/2002, e novamente em dezembro do mesmo ano.

A primeira apresentação desta sugestão foi prontamente recusada pelo ministro Fernando Neves, antes de qualquer argumentação técnica. A segunda, entregue em dezembro de 2002, não foi respondida. A quem interessar, o autor retém cópia eletrônica dos documentos através dos quais a sugestão de protocolo de verificação cruzada foi apresentada à Justiça Eleitoral.

Enquanto adeptos do santo byte tentavam revogar a lei eleitoral que impunha a medida fiscalizatória por voto impresso, possibilitando recontagem, eu e outros pesquisadores da segurança computacional, incluindo o cientista David Chaum, um dos mais profícuos e renomados criptógrafos em atividade no mundo, começamos a trabalhar numa adaptação do seu protocolo criptográfico para eleições eletrônicas plenamente auditáveis ao sistema brasileiro.

Um mês depois de revogada a dita medida, que entraria em vigor em 2004, participei com Chaum, em novembro de 2003, da apresentação de um protótipo desta adaptação no 5º Simpósio de Segurança em Informática (SSI) no ITA, instituição em que se formou o missivista, e evento ao qual ele estava presente. Através do uso inteligente da criptografia, essa adaptação elimina todos os inconvenientes e riscos alegados para a revogação da medida fiscalizatória do voto impresso como regulada pela Lei 10.408/02, enquanto melhora a função de auditoria que deveria desempenhar.

Pela forma da Lei 10.408/02, uma impressora acoplada à urna insere numa sacola de plástico lacrada o registro impresso do voto, após o eleitor conferi-lo por trás de um vidro no percurso lacrado entre a impressora e a sacola. Na adaptação do protocolo de Chaum, o registro é apagado em parte, na metade que o eleitor escolhe ao confirmar, e entregue como comprovante ao eleitor, para permitir-lhe rastrear seu voto na apuração, sem no entanto permitir-lhe mostrar a outrem em quem teria votado, impedindo a venda de votos. Sem sacola, sem problemas e riscos que todos sabem infestar sacolas com votos de papel.

No protótipo mostrado no 5º SSI, o registro que codifica um voto ainda por confirmar é mostrado na primeira imagem abaixo. O número do candidato escolhido para um cargo é marcado pela seleção dos respectivos algarismos, nas linhas correspondentes. O algarismo selecionando é representado por símbolos distintos nas duas subcolunas, enquanto os outros na mesma linha são representados por símbolos iguais. Na imagem abaixo o eleitor veria, ainda sob o visor da impressora, que seu voto para deputado federal estaria sendo registrado para o candidato 51.236, o voto para governador para o candidato 72, e o voto para presidente ao candidato 38.

Ao confirmar o voto, o eleitor teria que escolher qual subcoluna apagar, se a da direita ou a da esquerda. A segunda imagem mostra a escolha da direita. Ao confirmar sua escolha, a impressora recolhe de volta o registro às claras, apaga a coluna escolhida, cobrindo-a de tinta, e entrega o registro com o respectivo comprovante impresso, conforme mostrado na imagem abaixo. A escolha pelo eleitor, ao confirmar o voto, de qual metade do registro será apagada, dentre duas metades aleatoriamente codificadas, serve como garantia matemática de que nenhum programa embusteiro eventualmente inserido na urna, ou no processo de apuração, teria condições de saber, com antecedência, de que maneira aquele voto poderia ser alterado de forma indetectada, entre o registro e a totalização.

A apuração procede com a versão eletrônica cifrada da metade não apagada do registro, tendo como chave a escolha aleatória da codificação. Esta versão seria o seu o voto eletrônico encriptado, impresso como sopinha de letras no rodapé do comprovante, e listado eletronicamente na ‘apuração’ da sessão eleitoral em que votou. Comparando a sopinha e a listagem, o eleitor pode confirmar que seu voto está na fila da totalização. Na totalização, feita às claras, os votos encriptados são decodificados em etapas, enquanto vão sendo embaralhados, permitindo a detecção estatística de manipulação indevida. Ao final, todos vêem a lista dos votos às claras, mas sem chances práticas de rastrear votos à origem.

