[1] O documento discute o processo eleitoral brasileiro, incluindo o funcionamento da urna eletrônica e mecanismos de segurança; [2] Apresenta as diferentes gerações de máquinas de votação e como a urna eletrônica brasileira ainda usa um modelo menos seguro; [3] Detalha o teste público de segurança da urna em 2012 que encontrou vulnerabilidades e a necessidade de avaliações contínuas do software.

1. Paulo Pagliusi
CMG (RM1-IM), Ph.D., CISM
CEO MPSafe CyberSecurity Awareness
Vice-Presidente CSABR | Diretor ISACA-RJ
pagliusi@mpsafe.com.br
www.mpsafe.com.br
Twitter: @ppagliusi
www.cyber-manifesto.org

2. Sumário
 Antes das eleições: funcionamento do processo eleitoral
 A segurança da urna eletrônica
 Diferença entre as gerações de voting machines
 O teste aberto de segurança realizado em 2012
 O caso do hacking adolescente
 A urna atual está obsoleta? Ela é insegura?

3. Antes das
eleições:
funcionamento
do processo
eleitoral

4. Cadastro de Eleitores

5. Registro de Candidatos

6. Assinatura Digital de Sistemas Eleitorais

7. Geração de Mídias

8. Urna Eletrônica
É um microcomputador de uso específico composto por:
• Terminal do mesário ou micro terminal, onde o eleitor é identificado
pelo número de seu título eleitoral e autorizado a votar.
• Terminal do eleitor, onde é registrado numericamente o voto.

9. Carga das Urnas Eletrônicas
Flashes de carga lacradas

10. Carga das Urnas Eletrônicas

11. Tabela de Correspondência
Após a carga, a tabela de correspondência é publicada na
Internet.
São cadastradas todas as urnas válidas, incluindo:
• Urna de votação
• Urna de contingência
• Mesa receptora de justificativa eleitoral
Município: 61018 – ADAMANTINA
Zona Eleitoral: 0157
Seção Cód. UE Cód. F.C. Código da carga Data e hora
0001 00577979 F966FB1D
847.050.926.773.598.887.371
.225
25/09/2006
08:31:27

12. Lacre Físico da Urna
Cada compartimento da urna é
lacrado fisicamente com um
conjunto de adesivos micro-
serrilhados, assinados pelo juiz
da seção eleitoral:
• Tampa do pen drive
• Tampa do cartão de memória
• Gabinete
• Micro terminal
• Tampa do conector do
teclado alfanumérico ou
porta USB
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001

13. Processo de Votação
• Após às 7 horas do dia da eleição, a urna eletrônica é ligada.
• Na presença dos mesários e fiscais de partidos políticos, é
emitido em cada seção eleitoral, um relatório de “zerésima”.

14. Zerésima
O relatório de “zerésima” contém
toda a identificação daquela urna
e comprova que nela estão
registrados todos os candidatos
com zero votos.

15. Habilitação do Eleitor
Após as 8 horas é iniciada a votação.
O mesário:
a) recebe do eleitor o título eleitoral;
b) digita o número do título no
terminal do mesário;
c) identifica o eleitor, por meio do nome mostrado na tela
do microterminal, e o autoriza a votar.
d) pressiona a tecla “Confirma” no terminal do mesário, e
assim libera o terminal do eleitor, localizado em uma
cabine indevassável.

16. Urna Biométrica
• A partir de 2006 começaram a
ser fabricadas urnas com leitor
biométrico.

17. Ato de Votar
Ao chegar à cabine, o eleitor encontra a urna eletrônica pronta
para receber seu voto para o cargo indicado na tela.

18. Ato de Votar
• Após a digitação do número, a tela expõe visualmente o número, o
nome, a sigla do partido e a fotografia do candidato.
• Essa apresentação da tela possibilita a conferência pelo eleitor.
• Feita a conferência, aciona-se a tecla “Confirma”. O voto, então, é
contabilizado pela urna.

19. Ato de Votar
• A tecla “Corrige”, pressionada antes da confirmação,
recomeça toda a operação.
• Ao corrigir a tela volta a situação original.
• Há a possibilidade do registro do voto “Em branco” mediante
tecla específica.
• Concluída a votação, a urna eletrônica apresenta a tela
“FIM”, permitindo que outro eleitor seja habilitado a votar.

