Paulo Pagliusi
CMG (RM1-IM), Ph.D., CISM
CEO MPSafe CyberSecurity Awareness
Vice-Presidente CSABR | Diretor ISACA-RJ
pagli...
Sumário
 Antes das eleições: funcionamento do processo eleitoral
 A segurança da urna eletrônica
 Diferença entre as ge...
Antes das
eleições:
funcionamento
do processo
eleitoral
Cadastro de Eleitores
Registro de Candidatos
Assinatura Digital de Sistemas Eleitorais
Geração de Mídias
Urna Eletrônica
É um microcomputador de uso específico composto por:
• Terminal do mesário ou micro terminal, onde o eleit...
Carga das Urnas Eletrônicas
Flashes de carga lacradas
Carga das Urnas Eletrônicas
Tabela de Correspondência
Após a carga, a tabela de correspondência é publicada na
Internet.
São cadastradas todas as urna...
Lacre Físico da Urna
Cada compartimento da urna é
lacrado fisicamente com um
conjunto de adesivos micro-
serrilhados, assi...
Processo de Votação
• Após às 7 horas do dia da eleição, a urna eletrônica é ligada.
• Na presença dos mesários e fiscais ...
Zerésima
O relatório de “zerésima” contém
toda a identificação daquela urna
e comprova que nela estão
registrados todos os...
Habilitação do Eleitor
Após as 8 horas é iniciada a votação.
O mesário:
a) recebe do eleitor o título eleitoral;
b) digita...
Urna Biométrica
• A partir de 2006 começaram a
ser fabricadas urnas com leitor
biométrico.
Ato de Votar
Ao chegar à cabine, o eleitor encontra a urna eletrônica pronta
para receber seu voto para o cargo indicado n...
Ato de Votar
• Após a digitação do número, a tela expõe visualmente o número, o
nome, a sigla do partido e a fotografia do...
Ato de Votar
• A tecla “Corrige”, pressionada antes da confirmação,
recomeça toda a operação.
• Ao corrigir a tela volta a...
Apuração
Após às 17 horas, quando a eleição é encerrada, o presidente
da seção eleitoral, utilizando senha própria:
a) enc...
Boletim de Urna - Exemplo
Eleição Proporcional
Município: 01473 – MARTE Zona Eleitoral: 0005 Seção: 0006
Seções agregadas:...
Gravação do Pen Drive
• Emitido o boletim de urna, o sistema grava os dados contidos
nos cartões de memória (flash card) e...
Arquivos do Pen Drive
Diferença entre BU e RDV
Deputado
Federal
Deputado
Estadual
Senador Governador Presidente
9111 91111 911 91 91
9112 92112 ...
Envio dos Dados
• Cada pen drive contendo o resultado de uma seção eleitoral é
transportado, em envelope lacrado, com a do...
Visão Geral do Processo Eleitoral
Retirada do Pen Drive
Transmissão do BU
Totalização dos BU
no TRE
Divulgação dos
resulta...
Segurança da
Urna Eletrônica
Mecanismos de Segurança da Urna Eletrônica
Objetivos da Votação Eletrônica: Garantir
• Apuração exata
• Confidencialidade do voto
• Impossibilidade de venda de voto
...
Propriedades de Segurança da Votação Eletrônica
As duas principais propriedades de segurança da votação referem-se ao
anon...
Diferença entre
as gerações de
voting machines
Os equipamentos de votação são classificados em diferentes modelos,
organizados em níveis crescentes de transparência e de...
• 2ª Geração: Voto impresso conferível pelo eleitor (VVPT – Voter
Verified Paper Trail): os votos são impressos para verif...
• 3ª Geração: Verificabilidade fim-a-fim (E2E – End-to-end
Verifiability): os eleitores podem verificar que seus votos for...
35
Urna Eletrônica Brasileira: Mudança Radical no Modelo Aceito
 A absoluta dependência da confiabilidade do software nos...
O teste aberto
de segurança
realizado em
2012
Testes Públicos de Segurança
The Noite: Entrevista com vencedor do Teste Aberto
O caso do
hacking
adolescente
http://revistagalileu.globo.com/Revista/Common/0,,EMI326470-17770,00-
HACKER+DE+ANOS+REVELA+COMO+FRAUDOU+ELEICOES+NO+RIO+D...
A urna atual
está obsoleta?
Ela é insegura?
• Resultado do teste de 2012 apresentou conjunto de
vulnerabilidades no software da urna eletrônica que permitiu a
recuper...
• Proteção inadequada ao sigilo do voto
Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a
possibi...
• Proteção inadequada ao sigilo do voto
Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a
possibi...
