Moderador do Fórum do Voto Eletrônico (1998)Assessor Técnico de Partidos Políticos junto ao TSE(2000)Membro do Comitê Mult...
1. Princípios Básicos do Voto Digitalizado3. Biometria nas Eleições - sem maquiagemPrincípio da Inviolabilidade AbsolutaPr...
ó ç ôã
 Necessário para evitar a coação de eleitores, a mais insidiosafraude eleitoral Diferente do sigilo bancário e do telefô...
ó ç ôã
Jurisprudência do Tribunal Constitucional da Alemanha- 2009 -http://www.bundesverfassungsgericht.de/entscheidungen/cs20090...
O aparente conflito entrePrincípio da Inviolabilidade Absoluta do VotoPrincípio da PublicidadeO autor do voto deve ser abs...
ó ç ôã
Criado em 2006 por Ronald Rivest (MIT) e John Wack (NIST)http://people.csail.mit.edu/rivest/pubs/RW06.pdfProcure no Wikipé...
ó ç ôã
 Uma eleição não pode ser parcialmente adiada porindisponibilidade do sistema. Tem que ocorrer nadata marcada em todo o t...
ó ç ôã
ó ç ôãOutros Requisitos EssenciaisDe acordo com a Norma Técnica “Voluntary Voting System Guidelines” (VVSG),capítulo 7.8 -...
ó ç ôã
ó ç ôãOutros Requisitos Desejáveis Usabilidade - sistema amigável ao eleitor Direito de Refutação (dentro do local de vo...
AS TRÊS GERAÇÕES DO VOTO-E – exemplosó ç ôãPrimeira Geração – Holanda, 1991DRE- Direct Recording Electronic voting machine...
 A confiabilidade dos resultados dependeda confiabilidade do software Grava o voto diretamente na memóriadigital (RDV) e...
 A confiabilidade dos resultados NÃO depende daconfiabilidade do software Registra o voto em duas cópias separadas (digi...
 A confiabilidade dos resultados NÃO depende daconfiabilidade do software Registra o voto em duas cópias interconectadas...
COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINAó ç ôãConceito / Princípio BRASILUE2009VENEZUELASAESARGENTINAVot-ArGera voto impre...
COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINAó ç ôãConceito / Princípio BRASILUE2009VENEZUELASAESARGENTINAVot-ArUma modificação...
COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINAó ç ôãConceito / Princípio BRASILUE2009VENEZUELASAESARGENTINAVot-ArDistribuição ma...
Características: São capturadas as impressões digitais dos 10 dedos, mas nas urnas sãousadas apenas duas É capturada a f...
O que ocorreu em 2010 : os objetivos não foram atingidos Grandes filas de votação com atrasos de até 5 horas Taxa média ...
ó ç ôãBiometria nas Eleições Brasileiras- sem maquiagem -
ó ç ôãExemplos Reais de Biometria nas Eleições 2010Município SeçãoEleitoral Votantes Autorizadospor senha% de FalsoNegativ...
A LEI DO VOTO IMPRESSO, A ADI EO PROJETO DE LEIó ç ôãLei 12.034 aprovada e sancionada em out/2009Art. 5º - Fica criado, a ...
ó ç ôãArt. 5º Fica criado, a partir das eleições de 2014, inclusive, o voto impresso conferidopelo eleitor, garantido o to...
ó ç ôã Nov/10 – Presidente do TSE apresenta vídeo contra o Art. 5º da Lei12.034/09 ao Colégio de Presidentes de Tribunais...
 Set/11 – Um Senador e um Deputado apresentam dois projeto de leiidênticos, que receberam da Presidente do TSE, para revo...
Sites Recomendados Voto Seguro - www.votoseguro.org Relatório CMInd (1 e 2)www.votoseguro.org/textos/RelatorioCMind.htm...
ó ç ôã“É chegada a hora da sociedade civil brasileira debater o voto eletrônico, sob pena dedeixarmos para nossos filhos u...
BRAVA GENTE BRASILEIRA!LONGE VÁ.... TEMOR SERVILDEFENDA SEUS DIREITOS.LUTE PELA TRANSPARÊNCIA ELEITORAL.EXIJA SABER PARA Q...
Fórum Nacional de Segurança em Urnas Eletrônicas
Próximos SlideShares
Carregando em…5
×

Fórum Nacional de Segurança em Urnas Eletrônicas

512 visualizações

Publicada em

Apresentando duas palestras e uma mesa redonda com especialistas, esse evento tratou-se do mais atualizado relato nacional sobre as condições tecnológicas de segurança de nosso sistema eleitoral, com foco nas urnas eletrônicas, sendo a visualização desse vídeo praticamente obrigatória para qualquer cidadão com senso de dever cívico.