20. Apuração
Após às 17 horas, quando a eleição é encerrada, o presidente
da seção eleitoral, utilizando senha própria:
a) encerra a votação.
b) emite o “boletim de urna” da seção.

21. Boletim de Urna - Exemplo
Eleição Proporcional
Município: 01473 – MARTE Zona Eleitoral: 0005 Seção: 0006
Seções agregadas: Esta seção não possui seções agregadas.
Aptos: 184 Comparecimento: 165 Faltosos: 19
Tipo de urna: Apurada Origem: Urna Eletrônica
Data do recebimento: 25/09/2006 18:25:46 Código UE: 66142
Código da Carga: 000.664.580.006.134.900.062.755
Data da Carga: 25/09/2006 16:20:25 Código do FC: 30833A79
Cargo: Deputado Federal
Candidato/Legenda Quantidade de votos
2269 - CAIADO ROSENATO ERALDO KENNEDY 70
2270 - STELA LULA KENNEDY MODESTO 46
2271 - NILDO ARTUR LOPES ADROALDO 23
2299 - PERPETUO FARIAS MORIZ 1
2300 - RITA PICARELLI KENNEDY MODESTO 9
Votos válidos : 149
Votos em branco : 12
Votos nulos : 4
Votos anulados e apurados em separado : 0

22. Gravação do Pen Drive
• Emitido o boletim de urna, o sistema grava os dados contidos
nos cartões de memória (flash card) em um pen drive.

23. Arquivos do Pen Drive

24. Diferença entre BU e RDV
Deputado
Federal
Deputado
Estadual
Senador Governador Presidente
9111 91111 911 91 91
9112 92112 921 92 92
9411 94111 BRANCO BRANCO BRANCO
9212 92112 921 94 94
9111 93111 NULO 91 BRANCO
Deputado
Federal
9111 = 2
9112 = 1
9113 = 1
9212 = 1
9411 = 1
Brancos =0
Nulos=0
Deputado
Estadual
91111 = 1
91112 = 2
93111 = 1
94111 = 1
Brancos =0
Nulos=0
Senador
911 = 1
921 = 2
931 = 0
Brancos =1
Nulos=1
Governador
91 = 2
92 = 1
94 = 1
Brancos =1
Nulos=0
Presidente
91 = 1
92 = 1
93 = 0
Brancos =2
Nulos=0
Boletim de Urna
Registro Digital do Voto

25. Envio dos Dados
• Cada pen drive contendo o resultado de uma seção eleitoral é
transportado, em envelope lacrado, com a documentação da
seção, para o local de transmissão.
• O pen drive é lido por programa específico da Justiça Eleitoral, que
transmite os arquivos em rede “segura” para os TRE e para o TSE,
para fins de totalização estadual e nacional e posterior divulgação.

26. Visão Geral do Processo Eleitoral
Retirada do Pen Drive
Transmissão do BU
Totalização dos BU
no TRE
Divulgação dos
resultados na
INTERNET
Consolidação nacional dos
resultados no TSE
Comunicação
dos Dados
Seção
Eleitoral
Impressão do BU
BUASDJFHSDJFS
SADFJSJD LJ
DFJSDFJS SD
SKDFJSF HD
FJGDFJ KJ
JDKLSDS IT
HFFGHDD LI
DSHSDH RE
SKDFJSF HD
FJGDFJ KJ
JDKLSDS
Votação

27. Segurança da
Urna Eletrônica

28. Mecanismos de Segurança da Urna Eletrônica

29. Objetivos da Votação Eletrônica: Garantir
• Apuração exata
• Confidencialidade do voto
• Impossibilidade de venda de voto
• Auditabilidade do eleitor

30. Propriedades de Segurança da Votação Eletrônica
As duas principais propriedades de segurança da votação referem-se ao
anonimato e à destinação dos votos:
• Sigilo: votos devem ser secretos, de modo a prevenir sua venda e
defender eleitores de coação por qualquer parte interessada;
• Integridade:
• votos devem refletir intenção dos eleitores individualmente
• sua apuração e totalização deve transferir a intenção coletiva dos
eleitores para o resultado.
• Qualquer tentativa de violar a integridade de uma eleição deve
ser detectável e corretamente atribuída.