• Verificação insuficiente de integridade
Recomendação. Transferir a pressão da verificação de integridade do software par...
• Escolha inadequada de algoritmos
software da urna eletrônica também utiliza função de resumo criptográfico para fins
de ...
• Esse conjunto de fragilidades e vulnerabilidades fornece evidências
materiais para preocupações.
• Pode-se concluir que ...
• Como estas três propriedades são atualmente críticas para garantir
o anonimato e destinação correta dos votos computados...
• Essa apuração pode ser realizada por amostragem, de forma a não
haver impacto significativo na latência para divulgação ...
• Um movimento nesta direção acompanharia a tendência mundial
vigente em sistemas de votação eletrônica.
• Com a adoção do...
51
Paulo Pagliusi
CMG (RM1-IM), Ph.D., CISM
CEO MPSafe CyberSecurity Awareness
Vice-Presidente CSABR | Diretor ISACA-RJ
pa...
Próximos SlideShares
Carregando em…5
×

Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi

685 visualizações

Publicada em

Slides da palestra intitulada: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica, proferida pelo Dr. Paulo Pagliusi em 25Set2014. O vídeo desta apresentação está disponível em: http://www.mpsafe.com.br/2014/11/in-seguranca-da-votacao-eletronica.html

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
685
No SlideShare
0
A partir de incorporações
0
Número de incorporações
8
Ações
Compartilhamentos
0
Downloads
15
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi

  1. 1. Paulo Pagliusi CMG (RM1-IM), Ph.D., CISM CEO MPSafe CyberSecurity Awareness Vice-Presidente CSABR | Diretor ISACA-RJ pagliusi@mpsafe.com.br www.mpsafe.com.br Twitter: @ppagliusi www.cyber-manifesto.org
  2. 2. Sumário  Antes das eleições: funcionamento do processo eleitoral  A segurança da urna eletrônica  Diferença entre as gerações de voting machines  O teste aberto de segurança realizado em 2012  O caso do hacking adolescente  A urna atual está obsoleta? Ela é insegura?
  3. 3. Antes das eleições: funcionamento do processo eleitoral
  4. 4. Cadastro de Eleitores
  5. 5. Registro de Candidatos
  6. 6. Assinatura Digital de Sistemas Eleitorais
  7. 7. Geração de Mídias
  8. 8. Urna Eletrônica É um microcomputador de uso específico composto por: • Terminal do mesário ou micro terminal, onde o eleitor é identificado pelo número de seu título eleitoral e autorizado a votar. • Terminal do eleitor, onde é registrado numericamente o voto.
  9. 9. Carga das Urnas Eletrônicas Flashes de carga lacradas
  10. 10. Carga das Urnas Eletrônicas
  11. 11. Tabela de Correspondência Após a carga, a tabela de correspondência é publicada na Internet. São cadastradas todas as urnas válidas, incluindo: • Urna de votação • Urna de contingência • Mesa receptora de justificativa eleitoral Município: 61018 – ADAMANTINA Zona Eleitoral: 0157 Seção Cód. UE Cód. F.C. Código da carga Data e hora 0001 00577979 F966FB1D 847.050.926.773.598.887.371 .225 25/09/2006 08:31:27
  12. 12. Lacre Físico da Urna Cada compartimento da urna é lacrado fisicamente com um conjunto de adesivos micro- serrilhados, assinados pelo juiz da seção eleitoral: • Tampa do pen drive • Tampa do cartão de memória • Gabinete • Micro terminal • Tampa do conector do teclado alfanumérico ou porta USB 0000001 0000001 0000001 0000001 0000001 0000001 0000001 0000001 0000001 0000001
  13. 13. Processo de Votação • Após às 7 horas do dia da eleição, a urna eletrônica é ligada. • Na presença dos mesários e fiscais de partidos políticos, é emitido em cada seção eleitoral, um relatório de “zerésima”.
  14. 14. Zerésima O relatório de “zerésima” contém toda a identificação daquela urna e comprova que nela estão registrados todos os candidatos com zero votos.
  15. 15. Habilitação do Eleitor Após as 8 horas é iniciada a votação. O mesário: a) recebe do eleitor o título eleitoral; b) digita o número do título no terminal do mesário; c) identifica o eleitor, por meio do nome mostrado na tela do microterminal, e o autoriza a votar. d) pressiona a tecla “Confirma” no terminal do mesário, e assim libera o terminal do eleitor, localizado em uma cabine indevassável.
  16. 16. Urna Biométrica • A partir de 2006 começaram a ser fabricadas urnas com leitor biométrico.