A primeira palestra, de Amilcar Brunazo Filho, apresentou os princípios básicos de um sistema eleitoral (tradicional e eletrônico), como o "sigilo do autor" e a "publicidade do conteúdo do voto", assim como o "princípio da independência do software" - uma nova abordagem específica para o processo de votação eletrônica - além de questionar a real efetividade do sistema de biometria em instalação atualmente no país.

Amilcar apresentou ainda o trâmite polêmico do projeto de lei que regulamentaria o avanço da segurança das urnas brasileiras para a chamada segunda geração, permitindo a auditoria dos resultados (com a impressão da cédula do voto, como já é feito no resto do mundo), e sua suspensão sumária pelo TSE logo após a sanção da lei, com alegações de ordem técnica e jurídicas baseadas em puras falácias (erros de lógica nos argumentos).

Por fim, Amilcar emocionou-se ao finalizar sua apresentação ao ver que a nova geração está tomando parte na luta que há tanto tempo tem travado, até hoje com pouco apoio.

Na segunda palestra, o prof. Diego Aranha, da Universidade de Brasilia, apresentou os detalhes de seu relatório técnico sobre o estudo que participou a respeito da segurança das urnas eletrônicas, em edital do TSE em 2012. Praticamente sua equipe conseguiu, com sucesso, atingir o nível de fraude do sistema, pois recuperou a lista de votação completamente (475 votos) durante o tempo de análise da urna, e mais surpreendentemente, descobriram que um número muito importante para decodificar todo o registro de voto era justamente a hora de inicio de operação da urna, informação pública, impressa nos boletins de urna que são enviados aos partidos.

Os membros técnicos da banca concordaram plenamente com o feito técnico da equipe da UnB e entenderam o ataque como um sucesso na execução de fraude, demonstrando a fragilidade do sistema de segurança das urnas. Além disso, diversas más práticas de segurança foram praticadas no projeto das urnas eletrônicas, sendo que ao menos uma escolha particular de algoritmo foi classificada como obsoleta há pelo menos 6 anos.

Um relatório técnico foi apresentado pela equipe do prof. Diego ao TSE para adequação de todas as irregularidades nas urnas. O TSE respondeu dizendo que tais requisitos haviam sido atendidos, porém, não divulgou um boletim informando quais detalhes e procedimentos haviam sido tomados, de forma que não podemos confirmar se agora as urnas estão realmente seguras.

Publicada em: Notícias e política
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Fórum Nacional de Segurança em Urnas Eletrônicas