Com a lista dos votos irrastreáveis às claras, a totalização pode proceder de forma aberta e transparente, resguardada a integridade da lista. Esta adaptação foi explicada pelo próprio Chaum ao missivista em seminário técnico ocorrido na Unicamp, antes do 5º SSI, a quem o missivista prometeu ‘estudar a proposta’. Ao que me consta, continua estudando.

E assim, depois de várias tentativas e experiências, as mais importantes relatadas acima, emerge diante de mim um padrão no processamento das contribuições ao ‘aprimoramento da democracia nesse país’. Segundo esse padrão, sugestões técnicas propostas para corrigir vulnerabilidades no sistema eleitoral eletrônico são cuidadosamente selecionadas e adaptadas, por quem se acha dono do sistema, conforme algum critério que, em perspectiva, produz o efeito de torná-lo cada vez mais transparente e auditável na aparência, enquanto cada vez mais opaco e obscuro na essência.

O software do sistema era composto de cerca de 10 mil arquivos na eleição de 2000, alguns abertos à análise prévia pelos partidos. Na eleição de 2002, esse número pulou para cerca de 35 mil, com dois sistemas operacionais nas urnas eletrônicas. Na de 2004 pulou para cerca de 60 mil, com duas versões do segundo sistema operacional, Windows CE. A Justiça Eleitoral não consegue explicar por que não pode manter uma só versão do sistema Windows CE ao adquirir novas urnas.

O TSE não consegue apresentar o texto do contrato de licença de uso pelo qual teria pago aos milhares, onde estariam registrados os termos e condições de uso do Windows CE (conforme processo TSE-12844/2004, 4.1), e assim o fornecedor – aquele mesmo que foi descredenciado nos EUA – dá as cartas. Enquanto o sistema mais antigo, o VirtuOS, permanece inauditável, e as versões do Windows CE são compiladas por caixas-pretas proprietárias, tornando-as para efeitos fiscalizatórios igualmente opacas nas urnas, ao contrário do que apregoa o fabricante.

Por tentativa e erro, o modelo obscurantista vem sendo travestido de modelo de transparência, numa aventura que encontrará seus limites. O teste que até aqui corroborou melhor esse padrão, e a aproximação desses limites, começa com o trâmite de um projeto de lei apresentado pelo senador Eduardo Azeredo, que relatarei em seguida. Antes, porém, o último parágrafo dos comentários do missivista.

Em seu último parágrafo, o missivista afirma:

Há aqui uma pequena incorreção no pronome. Não sou eu quem me qualifico como especialista na questão da criptografia e segurança de sistemas informáticos, questão em que se situa a segurança do eleitor que deseja lisura dos sistemas eleitorais eletrônicos.

Quem assim me qualifica são as instituições que premiam alunos cujos projetos acadêmicos oriento. São as instituições que me contratam para avaliar projetos de pesquisa científica nessa área, inclusive a estatal de fomento à pesquisa do estado de origem do missivista. Quem assim me qualifica são as instituições acadêmicas que organizam eventos sobre segurança na informática, ao me convidarem para palestrar sobre o tema. Inclusive a alma mater do missivista, para as últimas cinco das seis edições do mais abrangente e importante evento de Tecnologia e Segurança em Informática do Brasil, e o centro de pesquisa em computação teórica da Fundação de Ciência dos EUA, DIMACS, em recente congresso internacional sobre sistemas de votação.

