® BuscaLegis.ccj.ufsc.br
Avaliação da inviolabilidade do voto
na Urna Eletrônica 98
por Amilcar Brunazo Filho
engenheiro e programador de computadores especializado
em segurança de dados
Laudo Técnico
Elaborado em 22 de
outubro de 1998, para o Sr. Carlos Techeberani Haddad
1 - Apresentação
O presente laudo técnico
traz uma avaliação de aspectos de segurança de dados
relativos a Urna Eletrônica utilizada no dia 04 de Outubro de 1998,
dia de eleição no Brasil. Em especial, foi fixada a atenção
sobre a possibilidade de violação do sigilo do voto uma vez
que o número do título do eleitor é digitado num terminal
conectado eletricamente à urna, no momento do voto.
Para a elaboração
deste laudo não se teve acesso livre direto à Urna Eletrônica,
nem a seus programas, de forma que este parecer foi emitido a partir da
observação da urna em operação no dia 04 de
Outubro de 1998, dia da votação do 1º turno, da análise
da legislação em vigor sobre o assunto, de informações
sobre o funcionamento da urna e dos seus ritos de segurança obtidos
em entrevistas com fiscais de partidos políticos e em matéria
publicada em jornais a este respeito.
Tentativas de consultas foram
feitas diretamente ao TSE, via Internet, mas não surtiram efeito
pois foram totalmente ignoradas pelo órgão publico. As informações
que obtivemos nos cartórios eleitorais de Santos foram pouco utilizadas
pois careciam de qualidade técnica confiável. Ainda assim,
obteve-se informação suficiente em quantidade e confiabilidade
que permitiram a emissão da conclusão deste relatório.
O laudo apresenta a legislação
que regula a utilização da urna eletrônica nos aspectos
que interessam à inviolabilidade voto, segue com uma descrição
física e do funcionamento da urna eletrônica apresentando-se
apenas os detalhes que fundamentam os argumentos apresentados a seguir
sob a forma de respostas aos quesitos formulados.
2 - Legislação
pertinente
A Urna Eletrônica
deve garantir a Inviolabilidade do Voto do eleitor conforme está
disposto no artigo 61 da Lei nº 9.504 de 30 de Setembro de 1997:
Art. 61.
A urna eletrônica contabilizará cada voto, assegurando-lhe
o sigilo e inviolabilidade, garantida aos partidos políticos, coligações
e candidatos ampla fiscalização.
Como forma de assegurar o cumprimento
deste direito a lei oferece o artigo 66, caput e § 1º.:
Art. 66.
Os partidos e coligações poderão fiscalizar todas
as fases do processo de votação e apuração
das eleições, inclusive o preenchimento dos boletins de urna
e o processamento eletrônico da totalização dos resultados,
sendo-lhes garantido o conhecimento antecipado dos programas de computador
a serem usados.
§
1º. No prazo de cinco dias, a contar do conhecimento dos programas
de computador a que se refere este artigo, o partido ou coligação
poderá apresentar impugnação fundamentada à
Justiça Eleitoral.
Este artigo da lei foi posteriormente
regulamentado pelo artigo 51 da resolução 20.103 do TSE de
3 de Março de 1998:
Art. 51.
A totalização dos votos mediante processamento eletrônico
de dados, nas eleições de 1998, far-se-á pelo Sistema
de Totalização de Votos desenvolvido pelo Tribunal Superior
Eleitoral.
§
1º O Sistema de Totalização de Votos é composto
pelos subsistemas de segurança, de entrada de dados, de apuração
eletrônica, de transmissão de dados e de totalização
dos resultados e outros procedimentos diretamente relacionados ao processo
de totalização de votos.
§
2º Os subsistemas desenvolvidos para as eleições de
1998 somente poderão ser instalados em equipamentos indicados pela
Justiça Eleitoral.
§
3º O subsistema de totalização dos resultados será
instalado, exclusivamente, em equipamentos de propriedade da Justiça
Eleitoral, o subsistema de apuração eletrônica será
instalado, exclusivamente nas urnas eletrônicas, enquanto que os
subsistemas de entrada de dados e de transmissão poderão
ser operados mediante a utilização de computadores e impressoras
de terceiros.
§
4º É vedada a utilização pelas Juntas Eleitorais
e Tribunais Regionais Eleitorais de qualquer subsistema de entrada de dados,
de apuração eletrônica, de totalização
dos resultados ou de transmissão de dados que não seja o
fornecido pelo Tribunal Superior Eleitoral, já apresentado aos partidos
políticos.
