Professor Diego de Freitas Aranha, da UnB, aponta falhas na Urna Eletrônica. Foto: Eugenio Moraes/Hoje em Dia jun. 2012. |
Ricardo Rodrigues*
Ao contrário do que o Tribunal Superior Eleitoral
reitera há anos, a inviolabilidade da urna eletrônica é mera figura de
retórica. A convite do próprio TSE, equipe da Universidade de Brasília (UnB),
liderada pelo professor Diego de Freitas Aranha, mostrou em testes que o
sistema utilizado no Brasil apresenta falhas. Uma delas é o risco de imperar o “voto
de cabresto digital”, em municípios onde o “coronelismo” é exercido com rigor,
e até a clonagem de urnas.
Urna eletrônica de votação/TSE. FN Café News/Arquivo-Imagens 2012. |
“Vulnerabilidades da urna eletrônica representam um
ataque à imagem e à confiabilidade da autoridade eleitoral”, diz. O mais grave
de tudo é que a falha era conhecida na área de segurança há pelo menos 17 anos.
A brecha que permitia a quebra de sigilo do voto
foi relatada ao TSE por Aranha, que se prontificou a ajudar na solução das
vulnerabilidades. Convite do tribunal para isso nunca chegou ao mestre e doutor
em Ciência da Computação, especialista em implementação eficiente de algoritmos
criptográficos e projeto de primitivas criptográficas para fornecimento de
anonimato computacional.
Ele cita o caso de partido que já pagou para
quebrar a inviolabilidade da urna eletrônica, mas não dá detalhes. “Os partidos
podem falar mais sobre isso do que eu”.
Para atender “requisitos mínimos” de segurança, o
acadêmico sugere que a urna adote o voto verificável pelo eleitor. A impressão
do voto foi aprovada no Congresso e valeria a partir de 2014, mas foi suspensa
pelo STF, sob a alegação de que imprimir o voto compromete o direito ao sigilo,
oferecendo “uma falsa e cara sensação de segurança”.
Qual brecha permitia a quebra de sigilo do voto?
O software de urna não oferece segurança na forma
como embaralhava o registro dos votos. Na prática, se alguém soubesse a ordem
de votação – por exemplo, que você foi o quinto a votar –, era possível
determinar, também, em quem você votou, sem que a urna fosse violada para isso.
Nas eleições, isso significa que é possível determinar a ordem em que cada voto
foi realizado e, sabendo a ordem de eleitores de uma sessão, determinar em quem
eles votaram. Por isso, o RDV (registro digital do voto) tem os votos fora de
ordem. O método (algoritmo) utilizado pela urna era previsível. Derrotamos
o mecanismo de embaralhamento dos votos para armazenamento no RDV, única medida
tomada pelo software para proteger o sigilo. Esse tipo de erro é conhecido na
área de segurança há pelo menos 17 anos, mas só agora foi detectado e corrigido
na urna brasileira.
É a volta do coronelismo e do voto de cabresto
digital?
Temos a figura do ‘atacante’ capaz de comprar
votos, exercer pressão política e monitorar eleitores. Há, pelo menos, três
modalidades de voto de cabresto digital: os eleitores são coagidos a votar logo
na abertura da seção; o primeiro eleitor coagido usa um marcador de bloco
(números primos, por exemplo); os eleitores votam em horas ou posições
pré-determinadas.
Como ocorrem ataques ao sistema eletrônico de
votos?
Ataque direto é feito a partir da semente pública
(código-fonte), que permite recuperar os votos em ordem do RDV – o substituto
eletrônico do papel onde eram registrados os votos – um arquivo público disponibilizado
aos partidos após o fim da eleição. Ataque indireto faz a busca exaustiva da
semente e compara os ‘buracos’ do RDV. Hoje, só com informação pública é
possível fazer ataques ao sistema de votação eletrônica. A partir do LOG
(público aos partidos) é possível associar voto à hora de votação; recuperar
votos em ordem a partir da semente pública; recuperar a semente a partir dos
votos fora de ordem. Assim, fica derrotado completamente o único mecanismo de
urna para proteger o sigilo do voto.
Como proteger o sigilo?
Mecanismos de segurança têm de resistir até a
ataques internos. Esse embargo precisa ser feito para não afetar a segurança e
sigilo do voto, pois o programa de urna tem de deixar informação para a
auditoria dos partidos. O que pode ser feito para corrigir esses problemas é
usar gerador de números verdadeiramente aleatórios em hardware; gerador nativo
do GNU/Linux (random) com qualidade criptográfica; gerador nativo do GNU/Linux
(urandom) sem qualidade criptográfica, mas superior. A questão exige estudo
mais aprofundado para descobrir, na prática, se eles são viáveis e seguros.
O TSE utiliza práticas não recomendáveis?
Chaves criptográficas são declaradas no
código-fonte. Mídias de todas as urnas são cifradas com a mesma classe
criptográfica. Se vazou, abre meio milhão de urnas sem dificuldade. É como
trancar a casa e por a chave debaixo do tapete, na esperança de que o ladrão
não vai procurá-la ali. Essa vulnerabilidade poderia ser verificada por
qualquer ferramenta de análise de código. Mas a integridade de bibliotecas
dinâmicas não era verificada pelo TSE. À ausência de ferramentas de análise de
código se somam a utilização de algoritmos obsoletos, implementações repetidas
de primitivas criptográficas, além de informação sobre servidores, usuários e
senhas.
O que mais preocupou os “investigadores” no teste?
A presença de uma chave secreta usada por todas as
urnas brasileiras no código-fonte. O vazamento da chave compartilhada tem
impacto devastador. Há preocupação demasiada em ofuscação ao invés de
segurança. Ênfase em atacantes externos e não em atacantes internos, que
compartilham dados de 500 mil urnas. Agentes internos têm muito mais potencial
de exercer a fraude. O discurso de que a urna é inviolável distorce o senso
crítico de quem trabalha com ela. Atualmente, há 100% de privacidade e 0% de
verificação. O ideal seria 95% de privacidade e 95% de verificabilidade.
O ‘atacante’ já conhece o sistema desde muito
antes?
Não sei se houve resultados alterados em eleições passadas. Desde 2003, o embaralhamento dos votos é feito (pelo RDV). Ou nas anteriores ele era melhor, ou era pior, seja lá o que isso significa, ou era equivalente. As três hipóteses são igualmente preocupantes. No nosso caso, apenas o equipamento “sabe’ para quem é o voto de cada eleitor.
Não sei se houve resultados alterados em eleições passadas. Desde 2003, o embaralhamento dos votos é feito (pelo RDV). Ou nas anteriores ele era melhor, ou era pior, seja lá o que isso significa, ou era equivalente. As três hipóteses são igualmente preocupantes. No nosso caso, apenas o equipamento “sabe’ para quem é o voto de cada eleitor.
*Do Hoje em Dia - Publicado em 17/06/2012 - 09:55
Nenhum comentário:
Postar um comentário
Sinta-se à vontade para postar seu comentário.
Espaço aberto à participação [opinião] e sujeito à moderação em eventuais comentários despretensiosos de um espírito de civilidade e de democracia.
Obrigado pela sua participação.
FN Café NEWS