Páginas

terça-feira, 16 de março de 2010

Verificabilidade e Sigilo do Voto

Verificabilidade e sigilo do voto

E-mailImprimirPDF

16 de março de 2010 - Ninguém duvida de que o sufrágio universal é um elemento fundamental de uma democracia, e, naturalmente, a medida de sua precisão, sua legitimidade e sua incorruptibilidade determina a saúde do regime democrático que lhe dá acolhida. Nesse sentido, as intenções do eleitor devem ser coletadas e agregadas de modo absolutamente transparente para a obtenção do resultado de uma eleição.

Por outro lado, em razão do fato de que o conhecimento público do voto do indivíduo pode levar à coação e à compra de voto, o processo que registra a intenção do eleitor e calcula o resultado final deve também manter o sigilo da cédula eleitoral. Eis que se apresenta um conjunto contraditório de requisitos: transparência e sigilo. Com efeito, o sigilo da cédula conflita com a auditabilidade, e ainda assim a privacidade é do interesse não apenas do indivíduo mas da própria instituição do voto secreto.

O ideal é que cada votante seja capaz de verificar que os votos foram computados corretamente. No caso do voto aberto, é claro, tudo se resolve trivialmente: todos sabem quem votou em quem, e em caso de erro na contagem a contestação é inquestionável. Por outro lado, o voto secreto tem um valor essencial para garantir que o voto expresse a vontade do eleitor de modo fidedigno. (Ao que tudo indica, um dos exemplos mais bem documentados do uso de votação secreta é a eleição do Papa, que tem sido conduzida através do voto secreto desde 1288. O artigo 31 da Constituição francesa de 1795 diz que todas as eleições devem ser realizadas através do voto secreto, embora o portal da Assembléia Nacional registre que o sigilo do voto somente foi adotado de forma permanente em 1914. Restou à Austrália o papel de país pioneiro na adoção de cédula de votação secreta em 1865.)

Historicamente, a votação que em tempos idos era centralizada num único local passou a ser distribuída em diversos locais de votação remotamente distanciados. Com uma grande quantidade de sessões eleitorais, cada uma coletando e registrando pelo menos algumas centenas de votos durante muitas horas, torna-se praticamente impossível ao eleitor a fiscalização direta da contagem dos votos, ou mesmo a presença de um representante de cada uma das organizações interessadas em todas as sessões, ao mesmo tempo que se preserva a confiança e a convivialidade do processo de votação. Como se não fora bastante, com a introdução das máquinas de votação do tipo “Direct Recording Electronic” (DRE) sem a produção de “Voto Impresso Conferível pelo Eleitor” (em inglês “Voter Verified Paper Audit Trails”, abrev. VVPAT), nem os próprios eleitores nem os presidentes e agentes da sessão eleitoral podem contar os votos: transfere-se o processo a uma empresa privada que fabrica a máquina de votação eletrônica.

Diante de todo esse contexto, não é difícil concluir que garantir a integridade de uma eleição é um grande desafio. Além da necessidade de autenticação de milhões de eleitores, e do imperativo de coletar, registrar, contar e armazenar milhões de votos, hoje existem milhões de máquinas de votação contendo milhões de linhas de código a serem avaliadas quanto a vulnerabilidades de segurança. Como se isso não fosse bastante, os sistemas de votação têm um requisito um tanto peculiar: apesar do desideratum de prover um “comprovante” de que seu voto será computado corretamente (pois, assim uma possível recontagem teria maior credibilidade), o eleitor não deve sair da cabine com um “recibo” que o permitiria provar a alguém qual foi seu voto, pois dessa forma poderia ser coagido ou mesmo se vender a votar de uma certa maneira. Essa ausência de recibo torna o desenho de um sistema seguro de votação ainda mais desafiador do que um sistema seguro de transações bancárias, onde o recibo é uma norma. É como se, ao recusar o recibo em nome da garantia da privacidade, destruímos a evidência da corretude (ou não) do resultado da eleição.

O uso de técnicas da criptografia moderna propicia uma solução para a reconciliação do aparentemente irreconciliável, permitindo a construção de um sistema de votação transparente que permite que a votação seja realizada em diversas localizações geograficamente distanciadas, ao mesmo tempo em que garante o sigilo da cédula eleitoral. Por exemplo, em recente artigo científico intitulado “Scantegrity II: End-to-End Verifiability for Optical Scan Election Systems using Invisible Ink Confirmation Codes”, apresentado no Electronic Voting Technology Workshop (San Jose, Calif., 28-29 Jul 2008), David Chaum e equipe propuseram o sistema “Scantegrity II: Invisible Ink”, uma evolução da segurança fim-a-fim para sistemas de votação de leitura ótica existentes que permite que cada eleitor verifique que seu voto é processado corretamente, sem introduzir nenhum equipamento local de votação adicional. Informações adicionais são impressas nas cédulas de leitura ótica durante a produção, mas o método subjacente pelo qual o eleitor marca sua cédula não é modificado, e permanence de acordo com as propostas legislativas americanas que exigem que os registros de auditoria em papel não estejam criptografados.