§
5º Os partidos e coligações poderão fiscalizar
o processamento eletrônico da totalização dos resultados,
sendo-lhes garantido, assim como aos meios de comunicação
e aos cidadãos que o desejarem, o acesso antecipado aos programas
de computador a serem utilizados, para o que serão convocados pelo
Tribunal Superior Eleitoral, no prazo de até 60 (sessenta) dias
antes das eleições para conhecerem os programas a serem utilizados
na totalização dos resultados, e, se for o caso, realizarem
auditoria de sistemas em ambiente próprio do Tribunal Superior Eleitoral
(Lei nº 9.504/97, art. 66, caput).
§
6º No prazo de cinco dias a contar do conhecimento dos programas de
computador a que se refere o § 5º, o partido ou coligação
poderá apresentar impugnação fundamentada junto à
Justiça Eleitoral (Lei nº 9.504/97, art. 66, § 1º).
§
7º Os partidos concorrentes ao pleito poderão constituir sistema
próprio de fiscalização, apuração e
totalização dos resultados, contratando, inclusive, empresas
de auditoria de sistemas que, credenciadas junto à Justiça
Eleitoral, receberão, previamente, os programas de computador e,
simultaneamente, os mesmos dados alimentadores do sistema oficial de apuração
e totalização (Lei nº 9.504/97, art. 66, § 2º).
§
8º Os órgãos encarregados do processamento eletrônico
de dados são obrigados a fornecer aos partidos e coligações,
por intermédio do Comitê Interpartidário de Fiscalização,
no mesmo momento da entrega ao Juiz encarregado, cópias dos dados
do processamento parcial de cada dia, contidos em meio magnético
(Lei nº 9.504/97, art. 67).
§
9º Na hipótese do parágrafo anterior, o Tribunal Superior
Eleitoral divulgará, até sessenta dias antes da eleição,
a especificação do meio magnético, o qual deverá
ser entregue pelo partido até 48 horas antes da entrega dos dados.
§
10. Os programas utilizados na totalização ficarão
à disposição dos partidos políticos pelo prazo
de sessenta dias após o trânsito em julgado da diplomação
de todos os candidatos eleitos nos pleitos realizados simultaneamente.
A identificação
do eleitor é regulada em parte pelo artigo 54 da Resolução
nº 21.132 de 19 de Março de 1998 do TSE:
Art. 54
- A Folha de Votação, da qual constarão apenas os
eleitores regulares ou liberados, e o Comprovante de Comparecimento, serão
emitidos por computador.
§
1º - A Folha de Votação, obrigatoriamente, deverá
:
-
a) identificar
as eleições, a data de sua realização e o turno;
-
b) conter
dados individualizadores de cada eleitor, como garantia de sua identificação
no ato de votar; e
-
c) ser emitida
em ordem alfabética de nome de eleitor, encadernada e embalada por
Seção Eleitoral.
§
2º - O Comprovante de Comparecimento (canhoto) conterá o nome
completo do eleitor, o número de sua inscrição eleitoral
e referência à data da eleição.
A identificação
do eleitor também é regulada em parte pelo Cap. II, art.
35 da Resolução nº 21.105 de 04 de Março de 1998
do TSE:
3 - A Urna Eletrônica
A Urna Eletrônica utilizada
nas eleições deste ano de 1998 é um microcomputador
monoprocessado, compatível com processadores da família Intel
80x86, de amplo uso em todo mundo inclusive no Brasil, que foi adaptado
com equipamentos periféricos e programas para exercer a função
de acolher os votos dos eleitores brasileiros e apurar o resultado da votação
naquela urna.
A urna possui MEMÓRIA
TEMPORARIA, chamada RAM, onde ficam guardados valores que estão
sendo processados e que se apaga ao ser desligada. A urna possui, também,
MEMÓRIA PERMANENTE para guardar os resultados da apuração
(votos, quantidade de votos, etc.), que poderão ser lidos e acessados
mesmo depois da urna ter sido desligada. Parte desta MEMÓRIA PERMANENTE
está localizada numa pequena placa rígida denominada FLASH-CARD,
que pode ser retirado de uma urna para ser lida e acessada em outro computador,
desde que devidamente equipado.
Como dispositivos de entrada
de dados a urna tem um teclado numérico, tipo telefônico,
e mais três teclas para funções especiais (Branco,
Corrige e Confirma) para receber o voto e um segundo teclado para receber
as senhas e comandos do mesário.
Como dispositivos de saída
de dados a urna tem um visor de cristal líquido para o eleitor acompanhar
o voto, outro visor de cristal líquido para emitir mensagens ao
mesário e uma impressora para emitir os relatórios impressos.