  17. 17. Ato de Votar Ao chegar à cabine, o eleitor encontra a urna eletrônica pronta para receber seu voto para o cargo indicado na tela.
  18. 18. Ato de Votar • Após a digitação do número, a tela expõe visualmente o número, o nome, a sigla do partido e a fotografia do candidato. • Essa apresentação da tela possibilita a conferência pelo eleitor. • Feita a conferência, aciona-se a tecla “Confirma”. O voto, então, é contabilizado pela urna.
  19. 19. Ato de Votar • A tecla “Corrige”, pressionada antes da confirmação, recomeça toda a operação. • Ao corrigir a tela volta a situação original. • Há a possibilidade do registro do voto “Em branco” mediante tecla específica. • Concluída a votação, a urna eletrônica apresenta a tela “FIM”, permitindo que outro eleitor seja habilitado a votar.
  20. 20. Apuração Após às 17 horas, quando a eleição é encerrada, o presidente da seção eleitoral, utilizando senha própria: a) encerra a votação. b) emite o “boletim de urna” da seção.
  21. 21. Boletim de Urna - Exemplo Eleição Proporcional Município: 01473 – MARTE Zona Eleitoral: 0005 Seção: 0006 Seções agregadas: Esta seção não possui seções agregadas. Aptos: 184 Comparecimento: 165 Faltosos: 19 Tipo de urna: Apurada Origem: Urna Eletrônica Data do recebimento: 25/09/2006 18:25:46 Código UE: 66142 Código da Carga: 000.664.580.006.134.900.062.755 Data da Carga: 25/09/2006 16:20:25 Código do FC: 30833A79 Cargo: Deputado Federal Candidato/Legenda Quantidade de votos 2269 - CAIADO ROSENATO ERALDO KENNEDY 70 2270 - STELA LULA KENNEDY MODESTO 46 2271 - NILDO ARTUR LOPES ADROALDO 23 2299 - PERPETUO FARIAS MORIZ 1 2300 - RITA PICARELLI KENNEDY MODESTO 9 Votos válidos : 149 Votos em branco : 12 Votos nulos : 4 Votos anulados e apurados em separado : 0
  22. 22. Gravação do Pen Drive • Emitido o boletim de urna, o sistema grava os dados contidos nos cartões de memória (flash card) em um pen drive.
  23. 23. Arquivos do Pen Drive
  24. 24. Diferença entre BU e RDV Deputado Federal Deputado Estadual Senador Governador Presidente 9111 91111 911 91 91 9112 92112 921 92 92 9411 94111 BRANCO BRANCO BRANCO 9212 92112 921 94 94 9111 93111 NULO 91 BRANCO Deputado Federal 9111 = 2 9112 = 1 9113 = 1 9212 = 1 9411 = 1 Brancos =0 Nulos=0 Deputado Estadual 91111 = 1 91112 = 2 93111 = 1 94111 = 1 Brancos =0 Nulos=0 Senador 911 = 1 921 = 2 931 = 0 Brancos =1 Nulos=1 Governador 91 = 2 92 = 1 94 = 1 Brancos =1 Nulos=0 Presidente 91 = 1 92 = 1 93 = 0 Brancos =2 Nulos=0 Boletim de Urna Registro Digital do Voto
  25. 25. Envio dos Dados • Cada pen drive contendo o resultado de uma seção eleitoral é transportado, em envelope lacrado, com a documentação da seção, para o local de transmissão. • O pen drive é lido por programa específico da Justiça Eleitoral, que transmite os arquivos em rede “segura” para os TRE e para o TSE, para fins de totalização estadual e nacional e posterior divulgação.
  26. 26. Visão Geral do Processo Eleitoral Retirada do Pen Drive Transmissão do BU Totalização dos BU no TRE Divulgação dos resultados na INTERNET Consolidação nacional dos resultados no TSE Comunicação dos Dados Seção Eleitoral Impressão do BU BUASDJFHSDJFS SADFJSJD LJ DFJSDFJS SD SKDFJSF HD FJGDFJ KJ JDKLSDS IT HFFGHDD LI DSHSDH RE SKDFJSF HD FJGDFJ KJ JDKLSDS Votação
  27. 27. Segurança da Urna Eletrônica
  28. 28. Mecanismos de Segurança da Urna Eletrônica
  29. 29. Objetivos da Votação Eletrônica: Garantir • Apuração exata • Confidencialidade do voto • Impossibilidade de venda de voto • Auditabilidade do eleitor
  30. 30. Propriedades de Segurança da Votação Eletrônica As duas principais propriedades de segurança da votação referem-se ao anonimato e à destinação dos votos: • Sigilo: votos devem ser secretos, de modo a prevenir sua venda e defender eleitores de coação por qualquer parte interessada; • Integridade: • votos devem refletir intenção dos eleitores individualmente • sua apuração e totalização deve transferir a intenção coletiva dos eleitores para o resultado. • Qualquer tentativa de violar a integridade de uma eleição deve ser detectável e corretamente atribuída.