31. Diferença entre
as gerações de
voting machines

32. Os equipamentos de votação são classificados em diferentes modelos,
organizados em níveis crescentes de transparência e decrescentes de
dependência de software:
• 1ª Geração: Armazenamento eletrônico direto (DRE – Direct
Recoding Electronic): os votos são armazenados e contabilizados de
maneira puramente eletrônica, impedindo assim qualquer
possibilidade de recontagem ou de verificação independente dos
resultados, pois a adulteração não detectada do software causa
distorções indetectáveis nos resultados.
Diferença entre as gerações de voting machines

33. • 2ª Geração: Voto impresso conferível pelo eleitor (VVPT – Voter
Verified Paper Trail): os votos são impressos para verificação
independente pelo eleitor e apuração posterior, sem no entanto
funcionarem como comprovantes de suas escolhas.
Diferença entre as gerações de voting machines
Urna, com VVPT, usada no México desde 2012

34. • 3ª Geração: Verificabilidade fim-a-fim (E2E – End-to-end
Verifiability): os eleitores podem verificar que seus votos foram
registrados e contabilizados corretamente e que todos os votos
foram incluídos no resultado final.
• Principal característica: independência do software e a grande
facilidade de auditoria independente, de ponta a ponta, no
processamento. digital do voto.
Diferença entre as gerações de voting machines
Maquina VotAR, com BVE, usada na Argentina desde
2010 e testada no Equador em 2014

35. 35
Urna Eletrônica Brasileira: Mudança Radical no Modelo Aceito
 A absoluta dependência da confiabilidade do software nos modelos DRE
encontrou muita resistência e a partir de 2004, na Venezuela, começou o fim do
ciclo de vida desse modelo, que passou a ser substituído por outros modelos
independentes do software.
 Entre 2006 e 2012, a Holanda, a Alemanha, os EUA, o Canadá, a Rússia, a
Bélgica, a Argentina, o México, o Paraguai abandonaram o modelo DRE de 1ª
Geração.
 Em 2014, chegou a vez da Índia e do Equador adotarem modelos mais
avançados, de maneira que restou apenas o Brasil ainda usando o modelo DRE
de 1ª Geração em todo o mundo.

36. O teste aberto
de segurança
realizado em
2012

37. Testes Públicos de Segurança

38. The Noite: Entrevista com vencedor do Teste Aberto

39. O caso do
hacking
adolescente

40. http://revistagalileu.globo.com/Revista/Common/0,,EMI326470-17770,00-
HACKER+DE+ANOS+REVELA+COMO+FRAUDOU+ELEICOES+NO+RIO+DE+JANEIRO.html

41. A urna atual
está obsoleta?
Ela é insegura?

42. • Resultado do teste de 2012 apresentou conjunto de
vulnerabilidades no software da urna eletrônica que permitiu a
recuperação eficiente, exata e sem deixar vestígios dos votos em
ordem registrados eletronicamente.
• Derrotou o único mecanismo de proteção do sigilo do voto
utilizado pelo software de votação.
• A necessidade de se instalar recursos para avaliação científica,
independente e contínua do software torna-se evidente.
• Há ampla disponibilidade de especialistas na academia e indústria,
capazes de contribuir na direção do incremento real das
propriedades de segurança na solução adotada para votação
eletrônica no país.
A urna atual está obsoleta? Ela é insegura?

43. • Proteção inadequada ao sigilo do voto
Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a
possibilidade real de verificação independente de resultados, como o voto impresso
verificável pelo eleitor.
• Fonte inadequada de entropia (informação imprevisível)
O software da urna eletrônica brasileira utilizava apenas a medida
do tempo em resolução de segundos como fonte de entropia, mesmo tendo
disponíveis fontes de melhor qualidade em hardware.
Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se
utilizar um gerador em hardware baseado em efeito físico bem estudado.
Fragilidades e Recomendações

44. • Proteção inadequada ao sigilo do voto
Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a
possibilidade real de verificação independente de resultados, como o voto impresso
verificável pelo eleitor.
• Fonte inadequada de entropia (informação imprevisível)
O software da urna eletrônica brasileira utilizava apenas a medida
do tempo em resolução de segundos como fonte de entropia, mesmo tendo
disponíveis fontes de melhor qualidade em hardware.
Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se
utilizar um gerador em hardware baseado em efeito físico bem estudado.
Fragilidades e Recomendações