O teclado e o visor do mesário ficam numa caixa externa denominada
miniterminal que é eletronicamente conectado a urna, formando uma
unidade.
O programa da urna, quando
em operação regular, fica em posição inerte
após receber o voto de um eleitor e só entra em modo de recepção
de um novo voto depois que o mesário digitar no seu terminal, uma
senha adequada.
Houve-se por bem escolher que
tal senha fosse o próprio número do eleitor, o que demonstra
que nem existe a necessidade de tal senha ser secreta.
4 - Respostas
aos quesitosQuesito:
Para que o número do
eleitor é digitado pelo mesário no momento da votação?
Resposta:
A digitação do
número do título do eleitor no miniterminal conectado a urna
atende a duas funções:
é a senha que libera
a urna para o modo de recepção do próximo voto.
permite identificar se o eleitor
está inscrito naquela seção e se ainda não
votou.
Além disso informa ao
mesário em que página da Folha de Identificação
está o nome e recibo do eleitor.
Quesito:
A identificação
do eleitor na urna é procedimento necessário para o processo
de votação?
Resposta: NÃO
É NECESSÁRIO.
O artigo 35 da Resolução
nº 21.105 diz que a identificação do eleitor terá
de ser feita pela localização do "nome do eleitor na Folha
de Votação E no Cadastro de Eleitores da Seção
constante da Urna Eletrônica", caraterizando-se assim uma dupla
identificação do eleitor.
A identificação
do eleitor pela Folha de Votação é um procedimento
completo e sempre necessário pois só ela contém o
Comprovante de Comparecimento, instituído pelo artigo 54 da Resolução
nº 21.132, e que deverá ser entregue ao eleitor depois deste
assinar a Folha de Votação como regula o inciso IV, art.
35 da Resolução nº 21.105.
Já a identificação
do eleitor no Cadastro de Eleitores da URNA é procedimento redundante
e incompleto, já que não fornece o Comprovante de Comparecimento
nem permite colher a assinatura do eleitor, tornando-se desnecessário.
Quesito:
A adoção do número
do eleitor como senha de liberação do próximo voto
cria algum risco para a inviolabilidade do voto?
Resposta: SIM.
Sendo o número do eleitor
digitado no mesmo momento em que o eleitor vai declarar o seu voto à
urna, torna-se possível que um programa fraudulento grave em sua
memória permanente o voto de forma vinculada ao número do
eleitor, caracterizando-se assim a violação do voto.
Se a senha de liberação
da urna para receber o próximo voto fosse qualquer outra, não
seria possível para um programa fraudulento identificar o voto.
Quesito:
A adoção do número
do eleitor como senha de liberação do próximo voto
cria algum outro inconveniente para a urna eletrônica?
Resposta: SIM.
Além de desnecessária
para o processo de votação e apuração e de
abrir uma brecha para a violação do voto, a identificação
eletrônica do eleitor tem outro efeito nocivo a este processo que
é a limitação de apenas uma urna por seção
eleitoral, já que não pode haver dois sistemas de identificação
independentes numa mesma seção.
Como conseqüência
disso onde haviam até três cabinas indevassáveis, que
permitiam que a fila de eleitores não ficasse bloqueada por eleitores
lentos, há apenas uma única urna eletrônica, que provocou
a demora de duas a três horas na fila de votação.
Outra conseqüência
nociva é que torna-se necessário fazer a dupla identificação
do eleitor criando-se um procedimento mais complexo para os mesários,
pois é preciso registrar a presença do eleitor tanto na Folha
de Votação quanto no Cadastro de Eleitores da Urna. Quesito:
Existe motivo impositivo para
que a senha de liberação da urna para receber o próximo
voto seja o número do eleitor?
Resposta:NÃO.
NÃO EXISTE CONDIÇÃO
IMPOSITIVA QUE TORNE NECESSÁRIO A ESCOLHA DO NÚMERO DO ELEITOR
COMO SENHA DE LIBERAÇÃO DA URNA PARA RECEBER O PRÓXIMO
VOTO.
Tal senha poderia ser QUALQUER
conjunto de números que fosse de conhecimento do mesário
e do próprio programa da urna. Poderia ser um único digito
ou uma série de dígitos, poderia ser, também, apenas
uma única senha ou ser uma senha diferente para cada eleitor.
Esta afirmação
é comprovada pela existência de Urnas Eletrônicas especiais
criadas pela empresa Procomp, a pedido do TSE, nas quais se pode colocar
todos os votos de uma seção e fazer a sua apuração
sem que seja necessário digitar o número de cada eleitor
da seção.
