terça-feira, 19 de junho de 2012

URNA ELETRÔNICA: “voto de cabresto digital”



Professor Diego de Freitas Aranha, da UnB, aponta falhas na Urna Eletrônica. Foto: Eugenio Moraes/Hoje em Dia jun. 2012.
 Ricardo Rodrigues*
Ao contrário do que o Tribunal Superior Eleitoral reitera há anos, a inviolabilidade da urna eletrônica é mera figura de retórica. A convite do próprio TSE, equipe da Universidade de Brasília (UnB), liderada pelo professor Diego de Freitas Aranha, mostrou em testes que o sistema utilizado no Brasil apresenta falhas. Uma delas é o risco de imperar o “voto de cabresto digital”, em municípios onde o “coronelismo” é exercido com rigor, e até a clonagem de urnas.

Urna eletrônica de votação/TSE. FN Café News/Arquivo-Imagens 2012.
“Vulnerabilidades da urna eletrônica representam um ataque à imagem e à confiabilidade da autoridade eleitoral”, diz. O mais grave de tudo é que a falha era conhecida na área de segurança há pelo menos 17 anos.

A brecha que permitia a quebra de sigilo do voto foi relatada ao TSE por Aranha, que se prontificou a ajudar na solução das vulnerabilidades. Convite do tribunal para isso nunca chegou ao mestre e doutor em Ciência da Computação, especialista em implementação eficiente de algoritmos criptográficos e projeto de primitivas criptográficas para fornecimento de anonimato computacional.

Ele cita o caso de partido que já pagou para quebrar a inviolabilidade da urna eletrônica, mas não dá detalhes. “Os partidos podem falar mais sobre isso do que eu”.
Para atender “requisitos mínimos” de segurança, o acadêmico sugere que a urna adote o voto verificável pelo eleitor. A impressão do voto foi aprovada no Congresso e valeria a partir de 2014, mas foi suspensa pelo STF, sob a alegação de que imprimir o voto compromete o direito ao sigilo, oferecendo “uma falsa e cara sensação de segurança”.

Qual brecha permitia a quebra de sigilo do voto?
O software de urna não oferece segurança na forma como embaralhava o registro dos votos. Na prática, se alguém soubesse a ordem de votação – por exemplo, que você foi o quinto a votar –, era possível determinar, também, em quem você votou, sem que a urna fosse violada para isso. Nas eleições, isso significa que é possível determinar a ordem em que cada voto foi realizado e, sabendo a ordem de eleitores de uma sessão, determinar em quem eles votaram. Por isso, o RDV (registro digital do voto) tem os votos fora de ordem. O método (algoritmo) utilizado pela urna era previsível. Derrotamos o mecanismo de embaralhamento dos votos para armazenamento no RDV, única medida tomada pelo software para proteger o sigilo. Esse tipo de erro é conhecido na área de segurança há pelo menos 17 anos, mas só agora foi detectado e corrigido na urna brasileira.

É a volta do coronelismo e do voto de cabresto digital?
Temos a figura do ‘atacante’ capaz de comprar votos, exercer pressão política e monitorar eleitores. Há, pelo menos, três modalidades de voto de cabresto digital: os eleitores são coagidos a votar logo na abertura da seção; o primeiro eleitor coagido usa um marcador de bloco (números primos, por exemplo); os eleitores votam em horas ou posições pré-determinadas.

Como ocorrem ataques ao sistema eletrônico de votos?
Ataque direto é feito a partir da semente pública (código-fonte), que permite recuperar os votos em ordem do RDV – o substituto eletrônico do papel onde eram registrados os votos – um arquivo público disponibilizado aos partidos após o fim da eleição. Ataque indireto faz a busca exaustiva da semente e compara os ‘buracos’ do RDV. Hoje, só com informação pública é possível fazer ataques ao sistema de votação eletrônica. A partir do LOG (público aos partidos) é possível associar voto à hora de votação; recuperar votos em ordem a partir da semente pública; recuperar a semente a partir dos votos fora de ordem. Assim, fica derrotado completamente o único mecanismo de urna para proteger o sigilo do voto.

Como proteger o sigilo?
Mecanismos de segurança têm de resistir até a ataques internos. Esse embargo precisa ser feito para não afetar a segurança e sigilo do voto, pois o programa de urna tem de deixar informação para a auditoria dos partidos. O que pode ser feito para corrigir esses problemas é usar gerador de números verdadeiramente aleatórios em hardware; gerador nativo do GNU/Linux (random) com qualidade criptográfica; gerador nativo do GNU/Linux (urandom) sem qualidade criptográfica, mas superior. A questão exige estudo mais aprofundado para descobrir, na prática, se eles são viáveis e seguros.

O TSE utiliza práticas não recomendáveis?
Chaves criptográficas são declaradas no código-fonte. Mídias de todas as urnas são cifradas com a mesma classe criptográfica. Se vazou, abre meio milhão de urnas sem dificuldade. É como trancar a casa e por a chave debaixo do tapete, na esperança de que o ladrão não vai procurá-la ali. Essa vulnerabilidade poderia ser verificada por qualquer ferramenta de análise de código. Mas a integridade de bibliotecas dinâmicas não era verificada pelo TSE. À ausência de ferramentas de análise de código se somam a utilização de algoritmos obsoletos, implementações repetidas de primitivas criptográficas, além de informação sobre servidores, usuários e senhas.

O que mais preocupou os “investigadores” no teste?
A presença de uma chave secreta usada por todas as urnas brasileiras no código-fonte. O vazamento da chave compartilhada tem impacto devastador. Há preocupação demasiada em ofuscação ao invés de segurança. Ênfase em atacantes externos e não em atacantes internos, que compartilham dados de 500 mil urnas. Agentes internos têm muito mais potencial de exercer a fraude. O discurso de que a urna é inviolável distorce o senso crítico de quem trabalha com ela. Atualmente, há 100% de privacidade e 0% de verificação. O ideal seria 95% de privacidade e 95% de verificabilidade.

O ‘atacante’ já conhece o sistema desde muito antes?
Não sei se houve resultados alterados em eleições passadas. Desde 2003, o embaralhamento dos votos é feito (pelo RDV). Ou nas anteriores ele era melhor, ou era pior, seja lá o que isso significa, ou era equivalente. As três hipóteses são igualmente preocupantes. No nosso caso, apenas o equipamento “sabe’ para quem é o voto de cada eleitor.

*Do Hoje em Dia - Publicado em 17/06/2012 - 09:55 

Nenhum comentário:

Postar um comentário

Sinta-se à vontade para postar seu comentário.
Espaço aberto à participação [opinião] e sujeito à moderação em eventuais comentários despretensiosos de um espírito de civilidade e de democracia.
Obrigado pela sua participação.
FN Café NEWS

FATOS DA SEMANA

Mapa Geopolítico do Rio São Francisco

Mapa Geopolítico do Rio São Francisco
Caracterização do Velho Chico

Vocé é favorável à Transposição do Rio São Francisco?

FN Café NEWS: retrospectiva