Segurança das eleições informatizadas

Visando fornecer esclarecimentos sobre as diversas questões e teorias difundidas pelos meios de comunicação acerca da segurança do processo eleitoral brasileiro, muitas vezes sem qualquer respaldo técnico ou legal, o Tribunal Superior Eleitoral compilou nesta página os temas mais frequentes sobre esse assunto, a fim de esclarecer o cidadão sobre os mecanismos adotados pela Justiça Eleitoral para trazer segurança e, consequentemente, confiança às eleições informatizadas do Brasil.

Mito ou Verdade?

 

A UE foi desenvolvida pelo Tribunal Superior Eleitoral, sendo pela primeira vez utilizada nas eleições de 1996. A elaboração do projeto técnico de hardware e software foi realizada por um grupo de trabalho composto por especialistas em informática, eletrônica e comunicações. Participaram desse grupo integrantes da Justiça Eleitoral, das Forças Armadas, do Ministério da Ciência e Tecnologia, do Instituto Tecnológico de Aeronáutica, do Instituto Nacional de Pesquisas Espaciais e do Ministério das Comunicações.

O projeto de engenharia da urna eletrônica é, portanto, de propriedade do TSE. As empresas que vencem o processo licitatório para construir a urna simplesmente o materializam. Isso difere o Brasil da maioria dos países que utilizam voto eletrônico e que adquirem os equipamentos diretamente do mercado.

A UE foi concebida, desde o início, para ser equipamento sem nenhuma ligação ou conectividade com dispositivo de rede, seja ele convencional ou sem fio. A urna é dispositivo stand alone (completamente autossuficiente) e, assim, um hacker não teria como invadi-la.

A urna eletrônica mantém arquivo (arquivo de log) com o registro cronológico das principais operações realizadas pelo seu software. Nele, ficam registrados, dentre outras operações, o início e o encerramento da votação, a emissão de relatórios, os aplicativos que foram executados, os ajustes de data e hora, a realização de procedimentos de contingência e os registros que auxiliam na avaliação da dinâmica do voto.

O arquivo de log é mais um mecanismo de transparência e auditoria disponibilizado pela JE. É possível, por meio dele, analisar toda a história da urna eletrônica, desde a sua preparação até o encerramento da votação no segundo turno. Assim como o arquivo de RDV, o arquivo de log também é disponibilizado a partidos políticos e coligações para que façam própria análise dos eventos ocorridos na UE.

Com base nos arquivos de log de todas as urnas eletrônicas, o TSE monta um poderoso banco de dados que permite extrair informações valiosas sobre a dinâmica da votação. Essas informações subsidiam a melhoria de processos relacionados à UE, como a preparação da urna, e de aspectos como os componentes que apresentam maior taxa de defeitos, a velocidade da votação e a dinâmica da utilização da biometria. Tudo isso é feito para prover melhor atendimento ao eleitor no dia da votação e agilizar os trabalhos de preparação e fiscalização das urnas eletrônicas.

A UE é programada para habilitar a votação apenas no dia da eleição e durante o período de votação, que vai das 8h às 17h. Encerrada a votação, ela imediatamente faz a apuração (contagem) dos votos da seção e, em seguida, imprime várias vias do Boletim de Urna (BU) com o resultado, que, a partir desse momento, torna-se público, podendo ser verificado por qualquer pessoa, sobretudo por fiscais de partido e por eleitores.

Cada BU contém um QR Code bidimensional, que pode ser lido por um aplicativo para smartphones. A Justiça Eleitoral (JE) disponibilizou o aplicativo Boletim na Mão para fazer a leitura desses BUs e armazenar os resultados no celular. Há também a possibilidade de aplicativos desenvolvidos por terceiros fazerem a leitura desses BUs, uma vez que o algoritmo de leitura é público e foi disponibilizado pelo TSE na internet.