Quem assim me qualifica é o conselho editorial da Cryptobytes, revista de criptografia de circulação mundial, publicada pela maior empresa do ramo (RSA, fundada pelos descobridores da assinatura digital), ao me convidar para nela publicar artigo sobre o sistema eleitoral brasileiro e as lições que podemos dele aprender. Quem assim me qualifica são legisladores, operadores do Direito, instituições financeiras e Polícia Federal, ao buscarem meus serviços de consultoria e capacitação nessas questões. Quem assim me qualifica é o presidente da República, ao designar-me representante da sociedade civil no Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira. Aparentemente, o desconhecimento pelo CNPq de título de doutor em meu currículo não tem obstado a que me atribuam esse tipo de qualificação.

Quanto ao paradeiro das minhas contribuições técnicas ao sistema eleitoral brasileiro, as que citei acima estão seguramente entre alguma gaveta e a lixeira do missivista. Coincidentemente, trata-se de contribuições técnicas que não jogam panos quentes, que não poderiam ser aproveitadas pelo valor cosmético de transparência, sem comprometer o cerne do modelo obscurantista. O missivista aponta a ausência de contribuições técnicas precisas nas questões tratadas para tentar desmerecer o citado artigo, citando as contribuições da SBC e da Unicamp como contraponto, enquanto evade a questão da autenticidade da principal e basilar referência, a do código analisado.

Antes de depor contra o citado artigo, tal brincadeira sofista antes depõe contra o modelo obscurantista, que só permite ‘contribuições técnicas precisas’ – leia-se acesso oficial ao sistema – do tipo meia-boca seletivamente ignoráveis. Como ilustra o exemplo que ele mesmo cita, mas que não analiso no citado artigo evitando lavar fora roupa suja além do necessário. Trata-se do exemplo da Sociedade Brasileira de Computação (SBC). Em debate travado em novembro de 2003, numa mesa-redonda no 5º SSI da qual participaram o missivista, o autor que vos escreve e os dois representantes da SBC no TSE, ouviram-se queixas e desculpas.

Em 2002 a SBC correu atrás de uma promessa de verba de pesquisa em segurança eleitoral, engajou-se para contribuir técnica e precisamente, teve seu nome usado na propaganda oficial como colaboradora na segurança do sistema, e ao fim do ciclo ofereceu um relatório em que recomendava a medida de auditoria por voto impresso. Medida esta que é ponto focal dos comentários em meu artigo, e coisa do demônio para a seita do santo byte. A SBC ficou esperando a verba prometida, enquanto autoridades máximas da Justiça Eleitoral faziam, com sucesso, lobby pessoal no Congresso Nacional contra esta mesma medida. É o tipo de ‘fundamentação técnica precisa’ ideal para o modelo obscurantista do missivista. O que nos leva de volta ao projeto do senador Azeredo e seu trâmite.

Seguindo o que se anunciou, em meados de 2003, como uma espécie de acordo de governo e parlamentares com a Justiça Eleitoral, o projeto Azeredo foi à votação na Comissão de Constituição e Justiça do Senado sem alterações e sem nenhuma audiência pública sobre seus méritos. Dentre os mais vocais na sua defesa apresentou-se um senador tucano. Ele nos exortou a confiar nas máquinas, já que hoje temos que confiar em aviões, aparelhos hospitalares e outros. Para o nosso desconstrangimento, omitiu de sua lista o sistema eletrônico de votação do Senado. Com um voto contra e, depois, um abaixo-assinado para que fosse a plenário, surgem nas mãos do presidente do Senado, no último minuto, quatro faxes solicitando a retirada de assinaturas do requerimento: projeto assim declarado aprovado e encaminhado à Câmara. O projeto substituía o obtuso voto impresso pela assinatura digital e registro virtual do voto, afinal – dizia-se – muito mais modernos.

