HudLac

E-Vote


23 de março de 2012 às 15:07

Amilcar Brunazo Filho: “Ridícula a tentativa do TSE de minimizar descoberta da UnB” / “It is ridiculous the attempt by TSE of minimizing the UNB’s finding”

por/by Conceição Lemes [www.viomundo.com.br]

Nessa quinta-feira, 22, o repórter Luís Osvaldo Grossmann,do site Convergência Digital, revelou:

This Tuesday, 22, the reporter Luís Osvaldo Grossmann, of the
site Convergência
Digital,
revealed:

Um grupo da Universidade de Brasília (UnB) conseguiu quebrar a segurança da urna eletrônica, nos testes promovidos esta semana pelo Tribunal Superior Eleitoral (TSE). Eles conseguiram recuperar a sequência dos votos, o que, ao menos em tese, permite violar o sigilo das opções de cada eleitor.

A team of University of Brasília
(UnB) achieved to break the security of the e-voting machine, in
testings promoted by the Superior Electoral Court (TSE) [the brazilian
electoral authority]. They has success recalling the sequence of
votes, what, at least in thesis, allows one to violate the closure of
the choices by each voter.

“Conseguimos recuperar 474 de 475 votos de uma eleição na ordem em que foram inseridos na urna”, revela o coordenador do grupo, Diego Freitas Aranha, professor de Ciência da Computação da UnB, que fez doutorado em criptografia pela Universidade de Campinas (Unicamp).

“We could recall 474 of 475 votes of
an election in the order they were inserted into the voting machine”,
reveals the team coordinator, Diego [de] Freitas Aranha, professor of
Computer Science at UnB, who has obtained a Doctorship title in
cryptography in the University of Campinas[/São Paulo]
(Unicamp).

Originalmente o plano de teste previa a recuperação de 20 votos, mas o próprio TSE desafiou o grupo a resgatar 82% dos votos de uma fictícia sessão eleitoral com 580 inscritos – percentual que equivale à média de comparecimento nas eleições brasileiras.

Originally the plan of the test
stated the recovery of 20 votes, but the TSE itself defied the team
to recall 82% of the votes of a fictious electoral unity with 580
inscribed voters – a percentual that is equivalent to the
attending average in brazilian elections.

A exemplo das edições anteriores dos testes, o tempo limitado de acesso à urna eletrônica – três dias, entre 20 e 22/3 – impediu avanços ainda mais significativos na quebra da segurança do sistema eletrônico de votação.

Likewise previous testings editions,
the limited time of access to the voting machine – three days,
from March 20 til 22 – impeded yet more significative
achievements of breaking the security of the electronic voting
system.

O TSE minimizou o êxito do grupo do professor Diego Aranha, do qual fazem parte os alunos Marcelo Monte Karam, André de Miranda e Felipe Brant Sacarel.

TSE has minimized the success of the Professor Diego Aranha’s
team, which is also formed by the students Marcelo Monte Karam, André
de Miranda and Felipe Brant Sacarel.

O secretário de TI do TSE, Guizeppe Janino, disse que a reordenação de votos, que o professor Diego Aranha demonstrou ser possível, não teria quebrado o sigilo do voto porque não teria apresentado o nome dos eleitores.

The secretary of IT of TSE, Giuzeppe Janino, said that the
reordering of votes, that Professor Diego Aranha demostrated it is
feasible, did not disclose the vote secret because the voters names
were not revealed.

Em entrevista a O Globo, o ministro Ricardo Lewandowski, presidente do TSE, afirmou:

When interviewed by O Globo, the minister Ricardo
Lewandowski, president of TSE, afirmed:

… não houve violação da urna eletrônica durante o teste, porque os especialistas tiveram acesso a um código…

… no violation against the
voting machine existed, because the specialists had access to a
code…

… “Foi dentro de um ambiente controlado. Isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”

… “it was inside a
controlled environment. That would be absolutely impossible to do in a
real context because he would not have access to the
source”

…O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor”, disse o ministro.

…The voter may stay tranquil
that it is not a breakage, because that was not an actual situation
and there is no way to link the voting sequence to the elector”,
said the minister.