Uma abordagem “fim-a-fim” (em inglês, “end-to-end”, abrev. E2E) a sistemas de votação busca propiciar verificabilidade dos principais passos do processo de votação. Mais especificamente, um sistema E2E permite a verificação de que todas as cédulas depositadas são incluídas sem adulteração na contagem de votos, uma propriedade que não é assegurada no caso do sistema com VVPAT, tampouco no caso da recontagem manual. Em outras palavras, os chamados sistemas de votação E2E, também conhecidos como sistemas de votação com auditoria aberta, são aqueles que propiciam: (1) verificabilidade pelo eleitor: algum tempo após depositar seu voto, cada eleitor pode confirmar que seu voto foi “coletado conforme depositado” verificando informações do recibo (que preservam a privacidade) contra um registro público de recibos disponibilizado pelos agentes oficiais da eleição; (2) verificabilidade universal: qualquer pessoa pode verificar que os votos foram “contabilizados conforme coletados”, isto é, a totalização disponibilizada está correta com respeito ao registro público de recibos disponibilizados.

No Brasil, conforme indica o portal VotoSeguro.org, a Lei 12.034/09, conhecida como Minirreforma Eleitoral, foi sancionada em 29 de setembro de 2009 e estabelece novas regras eleitorais relativas ao uso da internet, a campanhas e prestação de contas. Também aborda a auditoria do resultado eleitoral e reintroduz o voto em trânsito. O artigo 5º da minirreforma traz o conceito de “Auditoria Independente do Software nas Urnas Eletrônicas” que deverá ser realizada, a partir das eleições de 2014, por meio da recontagem do VVPAT em 2% das seções eleitorais.

Em recente palestra intitulada “Security of Voting Systems” (“Segurança de Sistemas de Votação”) apresentada ao Grupo de Segurança Computacional da Stanford University, Ron Rivest, pesquisador e professor do MIT, e um dos pioneiros da criptografia moderna, apresentou algumas das tendências e inovações recentes na tecnologia de sistemas de votação eletrônica. Além de descrever algumas abordagens promissoras para a resolução de conflitos inerentes aos requisitos dos sistemas de votação eletrônica (verificabilidade, ausência de recibos), incluindo algumas técnicas baseadas em criptografia, Rivest apresentou uma breve exposição do sistema de votação fim-a-fim chamado "Scantegrity II'", desenvolvido por David Chaum e uma equipe de pesquisadores do MIT, da George Washington Univ, da Univ of Maryland (Baltimore County), Univ Ottawa, e Univ Waterloo, para a eleição de Novembro passado na cidade de Takoma Park, no estado de Maryland.

Tal qual ocorreu na solução, no final da década de 1970, do aparentemente insolúvel “problema da distribuição de chaves” da criptografia clássica, eis que a criptografia moderna mostra mais uma vez a força de suas técnicas de extrema engenhosidade. O resultado é que nos últimos 25 anos, criptógrafos têm desenvolvido protocolos de votação que prometem uma mudança radical de paradigma: os resultados de uma eleição podem ser inteiramente verificados por observadores públicos, ao mesmo tempo em que se preserva o sigilo do voto.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

Investimentos e Notícias (São Paulo), 16/03/2010, 10:30hs, http://www.investimentosenoticias.com.br/ultimas-noticias/artigos-especiais/verificabilidade-e-sigilo-do-voto.html


4 comentários:

Adolfo Neto disse...

Ruy,

Belo artigo.

Se isto funcionar mesmo (não li o artigo) será ótimo.

Adolfo

Adolfo Neto disse...

Ruy, esse link aqui (http://en.wikipedia.org/wiki/Scantegrity ) é interessante mostra como funciona o Scantegrity II.

E tem um vídeo neste outro link:

<a href="http://scantegrity.org/learnmore.php>http://scantegrity.org/learnmore.php<a>

Ruy de Queiroz disse...

Adolfo,
Obrigado pelos comentários!
Já conhecia os apontadores sobre o Scantegrity II. Obrigado de qualquer forma!
Tenho um aluno analisando a segurança do sistema Helios (de Ben Adida).

Wagner Medeiros disse...

Olá Professor Ruy,

A verificabilidade do processo de votação é algo que se faz necessário e está em falta nos sistemas de votação atualmente existentes no Brasil.
O sistema Helios pode servir como base para uma implementação deste tipo de auditoria para estes sistemas de votação, onde o eleitor ou qualquer entidade pública poderá acompanhar se o voto foi computado como realmente deveria ser e sem o perigo de coerção ou comercialização do voto.

Parabéns pelo texto!

Atenciosamente,

Wagner.