  1. 1. Moderador do Fórum do Voto Eletrônico (1998)Assessor Técnico de Partidos Políticos junto ao TSE(2000)Membro do Comitê Multidisciplinar Independente –CMIND (2009)Observador Eleitoral Internacional na Argentina (2011)Observador Eleitoral Internacional no Equador (2012)amilcar@brunazo.eng.brwww.votoseguro.orgEng. Amílcar Brunazo Filho
  2. 2. 1. Princípios Básicos do Voto Digitalizado3. Biometria nas Eleições - sem maquiagemPrincípio da Inviolabilidade AbsolutaPrincípio da PublicidadePrincípio da Independência do SoftwareDisponibilidade AbsolutaOutros Requisitos EssenciaisOutros Requisitos Desejáveis2. As Três Gerações do Voto-E4. A Lei do Voto Impresso, a ADI e o Projeto de Leió ç ôãTEMAS
  3. 3. ó ç ôã
  4. 4.  Necessário para evitar a coação de eleitores, a mais insidiosafraude eleitoral Diferente do sigilo bancário e do telefônico, o sigilo do voto éabsoluto, isto é, não pode ser quebrado nem por ordem judicial A garantia do sigilo também tem que ser absoluta, pois bastaexistir uma mínima possibilidade teórica de violação do voto, que acoação de eleitores se implanta Consequência 1: o registro e o processamento digital do voto nãopodem incluir dados de rastreamento da origem do voto Consequência 2: é muito mais difícil processar de forma seguraum voto digital do que transferir US$ 1 milhão.Princípio da Inviolabilidade Absoluta do Votoó ç ôã
  5. 5. ó ç ôã
  6. 6. Jurisprudência do Tribunal Constitucional da Alemanha- 2009 -http://www.bundesverfassungsgericht.de/entscheidungen/cs20090303_2bvc000307.htmlCap. 4.1.1 em: http://www.brunazo.eng.br/voto-e/textos/RelatorioCMind.pdf O eleitor comum tem direito a conferir, com recursos próprios, o registro eo processamento do seu voto O candidato tem o direito de acompanhar e conferir, com recursospróprios, a contagem dos votos Inconstitucionalidade: urna eletrônica de registro eletrônico do voto(DRE) não atende ao Princípio da PublicidadePrincípio da Publicidadeó ç ôã
  7. 7. O aparente conflito entrePrincípio da Inviolabilidade Absoluta do VotoPrincípio da PublicidadeO autor do voto deve ser absolutamente secretomas o conteúdo do voto deve ser absolutamente público- uma velha piada -
  8. 8. ó ç ôã
  9. 9. Criado em 2006 por Ronald Rivest (MIT) e John Wack (NIST)http://people.csail.mit.edu/rivest/pubs/RW06.pdfProcure no Wikipédia: “Independência do Software”“Um sistema eleitoral é independente do software seuma modificação ou erro não-detectado no seu softwarenão pode causar uma modificação ou erro indetectávelno resultado da apuração, ou na inviolabilidade do voto”“Propomos que sejam preferidosSistemas de Votação Independentes do Softwaree que Sistemas de Votação Dependentes do Softwaresejam abandonados”ó ç ôãPrincípio da Independência do Softwareem Sistemas Eleitorais
  10. 10. ó ç ôã
  11. 11.  Uma eleição não pode ser parcialmente adiada porindisponibilidade do sistema. Tem que ocorrer nadata marcada em todo o território Necessária forte resistência a ataques do tipo DoSó ç ôãDisponibilidade Absoluta
  12. 12. ó ç ôã
  13. 13. ó ç ôãOutros Requisitos EssenciaisDe acordo com a Norma Técnica “Voluntary Voting System Guidelines” (VVSG),capítulo 7.8 - Independent Verification Systems em:http://www.eac.gov/assets/1/AssetManager/VVSG_Version_1-1_Volume_1_-_20090527.pd Ao menos dois registros do voto devem ser produzidos, e um destes deverá serarmazenado em meio que não possa ser modificado pelo sistema (eletrônico) devotação, de modo que ambos não estejam sob controle de um processo digitalúnico Antes de deixar o local de votação, o eleitor poderá conferir a equivalência entreos dois registros do seu voto Os processos de verificação dos registros dos votos devem ser independentesentre si e, ao menos um deles deve ser conferível diretamente pelo eleitor Deve haver correlação exata entre os registros do mesmo voto, por meio deidentificadores únicos
  14. 14. ó ç ôã
  15. 15. ó ç ôãOutros Requisitos Desejáveis Usabilidade - sistema amigável ao eleitor Direito de Refutação (dentro do local de votação) Velocidade – na votação e na apuração Recuperação de erros e retomada desburocratizada Portabilidade e logística econômicas Treinamento sempre disponível para eleitor e mesário Distribuição matricial de equipamentos e seções