“Ridícula a tentativa do TSE de minimizar a descoberta do professor Diego”, adverte o engenheiro Amílcar Brunazo Filho. “Tentando desconversar, o TSE utilizou argumentos grotescos e até ilógicos. Fizeram isso, para esconder a própria incompetência.”

“It is ridiculous the attempt by TSE of minimizing the Professor
Diego’s finding”, alerts the engineer Amílcar Brunazo Filho. “Trying
to change the subject, TSE has utilized grotesque and yet illogical
arguments. They have had that to hide their own incompetence.”

Há anos Amilcar Brunazo Filho denuncia a vulnerabilidade das urnas eletrônicas brasileiras. Formado em Engenharia na Escola Politécnica da USP, ele foi pesquisador do Laboratório de Sub-sistemas Integráveis (LSI), onde estudou Criptografia e Inteligência Artificial. Especialista em segurança de dados, é moderador do Fórum do Voto Eletrônico. Daí esta nossa entrevista.

Since several years Amílcar Brunazo Filho denounces the
vulnerability of the brazilian voting machines. Graduated in
Engineering in the Polytechnique School of University of São Paulo
(USP), he was researcher of the Laboratory of Integratin Subsystems
(LSI), where he studied Criptography and Artificial
Intelligence. Specialized in data security, he is the moderator of
the Fórum
do Voto Eletrônico
(Electronic-Vote Forum). Hence this
interview.

Viomundo — O senhor sempre foi um crítico da urna eletrônica brasileira. Alertou inclusive que ela não era à prova de fraude. O que significa o feito do professor Diego Aranha?

Viomundo — You always has been a critic of the
brazilian voting machine. You have alerted that it is not
fraud-proof. What does the achievement by Professor Diego Aranha
signify?

Amilcar Brunazo — As urnas eletrônicas têm de atender a dois requisitos essenciais:

Amilcar Brunazo — The electronic voting
machines must fill two essential requisites:

1) Princípio da publicidade: poder demonstrar que o resultado eleitoral foi correto.
Isso significa que o conteúdo do voto tem de ser público e conferível pelo eleitor no local de votação e pelo fiscal de partido durante a apuração.

1) Principle of publicity: be
able to demonstrate that the electoral result is correct.
That
means that the vote content must be public and possible to be checked
by the voter in the voting place and also by the party inspector when
of the counting.

2) Princípio do sigilo do voto: não possibilitar a identificação do autor do voto. É fundamental para se evitar a coação de eleitores, que é uma fraude com poder muito forte de distorcer o resultado eleitoral.

2) Principle of the vote confidenciality: be
able to impede the identification of the author of the vote. That is
fundamental to avoid the coercion of voters, a fraud with very strong
power of distorting the electoral result.

A urna eletrônica brasileira nunca atendeu corretamente ao requisito de transparência (publicidade). Por exemplo, o nosso eleitor não pode ver o conteúdo do Registro Digital do seu voto (o eleitor argentino e o alemão podem).

The brazilian electronic voting machine was never correctly
compliant to the requisite of transparency (publicity). For instance,
our voter cannot see the content of the Digital Registry of his/her
vote (voters in Argentine and Germany can).

Até agora, acreditava-se que a urna preenchia o requisito do sigilo do voto.

Til now, it was believed that the voting machine filled the
requisite of confidenciality.

Por lei (art. 59 da lei 9.504), cada voto confirmado pelo eleitor é gravado num arquivo chamado Registro Digital do Voto (RDV); é de forma embaralhada para que não pudesse ser usado para identificar a ordem de votação.

By law (L.9504, Art.59), each vote when confirmed by the voter
is registered in a file named Registro Digital do
Voto
(RDV) [Digital Vote Registry]; that should occur in a
shuffled way so that it cannot be used to identify the voting order.

Aliás, vale lembrar aqui que um dos requisitos na antiga lei do voto manual (Inc IV do art. 103 do Código Eleitoral) já exigia que a urna de lona fosse suficientemente larga para embaralhar os registros (cédulas) do voto.

By the way, it is worthy to say here that one of the requisites
in the old law on the manual vote (Inc.IV, art.103 of the Electoral
Code) already ruled that the tarpaulin ballot should be enough large
to allow shuffling the vote papers.

Pois bem, o professor Diego conseguiu desembaralhar o arquivo RDV. Com isso, provou que as urnas não garantem o sigilo do voto: uma vez ordenados os registros dos votos, há muitas formas de se coagir eleitores por identificação do voto de cada um.