45. • Verificação insuficiente de integridade
Recomendação. Transferir a pressão da verificação de integridade do software para a
verificação independente dos resultados produzidos pelo software.
• Compartilhamento de chaves criptográficas
Recomendação. Atribuir uma chave criptográfica distinta para cada
equipamento, ou pelo menos, para cada cartão de memória utilizado para inseminar
um conjunto reduzido de urnas eletrônicas.
• Presença de chaves no código-fonte
O compartilhamento da chave de cifração das mídias é agravado pela sua presença às
claras no código-fonte do software. Recomendação. Armazenar a chave de cifração
no módulo de segurança em hardware ou, preferivelmente, em dispositivo
criptográfico seguro externo ao ambiente da urna eletrônica.
Fragilidades e Recomendações

46. • Escolha inadequada de algoritmos
software da urna eletrônica também utiliza função de resumo criptográfico para fins
de assinatura digital e verificação de integridade com uso não recomendado desde
2006. Recomendação. Utilizar um gerador de números pseudoaleatórios de
qualidade criptográfica, e uma função de resumo criptográfico padronizada e segura.
• Além do software, no processo de desenvolvimento:
Complexidade acentuada, Auditoria externa insuficiente. A segurança e corretude dos
programas usados na urna baseia-se em confiar na boa fé dos técnicos do TSE. Não há
razão para duvidar disto, mas isto fere as boas práticas de segurança.
• Formulação equivocada de modelo de atacante
O projeto de mecanismos de segurança utilizado preocupa-se exageradamente
com atacantes externos e ignora o risco de atacantes internos. Recomendação.
Adotar mecanismos de segurança que resistam a agentes externos
e, particularmente, a agentes internos que os conhecem em seus mínimos detalhes.
• Ausência de exercícios internos e
• falta de treinamento formal
Fragilidades e Recomendações

47. • Esse conjunto de fragilidades e vulnerabilidades fornece evidências
materiais para preocupações.
• Pode-se concluir que não houve incremento significativo nas
propriedades de segurança fornecidas pelo software da urna
eletrônica nos últimos 10 anos.
• Continuam preocupantes:
• a proteção inadequada do sigilo do voto
• a impossibilidade prática de auditoria completa ou
minimamente eficaz do software
• a verificação insuficiente ou inócua de integridade do software
de votação.
A urna atual está obsoleta? Ela é insegura?

48. • Como estas três propriedades são atualmente críticas para garantir
o anonimato e destinação correta dos votos computados,
defendemos a reintrodução do voto impresso (2ª ou 3ª Geração)
como mecanismo simples de verificação de integridade dos
resultados de eleições.
• O voto impresso distribui a auditoria do software entre todos os
eleitores, que se tornam responsáveis por conferir que seus votos
foram registrados corretamente pela urna eletrônica, desde que
apuração posterior seja realizada para verificar que a contagem dos
votos impressos corresponde à totalização eletrônica parcial.
A urna atual está obsoleta? Ela é insegura?

49. • Essa apuração pode ser realizada por amostragem, de forma a não
haver impacto significativo na latência para divulgação dos
resultados.
• Vale ressaltar que o voto impresso é para fins de conferência
apenas no interior da seção eleitoral, e não pode servir de
comprovante no ambiente externo à seção eleitoral, como
determinava a legislação a respeito (LEI Nº 12.034, DE 29 DE
SETEMBRO DE 2009).
• A proposta de voto impresso retornaria para o sistema brasileiro de
votação nas eleições de 2014, mas infelizmente foi declarada
inconstitucional sob alegações tecnicamente questionáveis.
A urna atual está obsoleta? Ela é insegura?

50. • Um movimento nesta direção acompanharia a tendência mundial
vigente em sistemas de votação eletrônica.
• Com a adoção do voto impresso pela Índia, o Brasil permanece
como o único país no mundo a adotar sistema de votação sem
verificação independente de resultados.
• Acreditamos que por esse motivo, e dadas as fragilidades, o
software utilizado no sistema de votação eletrônica brasileiro não
satisfaz requisitos mínimos e plausíveis de segurança e
transparência.
A urna atual está obsoleta? Ela é insegura?

51. 51
Paulo Pagliusi
CMG (RM1-IM), Ph.D., CISM
CEO MPSafe CyberSecurity Awareness
Vice-Presidente CSABR | Diretor ISACA-RJ
pagliusi@mpsafe.com.br
www.mpsafe.com.br
Twitter: @ppagliusi
www.cyber-manifesto.org
MUITO OBRIGADO!
BONS VENTOS!