  16. 16. AS TRÊS GERAÇÕES DO VOTO-E – exemplosó ç ôãPrimeira Geração – Holanda, 1991DRE- Direct Recording Electronic voting machineSegunda Geração – Venezuela, 2004IVVR - Independent Voter-Verifiable RecordVVPAT - Voter-Verifiable Paper Audit TrailTerceira GeraçãoE2E – End to End – Scantregrity, EUA, 2009WS – Witness Systems – Previsto na VVSG, 2009BVE – Boleta de Voto Electrónico – Argentina, 2010
  17. 17.  A confiabilidade dos resultados dependeda confiabilidade do software Grava o voto diretamente na memóriadigital (RDV) e não permite que o eleitorveja o que foi registrado (gravado) comosendo o seu voto Conta os Registros Digitais do Voto (RDV)sem possibilitar uma auditoria contábiló ç ôãCaracterísticas da Primeira GeraçãoDRE- Direct Recording Electronic voting machine
  18. 18.  A confiabilidade dos resultados NÃO depende daconfiabilidade do software Registra o voto em duas cópias separadas (digitale impressa), para conferência pelo eleitorenquanto estiver no local de votação Possibilita uma auditoria contábil do resultado Solução difícil se houver divergência entre o papele o registro digital do votoIVVR - Independent Voter-Verifiable RecordVVPAT - Voter-Verifiable Paper Audit Trailó ç ôãCaracterísticas da Segunda Geração
  19. 19.  A confiabilidade dos resultados NÃO depende daconfiabilidade do software Registra o voto em duas cópias interconectadas(uma impressa e outra no chip RFID, embutido naprópria BVE), para conferência pelo eleitorenquanto estiver no local de votação Possibilita uma auditoria contábil do resultado Solução simples de divergência entre o impressoe o registro digital do voto: vale o impresso!Características da Terceira GeraçãoBVE – Boleta de Voto Electrónico – Argentina, 2010ó ç ôã
  20. 20. COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINAó ç ôãConceito / Princípio BRASILUE2009VENEZUELASAESARGENTINAVot-ArGera voto impresso conferível pelo eleitor NÃO SIM SIMO eleitor pode conferir o conteúdo da gravaçãodigital do seu voto antes de sair do local devotaçãoNÃO NÃO SIMO fiscal externo pode verificar a igualdade entreos diversos registros do voto- NÃO SIMO fiscal externo pode acompanhar e verificar acontagem de votos de cada seção eleitoralNÃO SIM SIMGarantia contra a violação do voto causada porum erro não detectado no softwareNÃO SIM SIMGarantia contra a violação do voto causada porreordenação do arquivo dos votosNÃO NÃO SIM
  21. 21. COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINAó ç ôãConceito / Princípio BRASILUE2009VENEZUELASAESARGENTINAVot-ArUma modificação ou erro não detectado nosoftware pode causar um erro indetectável noresultado da apuraçãoSIM NÃO NÃOConformidade com a Norma Técnica:Voluntary Voting System Guidelines, Seção 7.8NÃO SIM SIMTempo para publicação na Internet dosresultados por Seção, para fiscalização daTotalização72 h(2012)? 2 h(2011)Conferência da assinatura digital do softwarefeita em equipamento sob controle do fiscalNÃO ? SIMSolução simples de diferenças entre o papel e oregistro digital do voto- NÃO SIMDireito do eleitor refutar o voto impresso - NÃO SIM
  22. 22. COMPARAÇÃO BRASIL, VENEZUELA E ARGENTINAó ç ôãConceito / Princípio BRASILUE2009VENEZUELASAESARGENTINAVot-ArDistribuição matricial de Urnas-E e mesas:o eleitor pode escolher uma urna livre para votar,sem ter que esperar que um eleitor anteriorcomplete seu voto. Menores filas.NÃO NÃO SIMO eleitor pode escolher a ordem dos cargos a votar NÃO SIM SIMAdaptação para plebiscitos e outras consultas -disponibilidade de opções "sim", "não", ou outrasmais específicasNÃO SIM SIMPreparação simplificada, sem introdução de dadosdiferentes para cada seção/máquinaNÃO NÃO SIMTroca de equipamento defeituoso e necessidade derecuperação de dadosLentaSIMLentaSIMRápidoNÃO
  23. 23. Características: São capturadas as impressões digitais dos 10 dedos, mas nas urnas sãousadas apenas duas É capturada a foto do eleitor em alta definição, mas o novo Título deEleitor continua sem foto e não é aceito como identificação no momentoda votação. A identificação de um eleitor só pode ser iniciada quando o eleitoranterior finalizou seu voto Segundo o TSE, a expectativa esperada de falso negativo era de 1%Biometria nas Eleições Brasileiras- sem maquiagem -ó ç ôãObjetivo: Impedir que outros possam votar no lugar do eleitor verdadeiro