Tais urnas especiais foram
regulamentadas pela Resolução nº 20.230 de 17 de Junho
de 1998 do TSE para se fazer apenas a apuração em municípios
onde não é utilizada a urna eletrônica para votação.
A função de identificação do eleitor foi desabilitada
dentro destas urnas especiais e ainda assim nelas pode-se fazer a introdução
dos votos e sua apuração, o que demonstra que não
existe necessidade imperativa da digitação do número
do eleitor para o processo de votação numa urna eletrônica.
Quesito:
O NÚMERO do eleitor
fica gravado na memória do computador?
Resposta: SIM.
O número do eleitor
que é digitado pelo mesário é imediatamente gravado
na memória temporária e lá fica disponível
para o uso que o programador tiver imaginado para ele.
Também há gravado
na memória permanente do computador uma lista completa e ordenada
dos números dos eleitores autorizados naquela seção
no chamado Cadastro de Eleitores da Urna. Os números constantes
deste cadastro tanto podem ser os próprios números do título
de eleitor quanto um outro valor codificado que se obtenha por função
matemática bijetora, de forma que sempre é possível
para quem conheça tal função saber a que eleitor ele
pertence. Assim, um eleitor pode ser identificado apenas pela posição
que seu respectivo número ocupa em tal lista. Quesito:
O VOTO do eleitor fica gravado
na memória do computador?
Resposta: SIM.
Ao ser digitado pelo eleitor
no referido teclado, o conjunto de valores numéricos associados
ao voto é gravado em outra área da memória temporária
e lá fica disponível para o uso previsto no programa.
Obtive informações
de funcionários da Procomp, fabricante da urna, e de técnicos
de partidos políticos de que o voto individual de cada eleitor seria
guardado de forma "embaralhada" na memória permanente, mas não
consegui informação oficial do TSE sobre como seria feito
tal embaralhamento.
Caso se confirme que houve
tal embaralhamento ficaria comprovado que os votos estariam sendo guardados
na memória permanente, apesar deste procedimento não ser
recomendável do ponto de vista da garantia da inviolabilidade
do voto. O voto de cada eleitor deveria ser apurado e depois descartado,
ou seja, apagado da memória permanente ou temporária. Quesito:
É possível para
um programa fraudulento criar uma vinculação do número
do eleitor com seu voto, caracterizando-se assim a violação
do voto?
Resposta: SIM.
O fato de se ter escolhido
o número do eleitor como senha para liberação do voto
cria a condição necessária caso se queira fazer um
programa da urna que identifique o voto.
Para isto, é suficiente
que se copie o valor do voto para alguma área da memória
permanente que seja determinada pela posição do número
do eleitor na lista de números. Tal procedimento é muito
fácil de ser programado bastando umas poucas linhas de programa
no meio de milhares outras. Quesito:
Que medidas poderiam ser tomadas
para que o eleitor possa ter certeza que o seu voto não será
violado pelo programa da urna eletrônica?
Resposta:
A medida mais simples e mais
eficaz para dar 100% DE SEGURANÇA ao eleitor de que seu voto
não será violado seria NÃO UTILIZAR O NÚMERO
DO ELEITOR COMO SENHA DE LIBERAÇÃO DA URNA, visto que
tal tipo de senha não é necessária.
Uma outra alternativa seria
permitir que auditores externos independentes do TSE (os partidos políticos,
por exemplo) analisassem o CÓDIGO COMPLETO contido na urna NO MOMENTO
DE SUA OPERAÇÃO NORMAL. Mas tal alternativa não é
de execução prática viável devido ao seu enorme
custo e demora para ser efetuada.
Qualquer outro tipo de medida
que não seja impossibilitar a identificação pela mudança
da senha utilizada ou efetuar uma auditoria externa ao TSE em urnas em
operação são insuficientes do ponto de vista do eleitor.
Quesito:
Estas medidas foram adotadas
no projeto e execução da urna eletrônica?
Resposta: NÃO.
Nenhuma das duas medidas acima
foram adotadas. Quesito:
Que medidas foram tomadas para
impedir que o voto não seja violado pelo programa da urna eletrônica?
Elas são suficientes?
Resposta:
Oficialmente, foi oferecido
aos partidos políticos o código-fonte dos programas para
análise, para que verificassem que a identificação
do voto não seria programada na urna, mas tal tipo de analise NÃO
É SUFICIENTE para garantir que o programa real contido na urna não
conterá um vício de programação que leve a
identificação do voto, visto que:
-
o programa-fonte não
é o mesmo que será carregado na urna.