Na Câmara, o projeto iniciava uma estranha dança. Entrava e saía da pauta de votação da Comissão de Constituição e Justiça. Entrando, pulava de baixo para cima ou de cima para baixo. E saindo voltava, em aparente sincronia com certas presenças ou ausências na sessão. Sabe-se lá se algum deputado vai pedir vistas? Assim foi até que um abaixo-assinado de professores solicitando audiência pública sobre o projeto, contendo fundamentação técnica precisa de minha lavra e hoje mais de 1.500 assinaturas, entrou na Comissão de Ciência e Tecnologia (CCT). O presidente desta comissão, do PFL, em nome seu e da CCT solicitou à Mesa da Câmara que o processo fosse a ela enviado para audiência e parecer, no que foi atendido pelo presidente da Câmara. O presidente da CCT se recusou então a receber signatários do abaixo-assinado, enquanto o último ato desta estranha dança se ensaiava.

Finalmente, faltando poucos dias para se esgotar o prazo de vigência da nova lei nas eleições municipais de 2004, em 24/9/03, o projeto Azeredo dormiu na CCT e acordou no plenário da Câmara. Não só fisicamente, mas também conforme o sistema eletrônico de acompanhamento do trâmite de projetos, sem que nenhum ato processual lhe provocasse o sonambulismo. Logo votado por acordo de lideranças, foi aprovado em 1º/10/03. Em meio ao silêncio cúmplice de integrantes da CCT, a protestos isolados de um único partido e a cínicas mentiras de pelo menos um deputado do PFL-CE, em discurso sobre malefícios do voto impresso que era assim extinto. Partido cúmplice do sonambulismo processual, por presidir a CCT, e cínicas mentiras porque, quando admoestado por um colega sobre as inverdades que atribuíra à dita medida, riu diante das câmeras de TV.

A medida de auditoria por voto impresso só foi banida das eleições de 2004, sem nunca ter vigido e sem nenhuma audiência técnica sobre o mérito dos seus substitutos, porque a tramitação do projeto Azeredo sofreu irregularidade sonambulista que, por sua vez, não deixaria rastro se o sistema eletrônico de tramitação da Câmara não tivesse uma, digamos, medida de redundância por registro impresso. Deu um nó? Pois é esse nó que me leva a qualificar, no artigo acusado de criar um clima de insegurança, de canhestra e atabalhoada essa espécie de tramitação. Neste episódio, minha contribuição técnica precisa foi na coleta de provas documentais desta irregularidade sonambulista, para salvá-la do abismo obscurecente (www.brunazo.eng.br/voto-e/textos/PLazeredo.htm)

Peço desculpas por esta contribuição precisa não ser técnica o suficiente, já que inclui deslavadas mentiras em discurso parlamentar, e por meu relato conter adjetivos, embora apropriados à compreensão dos fatos; senão, como explicar melhor esse tipo de tramitação em duas palavras? Foi salvo o diagnóstico, mas não o paciente. Declarada morta, porém insepulta, a medida de auditoria por voto impresso foi trocada por outras. Por quais, logo o leitor saberá. E sabendo, tendo ele e eu escapado da censura que o missivista tenta impor ao Observatório da Imprensa, poderá julgar por si mesmo: quem cria clima, quem cria insegurança, e qual é mais nocivo.

No lugar do direito à recontagem, sacrificado no projeto, introduz-se a participação partidária no processo de auto-verificação de integridade do software da urna e do sistema. Através da assinatura digital que fiscais de partido poderiam lavrar sobre o software, ao fim do período de análise do código-fonte. Ressalte-se aqui que, mesmo se a verificação de assinatura fosse eficaz, o que, no caso, não é, esta medida não o seria, pois o sistema operacional VirtuOS continua inauditável. E no lugar da auditoria por amostragem, sacrificada junto com a eliminação do voto impresso, o projeto prevê a produção, por software na urna, de uma espécie de registro virtual do voto, algo alardeado durante o trâmite como panacéia contra obsolescências eleitorais .