  31. 31. Diferença entre as gerações de voting machines
  32. 32. Os equipamentos de votação são classificados em diferentes modelos, organizados em níveis crescentes de transparência e decrescentes de dependência de software: • 1ª Geração: Armazenamento eletrônico direto (DRE – Direct Recoding Electronic): os votos são armazenados e contabilizados de maneira puramente eletrônica, impedindo assim qualquer possibilidade de recontagem ou de verificação independente dos resultados, pois a adulteração não detectada do software causa distorções indetectáveis nos resultados. Diferença entre as gerações de voting machines
  33. 33. • 2ª Geração: Voto impresso conferível pelo eleitor (VVPT – Voter Verified Paper Trail): os votos são impressos para verificação independente pelo eleitor e apuração posterior, sem no entanto funcionarem como comprovantes de suas escolhas. Diferença entre as gerações de voting machines Urna, com VVPT, usada no México desde 2012
  34. 34. • 3ª Geração: Verificabilidade fim-a-fim (E2E – End-to-end Verifiability): os eleitores podem verificar que seus votos foram registrados e contabilizados corretamente e que todos os votos foram incluídos no resultado final. • Principal característica: independência do software e a grande facilidade de auditoria independente, de ponta a ponta, no processamento. digital do voto. Diferença entre as gerações de voting machines Maquina VotAR, com BVE, usada na Argentina desde 2010 e testada no Equador em 2014
  35. 35. 35 Urna Eletrônica Brasileira: Mudança Radical no Modelo Aceito  A absoluta dependência da confiabilidade do software nos modelos DRE encontrou muita resistência e a partir de 2004, na Venezuela, começou o fim do ciclo de vida desse modelo, que passou a ser substituído por outros modelos independentes do software.  Entre 2006 e 2012, a Holanda, a Alemanha, os EUA, o Canadá, a Rússia, a Bélgica, a Argentina, o México, o Paraguai abandonaram o modelo DRE de 1ª Geração.  Em 2014, chegou a vez da Índia e do Equador adotarem modelos mais avançados, de maneira que restou apenas o Brasil ainda usando o modelo DRE de 1ª Geração em todo o mundo.
  36. 36. O teste aberto de segurança realizado em 2012
  37. 37. Testes Públicos de Segurança
  38. 38. The Noite: Entrevista com vencedor do Teste Aberto
  39. 39. O caso do hacking adolescente
  40. 40. http://revistagalileu.globo.com/Revista/Common/0,,EMI326470-17770,00- HACKER+DE+ANOS+REVELA+COMO+FRAUDOU+ELEICOES+NO+RIO+DE+JANEIRO.html
  41. 41. A urna atual está obsoleta? Ela é insegura?
  42. 42. • Resultado do teste de 2012 apresentou conjunto de vulnerabilidades no software da urna eletrônica que permitiu a recuperação eficiente, exata e sem deixar vestígios dos votos em ordem registrados eletronicamente. • Derrotou o único mecanismo de proteção do sigilo do voto utilizado pelo software de votação. • A necessidade de se instalar recursos para avaliação científica, independente e contínua do software torna-se evidente. • Há ampla disponibilidade de especialistas na academia e indústria, capazes de contribuir na direção do incremento real das propriedades de segurança na solução adotada para votação eletrônica no país. A urna atual está obsoleta? Ela é insegura?