-
o programa compilado que é
gerado a partir do programa-fonte analisado é apenas uma parte da
totalidade de programas que são carregados na urna. Existem ainda
o Sistema Básico de Entrada e Saída (BIOS), Sistema de Inicialização
(POST), o Sistema Operacional (DOS), os Monitores de Dispositivos (Device-drives)
e os programas residentes (TSRs). Em qualquer uma destas outras partes
podem sem colocados códigos viciados ou fraudulentos.
-
O código viciado ou
fraudulento pode ser carregado na urna de várias formas e em momentos
que não foram acompanhadas por auditores externos.
Outras medidas que eventualmente
foram tomadas não foram esclarecidas publicamente como, por exemplo,
evitar a troca de informação entre as equipes que desenvolveram
e vão operar a urna. Mas, do ponto de vista do eleitor, NÃO
SÃO SUFICIENTES pois sempre é possível que exista
um conluio entre tais equipes que resultem numa fraude.
A possibilidade da urna ser
fraudada pelas equipes que a desenvolveram foi publicamente admitida pelo
Sr. Paulo Cézar Camarão, Secretário de Informática
do TSE, quando declarou em reportagem não contestada do Jornal Folha
de São Paulo, de 23 de setembro de 1998, no caderno Eleições,
pg. 5, o seguinte:
"Isso
não significa que não vá haver tentativas de fraudes.
Mas quem for tentar terá de subornar pelo menos uns 30".
É necessário
lembrar que tal possibilidade, de subornando "uns 30" se fraudar toda uma
eleição, não existia na urna tradicional. Quesito:
Foi feita, pelos partidos políticos,
alguma análise dos programas completos que estão dentro da
urna eletrônica?
Resposta: NÃO.
Apesar do artigo 66 da Lei
9504/97 dizer que os partidos poderão fiscalizar todas as fases
do processo de votação e apuração das eleições
e o processamento eletrônico da totalização dos resultados,
a legislação complementar pertinente, criada pelo próprio
TSE, não obriga o TSE oferecer todos os programas contidos nas urnas
para uma análise externa, pois a Resolução nº
20.103 de 03 de Março de 1998 do TSE, no seu artigo 51, §1º,
diz que o Sistema de Totalização do Votos é composto
por:
-
subsistema de segurança
-
subsistema de entrada de dados
-
subsistema de apuração
eletrônica
-
subsistema de transmissão
de dados
-
subsistema de totalização
de resultados
-
outros procedimentos
No §3º do mesmo artigo
especifica que:
-
o subsistema de apuração
eletrônica será instalado exclusivamente nas urnas eletrônicas
-
o subsistema de totalização
dos resultados será instalado exclusivamente em equipamentos da
Justiça Eleitoral
No §5º, ainda do
mesmo artigo, que regulamenta a Lei 9504/97, art. 66, caput, diz-se que
os cidadãos que o desejarem terão acesso aos programas a
serem utilizados na TOTALIZAÇÃO DOS RESULTADOS. Nada dizendo
dos programas da apuração eletrônica, ou seja, da urna.
Assim, pelo artigo 51 da resolução
21.103 o TSE está desobrigado a oferecer os programas completos
da urna eletrônica para auditoria dos partidos políticos.
Quesito:
Foi feita pelos partidos políticos
algum teste de desempenho na urna que verificasse se a identificação
do voto estaria ocorrendo?
Resposta: NÃO.
A legislação
prevê o teste de até 3% das urnas pelos partidos políticos,
antes de serem lacradas, mas são testes elaborados para verificar
se a urna desvia os votos.
Nenhum teste foi feito, em
nenhum momento, por nenhum órgão de auditoria externo independente
do TSE para verificar se o voto seria identificado. Quesito:
Os procedimentos que foram
tomados pelo TSE no projeto, elaboração e operação
da urna eletrônica oferecem garantia de que o artigo 61 da lei 9504/97
será atendido?
Resposta: CERTAMENTE
NÃO.
No projeto das Urnas Eletrônicas
foi introduzido um procedimento espúrio, desnecessário para
o processo de votação, a saber, a digitação
do número do eleitor num terminal eletricamente conectado à
urna, que cria as condições necessárias para a violação
do voto e não foram tomadas medidas técnicas de segurança
que ofereçam ao eleitor garantia real contra esta possível
violação.
Desta forma entendo
que a urna eletrônica, como foi projetada e executada, não
oferece as garantias de sigilo e inviolabilidade do voto asseguradas na
Lei nº 9.504/97, art. 61.
Retirado de http://www.brunazo.eng.br/voto-e/laudo.htm