Sobre a eficácia do uso da assinatura digital conforme o projeto, tem-se um zero à esquerda. Nada muda de essencial em relação às vulnerabilidades analisadas no citado artigo. Como a verificação da assinatura no software se dará no ambiente do fiscalizado (a urna), e não em ambiente controlado pelo portador da chave pública do partido (o fiscal), um software embusteiro, se inserido na urna após a lavra da assinatura, poderia simplesmente interceptar o processo, apresentando o imaculado mas inativo software original para a verificação da sua assinatura, e substituindo-o por uma versão embusteira após a verificação. Isto poderia ser feito com uma simples troca e retroca de nomes de arquivos, já que a verificação busca arquivos a serem verificados a partir de uma lista de nomes pré-determinada, conforme pude constatar. O ataque se completaria com a autodestruição do interceptador, da versão embusteira e dos seus rastros, após a burla no boletim de uma urna que não permite recontagem.

Na verdade, a medida da assinatura digital não equivale propriamente a um zero à esquerda, se considerarmos o fiscal de partido. Sob esse ângulo, a situação é pior. A forma como a Justiça Eleitoral regulamentou a implementação da Lei Azeredo põe em risco a segurança digital do fiscal. Esta regulamentação exige dos fiscais de partido que a chave pública para verificação de assinaturas seja portada em certificado emitido sob o regime da ICP-BR. Esta é uma medida totalmente desnecessária, posto que ela mesma – a Justiça Eleitoral – valida a integridade da chave e sua titulação, antes de permitir o uso em seus sistemas, numa espécie de verificação cruzada meia-boca.

Doutra feita, ao exigir do fiscal que se submeta ao regime da ICP-BR, ao mesmo tempo em que exige, para a assinatura dos softwares durante a cerimônia de compilação, que sua correspondente chave privada opere no ambiente da Justiça Eleitoral, fora portanto da sua esfera própria de controle computacional, a norma eleitoral força o fiscal a violar o parágrafo 2º do artigo 6º da MP 2.200-2, pondo em risco sua segurança digital, já que os certificados da ICP-BR vêm sendo emitidos na modalidade de uso geral. Esse risco é agravado pela imputação automática de negligência, emanada do mesmo parágrafo.

Quanto ao registro virtual dos votos, na forma de planilha eletrônica embaralhada dos votos individuais, estudos posteriores mostraram que a sua divulgação por seção eleitoral poderia violar o sigilo do voto. A Justiça Eleitoral decidiu então que o tal registro digital dos votos por seção eleitoral não seria divulgado aos fiscais de partido, na eleição de 2004. Diante do fato, um partido solicitou ao TSE que retirasse do software da urna o programa que gera esse registro em forma impressa. A solicitação foi negada pelo plenário do TSE.

Para encerrar, atualizaremos o citado artigo com informações publicamente disponíveis e recentes.

Quando da publicação do citado artigo, o TSE não havia ainda divulgado o voto pelo qual se nega a retirar da urna o programa que imprime o registro virtual. Ou seja, os motivos da decisão. A decisão foi depois divulgada, na forma de resolução, contendo justificativa técnica precisa: apesar de o registro virtual, substituto do voto impresso, não irá mais ser fornecido aos fiscais porque poderia violar o sigilo, o tal programa é ainda necessário para o teste de votação paralela (Resolução TSE 21.864/2004).

O teste de votação paralela – que nunca antes precisou do programa gerador de registro virtual – é outro bode que remanesce na sala, de anteriores esforços para se exorcizar o mecanismo de auditoria por voto impresso. Consiste no seguinte: algumas urnas preparadas para votação são escolhidas para o teste, e substituídas em suas respectivas seções por urnas-reserva. No dia da eleição, numa cerimônia pública, as urnas em teste são usadas para simular uma votação verdadeira, com votos sorteados sendo digitados à vista dos fiscais presentes. Ao fim do período de votação, imprime-se o boletim de urna, e confere-se o resultado com o que foi visto sendo digitado. Se o resultado conferir, a urna passou no teste.

Faltam os detalhes. A resolução que regulamenta os detalhes da votação paralela é tal que garante a votos no teste um tempo médio de duração superior a cinco vezes o tempo médio de duração de votos na eleição verdadeira. Assim, a urna submetida a esse teste não consegue sufragar mais do que 150 votos durante o período regular de votação, tempo de duração desse teste, segundo estatística levantada por fiscais de partido em quatro estados na eleição de 2002, embutida margem de erro de 50% para mais.