  43. 43. • Proteção inadequada ao sigilo do voto Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a possibilidade real de verificação independente de resultados, como o voto impresso verificável pelo eleitor. • Fonte inadequada de entropia (informação imprevisível) O software da urna eletrônica brasileira utilizava apenas a medida do tempo em resolução de segundos como fonte de entropia, mesmo tendo disponíveis fontes de melhor qualidade em hardware. Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se utilizar um gerador em hardware baseado em efeito físico bem estudado. Fragilidades e Recomendações
  44. 44. • Proteção inadequada ao sigilo do voto Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a possibilidade real de verificação independente de resultados, como o voto impresso verificável pelo eleitor. • Fonte inadequada de entropia (informação imprevisível) O software da urna eletrônica brasileira utilizava apenas a medida do tempo em resolução de segundos como fonte de entropia, mesmo tendo disponíveis fontes de melhor qualidade em hardware. Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se utilizar um gerador em hardware baseado em efeito físico bem estudado. Fragilidades e Recomendações
  45. 45. • Verificação insuficiente de integridade Recomendação. Transferir a pressão da verificação de integridade do software para a verificação independente dos resultados produzidos pelo software. • Compartilhamento de chaves criptográficas Recomendação. Atribuir uma chave criptográfica distinta para cada equipamento, ou pelo menos, para cada cartão de memória utilizado para inseminar um conjunto reduzido de urnas eletrônicas. • Presença de chaves no código-fonte O compartilhamento da chave de cifração das mídias é agravado pela sua presença às claras no código-fonte do software. Recomendação. Armazenar a chave de cifração no módulo de segurança em hardware ou, preferivelmente, em dispositivo criptográfico seguro externo ao ambiente da urna eletrônica. Fragilidades e Recomendações
  46. 46. • Escolha inadequada de algoritmos software da urna eletrônica também utiliza função de resumo criptográfico para fins de assinatura digital e verificação de integridade com uso não recomendado desde 2006. Recomendação. Utilizar um gerador de números pseudoaleatórios de qualidade criptográfica, e uma função de resumo criptográfico padronizada e segura. • Além do software, no processo de desenvolvimento: Complexidade acentuada, Auditoria externa insuficiente. A segurança e corretude dos programas usados na urna baseia-se em confiar na boa fé dos técnicos do TSE. Não há razão para duvidar disto, mas isto fere as boas práticas de segurança. • Formulação equivocada de modelo de atacante O projeto de mecanismos de segurança utilizado preocupa-se exageradamente com atacantes externos e ignora o risco de atacantes internos. Recomendação. Adotar mecanismos de segurança que resistam a agentes externos e, particularmente, a agentes internos que os conhecem em seus mínimos detalhes. • Ausência de exercícios internos e • falta de treinamento formal Fragilidades e Recomendações
  47. 47. • Esse conjunto de fragilidades e vulnerabilidades fornece evidências materiais para preocupações. • Pode-se concluir que não houve incremento significativo nas propriedades de segurança fornecidas pelo software da urna eletrônica nos últimos 10 anos. • Continuam preocupantes: • a proteção inadequada do sigilo do voto • a impossibilidade prática de auditoria completa ou minimamente eficaz do software • a verificação insuficiente ou inócua de integridade do software de votação. A urna atual está obsoleta? Ela é insegura?
  48. 48. • Como estas três propriedades são atualmente críticas para garantir o anonimato e destinação correta dos votos computados, defendemos a reintrodução do voto impresso (2ª ou 3ª Geração) como mecanismo simples de verificação de integridade dos resultados de eleições. • O voto impresso distribui a auditoria do software entre todos os eleitores, que se tornam responsáveis por conferir que seus votos foram registrados corretamente pela urna eletrônica, desde que apuração posterior seja realizada para verificar que a contagem dos votos impressos corresponde à totalização eletrônica parcial. A urna atual está obsoleta? Ela é insegura?
  49. 49. • Essa apuração pode ser realizada por amostragem, de forma a não haver impacto significativo na latência para divulgação dos resultados. • Vale ressaltar que o voto impresso é para fins de conferência apenas no interior da seção eleitoral, e não pode servir de comprovante no ambiente externo à seção eleitoral, como determinava a legislação a respeito (LEI Nº 12.034, DE 29 DE SETEMBRO DE 2009). • A proposta de voto impresso retornaria para o sistema brasileiro de votação nas eleições de 2014, mas infelizmente foi declarada inconstitucional sob alegações tecnicamente questionáveis. A urna atual está obsoleta? Ela é insegura?
  50. 50. • Um movimento nesta direção acompanharia a tendência mundial vigente em sistemas de votação eletrônica. • Com a adoção do voto impresso pela Índia, o Brasil permanece como o único país no mundo a adotar sistema de votação sem verificação independente de resultados. • Acreditamos que por esse motivo, e dadas as fragilidades, o software utilizado no sistema de votação eletrônica brasileiro não satisfaz requisitos mínimos e plausíveis de segurança e transparência. A urna atual está obsoleta? Ela é insegura?
  51. 51. 51 Paulo Pagliusi CMG (RM1-IM), Ph.D., CISM CEO MPSafe CyberSecurity Awareness Vice-Presidente CSABR | Diretor ISACA-RJ pagliusi@mpsafe.com.br www.mpsafe.com.br Twitter: @ppagliusi www.cyber-manifesto.org MUITO OBRIGADO! BONS VENTOS!

×