  24. 24. O que ocorreu em 2010 : os objetivos não foram atingidos Grandes filas de votação com atrasos de até 5 horas Taxa média de falso negativo de 7% , com picos de mais de 60% Não foi realizado o Batimento do Cadastro de Eleitores (verificação deduplicidades) devido ao alto custo (US$ 3,00 por eleitor) Continua possível a “Fraude do Mesário”ó ç ôãBiometria nas Eleições Brasileiras- sem maquiagem -
  25. 25. ó ç ôãBiometria nas Eleições Brasileiras- sem maquiagem -
  26. 26. ó ç ôãExemplos Reais de Biometria nas Eleições 2010Município SeçãoEleitoral Votantes Autorizadospor senha% de FalsoNegativoFechamentoda VotaçãoMarimbondo - AL 43/34 223 145 65% 17:42Quebrangulo - AL 28/16 270 160 60% 19:59Igaci - AL 45/64 281 128 47% 22:14Paço do Lumiar - MA 93/114 263 105 40% 17:42Paço do Lumiar - MA 93/82 330 112 34% 18:25Piripiri - PI 11/172 303 83 27% 20:58Biometria nas Eleições Brasileiras- sem maquiagem -
  27. 27. A LEI DO VOTO IMPRESSO, A ADI EO PROJETO DE LEIó ç ôãLei 12.034 aprovada e sancionada em out/2009Art. 5º - Fica criado, a partir das eleições de2014, inclusive, o voto impresso conferidopelo eleitor, garantido o total sigilo do voto ...
  28. 28. ó ç ôãArt. 5º Fica criado, a partir das eleições de 2014, inclusive, o voto impresso conferidopelo eleitor, garantido o total sigilo do voto e observadas as seguintes regras:§ 1º A máquina de votar exibirá para o eleitor, primeiramente, as telas referentes àseleições proporcionais; em seguida, as referentes às eleições majoritárias; finalmente,o voto completo para conferência visual do eleitor e confirmação final do voto.§ 2º Após a confirmação final do voto pelo eleitor, a urna eletrônica imprimirá umnúmero único de identificação do voto associado à sua própria assinatura digital.§ 3º O voto deverá ser depositado de forma automática, sem contato manual doeleitor, em local previamente lacrado.§ 4º Após o fim da votação, a Justiça Eleitoral realizará, em audiência pública,auditoria independente do software mediante o sorteio de 2% (dois por cento) dasurnas eletrônicas de cada Zona Eleitoral, respeitado o limite mínimo de 3 (três)máquinas por município, que deverão ter seus votos em papel contados e comparadoscom os resultados apresentados pelo respectivo boletim de urna.§ 5º É permitido o uso de identificação do eleitor por sua biometria ou pela digitaçãodo seu nome ou número de eleitor, desde que a máquina de identificar não tenhanenhuma conexão com a urna eletrônica.Lei do Voto Impresso 12.034 - out/2009
  29. 29. ó ç ôã Nov/10 – Presidente do TSE apresenta vídeo contra o Art. 5º da Lei12.034/09 ao Colégio de Presidentes de Tribunais Eleitorais Dez/10 – TSE compra mais de 300 mil UE em desacordo com a lei Jan/11 – CPTE representa ao MP que abre a ADI 4543 tendo aPresidente do TSE como Relatora no STF 2011 – AGU, Câmara, Senado e PDT defendem a lei Out/11 – Ministros do STF/TSE suspendem a lei, ignorando as defesas eaté provas contrárias, tornando “legais” as 300 mil irregulares quecompraram Abr/13 – Lei continua suspensa, aguardando julgamento do méritoAção Direta de InconstitucionalidadeADI 4543 - jan/2011
  30. 30.  Set/11 – Um Senador e um Deputado apresentam dois projeto de leiidênticos, que receberam da Presidente do TSE, para revogar o Art. 5º daLei 12.034/09 Out/11 – Presidente do TSE e demais ministros do TSE/STF suspendem“provisoriamente” a lei, mas não julgam o mérito Mar/13 – Parecer do Relator na CCJC da Câmara pela injuridicidade doProjeto de Lei Abr/13 – Aguardando votação na CCJCProjeto de Lei 2789/11 naCâmara dos Deputados
  31. 31. Sites Recomendados Voto Seguro - www.votoseguro.org Relatório CMInd (1 e 2)www.votoseguro.org/textos/RelatorioCMind.htm Independência do Software – Wikipédiahttp://pt.wikipedia.org/wiki/Independ%C3%AAncia_do_Software_em_Sistemas_Eleitorais Prof. Pedro Rezende (UnB)http://www.cic.unb.br/docentes/pedro/sdtp.html#Urna-eó ç ôã
  32. 32. ó ç ôã“É chegada a hora da sociedade civil brasileira debater o voto eletrônico, sob pena dedeixarmos para nossos filhos um arremedo de democracia onde a Inviolabilidade doVoto não é garantida, o eleitor não pode verificar para quem foi dado o seu voto e nãose permite fiscalizar a apuração ... como já está ocorrendo agora.”Amílcar Brunazo Filho: in Simpósio de Segurança em Informática, ITA, 199915 anos atrás ...
  33. 33. BRAVA GENTE BRASILEIRA!LONGE VÁ.... TEMOR SERVILDEFENDA SEUS DIREITOS.LUTE PELA TRANSPARÊNCIA ELEITORAL.EXIJA SABER PARA QUEM SEU VOTO FOI CONTADO.SE VOCÊ NÃO FIZER, NINGUÉM FARÁ POR VOCÊ!ó ç ôã

×