Portanto, podemos crer que esse teste pode comprovar o correto funcionamento da urna até o 150º voto. O que permitiria a um programa embusteiro que porventura nela se instale detectar quando se trata de teste pela absurda abstinência, e assim, abster-se, nesse caso, de bulir no boletim de urna. Duas linhas de código adicionais seriam portanto suficientes para que o embuste pudesse neutralizar esse teste, assim regulamentado.

Mas tem mais. Para conferir o resultado no boletim de urna produzido pela urna em teste, o regulamento exige que a conferição seja feita por programa especial rodando noutra urna, e não pela contagem manual dos não mais de 150 votos. E eis que, mesmo sob tal exorcismo da falibilidade dos que não programam para a Justiça Eleitoral, o teste de votação paralela conduzido no primeiro turno em 2004 pelo TRE de São Paulo apresentou discrepância entre o boletim da urna e o resultado desse programa que conta, em paralelo, os votos digitados à vista dos presentes.

Para explicar a falha, em vez de se recontar manualmente os votos sorteados para digitação, foi apresentada a posteriori aos fiscais presentes uma mensagem prévia do TSE ao TRE-SP alertando para a possibilidade desse tipo de falha, se a sessão simulada fosse de município com certo tipo de coligação partidária. Porém, havia uma outra surpresa. O município sob simulação não apresentava o tipo de coligação sobre o qual falava a mensagem-surpresa de alerta.

Tudo isso para dizer que o programa que produz o registro virtual, a maravilha que substituiu o direito de recontagem e a auditoria por voto impresso sem nenhuma audiência pública sobre seus méritos, mas que depois se descobriu danosa ao sigilo do voto, e que mesmo assim não poderia ser retirado da urna pois seria necessário para o teste da votação paralela, acabou não sendo usado no citado teste de votação paralela. O mesmo, do TRE-SP no primeiro turno de 2004, que apresentou discrepâncias. É o nó, de novo, ou, mais um bode na sala: o caçula.

Quando da publicação do citado artigo, o perito contratado para conduzir perícia em urna usada na eleição municipal de 2000 em Santo Estêvão, BA, ainda aguardava uma confirmação da Justiça Eleitoral, para apresentar seu laudo e relatório final. Ele aguardava que a Justiça Eleitoral se manifestasse acerca de uma informação importante para o seu relatório. A confirmação de que o software extraído da urna para o laudo correspondia ao software que deveria estar ali, ou seja, ao software que o TRE-BA teria instalado naquela urna para aquela eleição.

Depois de muito aguardar, ele resolveu então apresentar o laudo e o relatório sem aquela informação. Em 1º de setembro de 2004, depois de o Observatório da Imprensa ter recebido o citado artigo (em 27/8/04) e antes de publicá-lo (em 7/9/04), o perito Cláudio Rego incluiu seu laudo e seu relatório nos autos do processo TRE-BA 405/2000 e publicou-os na internet, e podem ser encontrados em (www.brunazo.eng.br/voto-e/arquivos/stoestevao.zip). Tal relatório contém, num de seus anexos, o arquivo setup.bat que foi extraído da urna sub judice no referido processo. Da comparação entre o arquivo setup.bat constante nesse anexo e o arquivo encontrado na internet sob o qual se conjecturou e se analisou no citado artigo (em www.angelfire.com/journal2/tatawilson), verifica-se que o conteúdo de ambos é idêntico.