Well, Professor Diego succeded in unshuffling the RDV file. That
way, he proved that the voting machines cannot warrant the secret of
the vote: once the registers are ordered, there are many ways to
coerce voters by the identification of the vote of every one.

Viomundo — Daria para trocar em miúdos o que o professor Diego conseguiu?

Viomundo — Would you explain in detail what
Professor Diego managed to do?

Amilcar Brunazo — Ele pegou o arquivo do RDV de uma urna eletrônica — um dado público que, por lei, é disponibilizado aos partidos depois da eleição — e desembaralhou os votos, colocando-os na mesma ordem em que foram votados.

Amilcar Brunazo — He took the RDV file from one
voting machine — a public data which, by law, is made disponible to
the parties after the election — and unshuffled the votes, putting
them in the same order they were registered.

Assim, basta aos fraudadores (que queiram coagir eleitores) anotar a ordem de votação dos eleitores e eles poderão identificar o voto de cada eleitor.

So, it is sufficient that the defrauders (that want to coerce
voters) take note of the voting order of the
voters
and they will can identify the vote of each
elector.

Existem outras formas de coação dos eleitores a partir de uma lista ordenada dos votos, como anotar a hora do voto de um dado eleitor (e depois co-relacionar com a hora nos arquivos de log que também são públicos), o voto marcado (usa um voto cheio de zeros para marcar o início da sequência de votos de eleitores coagidos) e o voto de cabresto pós-moderno (se vale da correlação entre candidatos peculiares, como descrito pelo professor Jorge Stolfi, da Unicamp).

There are other forms of coercing voters using an ordered list
of votes, like to take note of the time a given person has
voted
(and then correlate it with the time in the logfiles,
that are also public), the marked vote (using a vote
filled with zeroes to mark the beginning of a sequence of votes by
coerced voters) and the post-modern horse-collar vote
(that uses the correlation between peculiar candidates, as described
by Professor Jorge Stolfi, of Unicamp [University of Campinas, São
Paulo]).

Viomundo – O TSE minimizou a importância do feito?

Amilcar Brunazo – Com certeza, numa reação de auto-defesa, o TSE tentou atenuar a desconfiança gerada pela descoberta do professor Diego.

Viomundo – Por que o TSE fez isso?

Amilcar Brunazo — Para esconder a própria incompetência, já que sempre divulgaram que o RDV era embaralhado e garantia o sigilo do voto.

Aliás, quem apareceu, primeiro, dando desculpas pelo TSE foi o secretário de TI, que é exatamente o responsável pelo projeto e operação das urnas. Ou seja, é aquele que deveria propiciar as garantias e não o fez.

Portanto, ridícula essa tentativa do TSE de minimizar a descoberta do grupo da UnB. Para tentar desconversar, o TSE utilizou argumentos grotescos e até ilógicos. Disse que “conseguiu-se refazer o sequenciamento dos votos apresentados pelo Registro Digital do Voto (RDV), sem contudo quebrar o sigilo do voto“.

Tentaram, assim, induzir à ideia de que desembaralhar os registros do voto não seria importante.

Mas por que, então, o embaralhamento era a exigência legal nos tempos do voto manual e também é praticado pelo TSE no voto eletrônico?

Eles insistem: “sem contudo quebrar o sigilo do voto”.

Mas, numa fraude real (em campo), isso é feito pelas várias alternativas (citadas acima). Essas formas, que completam a fraude, independem da urna eletrônica e não têm como serem impedidas por ela.

Uma vez quebrada a defesa da urna, quer dizer, uma vez desembaralhado os votos, o restante da fraude ocorre fora dela e sem que ela possa mais defender.

Viomundo – O presidente do TSE, ministro Ricardo Lewandowski, disse que “…isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”; “O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor”.

Amilcar Brunazo – Acho que lhe ocorreu um lapso de memória. Nos seis meses que antecedem as eleições regulares, é obrigatória por lei (art. 66 da Lei 9.504) a apresentação do código-fonte para o Ministério Público, OAB, partidos e demais interessados. Eu mesmo sempre tive acesso a esses códigos em todas as eleições desde 2000.

Repare como, convenientemente, ele desconsiderou que, em situação real, toda esse gente (MP, OAB e partidos) e mais os funcionários de TI do TSE, da empresa de segurança (Módulo) e outros assessores contratados têm acesso ao código-fonte das urnas.

O que o professor Diego demonstrou, de fato, é que todo esse pessoal – que não é pouca gente – que tem acesso ao código-fonte das urnas, pode quebrar o sigilo do voto para, eventualmente, usar na coação de eleitores… E nós, da sociedade civil, não temos nenhuma outra defesa contra eles.

Se todos eles forem sempre honestos, tudo bem. Se algum deles for corruptível…..

Viomundo – O TSE continua insistindo que o sigilo não foi quebrado…

Amilcar Brunazo — É óbvio que o sigilo foi quebrado durante os testes que simulavam o ambiente real. Repito. O embaralhamento dos votos é um requisito legal e essencial para garantir o sigilo do voto que já existia antes mesmo das urnas eletrônicas e do RDV, como estabelecido pelo art. 103 do Código Eleitoral, que diz:

” Art. 103. O sigilo do voto é assegurado mediante as seguintes providências: …
IV ­ emprego de urna que assegure a inviolabilidade do sufrágio e seja suficientemente ampla para que não se acumulem as cédulas na ordem que forem introduzidas”

e o art. 220 do mesmo CE diz que:

” Art. 220. É nula a votação:

IV ­ quando preterida formalidade essencial do sigilo dos sufrágios. “

Inequivocamente, o professor Diego demonstrou em testes que simulavam o ambiente real (como está dito no edital dos testes) que a urna eletrônica não assegura a inviolabilidade do sufrágio, já que, para quem conhece o código do software das urnas (como os funcionários de TI do TSE), é possível achar a ordem em que os registros dos votos (RDV) foram introduzidos.

Conclusão: deveriam ser nulas as eleições com urnas eletrônicas que não garantissem o embaralhamento dos votos.

Viomundo – Isso significa que eleições podem ser anuladas?

Amilcar Brunazo – Nenhuma eleição será anulada por isso, porque o administrador eleitoral — que não soube fazer uma urna que garantisse o embaralhamento dos votos — e os juízes – que irão julgar se as urnas estão contra a lei — são exatamente as mesmas pessoas. Logo, nunca vão condenar a si próprios.

A nota oficial do TSE, dizendo que o desembaralhamento dos votos não quebrou o sigilo do voto, é uma mostra que eles são perfeitamente capazes de “reinterpretar a lei”, quando for necessário para esconder os próprios erros e incompetência administrativa.

Viomundo – E, agora?

Amilcar Brunazo — O TSE vai mudar o software para contornar esse tipo específico de ataque, mas isso não significa que o sistema ficou invulnerável.

Nunca foi nem nunca será invulnerável enquanto não for atendido o princípio da publicidade em sistemas eleitorais, como é exigido pelo Tribunal Constitucional da Alemanha.

O próprio professor Diego disse que se tivesse mais tempo e melhor ambiente de trabalho, ainda haveria possibilidade de se demonstrar outras vulnerabilidades.

Todo esse imbroglio só é mais uma demonstração de como é nocivo o acúmulo de poderes da autoridade eleitoral brasileira. Mas, dessa evidência de inconstitucionalidade os jornalões não falam, a OAB não reclama e o rebanho de brasileiros nem chega a compreender.

No fim, dá sempre nisso. A única garantia que o TSE oferece ao eleitor comum é que nós todos somos sempre muito honestos. Tipo la garantia soy yo.

PS do Viomundo: O grupo da UnB que demonstrou a vulnerabilidade da urna eletrônica brasileira:

Diego de Freitas Aranha, doutor em Ciência da Computação pela Universidade Estadual de Campinas (Unicamp); é professor substituto na Faculdade de Ciências da Computação.

Marcelo Monte Karam, graduado em Tecnologia em Segurança da Informação (é do CPD da UnB).

André de Miranda, aluno de redes de computadores da União Educacional de Brasília (Uneb).

Felipe Brant Sacarel, bacharel em Ciência da Computação pela UnB.

Anúncios

Deixe um comentário »

Nenhum comentário ainda.

RSS feed for comments on this post.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Crie um website ou blog gratuito no WordPress.com.