Portanto, as conjecturas no citado artigo doravante se estreitam a uma de duas alternativas. Ou bem o arquivo periciado na urna usada na eleição municipal de 2000 em Santo Estêvão conforme os autos do processo TRE-BA 405/2000 é legítimo, e o sistema eleitoral de 2000 apresenta as vulnerabilidades descritas tanto no citado artigo quanto no relatório final do perito Cláudio Rego, ou bem o arquivo periciado é ilegítimo, e a referida urna foi violada. Assim, podemos resumir a essência da revisão solicitada com a assertiva:

Os fatos recentes e relevantes para esta revisão, infelizmente, não se esgotam aqui.

O conjunto de normas internacionais de segurança para sistemas informáticos conhecido como Common Criteria estabelece, e o International Standards Organization adota, em sua norma ISO 15.408, já recepcionada pela Associação Brasileira de Normas Técnicas, o procedimento homologatório conhecido como teste de penetração. O princípio é simples. Para decidir até que ponto um sistema é seguro contra invasões, tenta-se invadi-lo das formas conhecidas e imagináveis, em ambiente controlado de teste.

Diante das controvérsias e dúvidas suscitadas pelo posicionamento de quem especifica, regulamenta e opera o sistema eleitoral eletrônico segundo o modelo obscurantista de segurança, foi mais uma vez requerido à Justiça Eleitoral a homologação do sistema pela norma ISO 15.408. Desta vez, em processo de impugnação da homologação conduzida para a eleição de 2004, por se basear esta em mera autoverificação do sistema com chaves assimétricas certificadas a terceiros, cuja forma regulamentada, além de inócua, põe em risco a segurança digital desses terceiros, fiscais de partido. Protocolados sob o nº 14.407 de 24/9/2004, a impugnação e o requerimento solicitando homologação pelo critério comum internacionalmente estabelecido foram rechaçados, sob a justificativa de que

Diante do arquivamento do processo 14.407/2004 baseado apenas nesse categórico ato de fé, diante dos fatos narrados no citado artigo e nesta revisão, põe-se a mim como evidente o distanciamento que a Justiça Eleitoral está tomando em relação a uma posição de equilíbrio. Enredando-se cada vez mais no radicalismo místico que subjaz o modelo obscurantista, sustentado por um pequeno corpo técnico de quem depende excessivamente, e cada vez mais, para o exercício de sua função pelos rumos que escolheu. O mesmo radicalismo que, ligando o poder ao desdém pelo bom senso, conduziu a Velha República à Revolução de 1930, da qual a própria Justiça Eleitoral é filha.

Um bom brasileiro que deseje contribuir para o aprimoramento da democracia desse país deve começar por conhecer sua história. História que, ao que tudo indica, parece querer se repetir nessa questão. Mesmo que o missivista discorde, penso ter contribuído técnica e precisamente, nem que só um pouquinho. Quando, em agosto de 2003, adeptos do santo byte defendiam um anunciado acordo com autoridades eleitorais, pela aprovação ipsis litteris do projeto Azeredo, participei da manobra que permitiu ao líder do governo no Senado apresentar e aprovar, no pinga-fogo da CCJ, mudança de forma que dela extirpou cirurgicamente um maligno trecho de mística linguagem. Linguagem totalitarista, à guisa de justificativa para o sacrifício do direito de recontagem, em troca de mais pirotecnia que na sala vira bode e mais assinatura digital a ser regulamentada pelo fiscalizado:

Encerro citando a frase que o chefe do bureau do jornal Los Angeles Times no Brasil escolheu, da entrevista que lhe concedi, para artigo de página inteira (A-18) que publicou na edição de 3 de outubro de 2004, sobre as eleições então conduzidas no Brasil de forma totalmente eletrônica, no primeiro turno das eleições municipais que se encerram.

Confiança é um valor ardiloso. Cada um responde pela que deposita de si noutrens.

******

ATC PhD em Matemática Aplicada pela Universidade de Berkeley, professor de Ciência da Computação da Universidade de Brasília (UnB), coordenador do programa de Extensão Universitária em Criptografia e Segurança Computacional da UnB, representante da sociedade civil no Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira. Site: (www.cic.unb.br/docentes/pedro/sd.htm)