A mesma informação gerada no BU é armazenada em mídia digital (flash drive). Esse arquivo é assinado com o certificado digital que cada urna possui e criptografado com algoritmo de alta complexidade. Em seguida, essa mídia com o arquivo é levada a um ponto de transmissão da JE. Nesse local, os dados são lidos e transmitidos para o Tribunal Regional Eleitoral (TRE) respectivo por meio de rede privativa (segura) da própria Justiça Eleitoral. Além disso, também é utilizado software chamado JE-Connect, que cria um canal seguro (criptografado) para a transmissão dos dados.

Assim que o arquivo chega ao data center do TRE, inicia-se o processo inverso de remoção das camadas de segurança para acessar o resultado. Dentre as várias etapas de segurança que são realizadas, destacam-se a verificação da tabela de correspondência e da assinatura eletrônica da urna e a descriptografia do arquivo de resultado. Depois da remoção das camadas de segurança, os dados são totalizados e disponibilizados na internet. Dessa maneira, o eleitor pode conferir a fidedignidade do resultado ao comparar os dados do boletim de urna com os divulgados na internet.

A JE totaliza cerca de 20 mil votos por segundo e o resultado da eleição é divulgado cerca de três horas e meia após o encerramento da votação. Para que se concretize a hipótese de se conseguir decifrar os dados e remover as barreiras de segurança, seria necessário um supercomputador trabalhando durante vários dias, algo totalmente inviável e falacioso. Portanto, não há como realizar modificação dos dados durante a transmissão.

No paradigma da eleição informatizada e do voto eletrônico, há inúmeras ferramentas que garantem a integridade, a irrefutabilidade e a auditoria dos dados de eleição. Por exemplo:

  • Auditorias pré e pós-eleição
  • Auditoria dos códigos-fonte
  • Lacração dos sistemas, assinatura digital e publicação do resumo digital (hash)
  • Tabela de correspondência
  • Lacres físicos
  • Identificação biométrica do eleitor
  • Votação Paralela
  • Oficialização de sistemas
  • Registro Digital do Voto (RDV)
  • Log da urna eletrônica

De acordo com os registros oficiais do TSE, é possível verificar que o Tribunal já recebeu mais de 70 delegações de países que queriam conhecer a solução informatizada e o processo eleitoral brasileiro. Pelo menos oito países assinaram acordos de cooperação para transferência de conhecimento sobre os sistemas de votação eletrônica brasileiros: República Dominicana, Costa Rica, Equador, Paraguai, México, Argentina, Guiné Bissau e Haiti.

Pesquisa eleitoral realizada pela Harvard University e University of Sydney, denominada The Electoral Integrity Project (Projeto de Integridade Eleitoral), observou mais de 150 países ao redor do mundo no tocante à integridade do processo eleitoral e classificou o Brasil como democracia de alto nível nesse quesito, estando à frente de países como o Japão e Estados Unidos da América.

Acesse o estudo na íntegra.

Gráfico

Não há dúvidas, portanto, de que o Brasil é referência mundial em processo eleitoral informatizado.

A Resolução-TSE nº 23.550/2017 (alterada pela Resolução- TSE nº 23.574/2018) garante aos partidos políticos, à OAB, ao Ministério Público, ao Congresso Nacional, ao Supremo Tribunal Federal, à Controladoria-Geral da União, ao Departamento de Polícia Federal, à Sociedade Brasileira de Computação, ao Conselho Federal de Engenharia e Agronomia e a departamentos de Tecnologia da Informação das universidades federais o acesso antecipado aos programas desenvolvidos pelo TSE para as eleições, visando à fiscalização e à auditoria. Esse acesso se dá 180 dias antes do pleito.

Cerca de 30 dias antes da eleição, para garantir que os códigos não foram alterados, estão íntegros e foram gerados pelo TSE, é realizada cerimônia de lacração de sistemas, em que os arquivos (códigos) são assinados digitalmente. Para cada arquivo de código-fonte, é gerado um hash (espécie de dígito verificador), e, ao final, esse pacote de arquivos é assinado digitalmente por uma série de autoridades, dentre elas, o presidente do TSE, representantes de partidos políticos, o presidente da OAB e o procurador-geral da República. Uma cópia dos códigos assinados é guardada na sala-cofre do TSE, para verificação posterior, caso necessário. Outras cópias são distribuídas para os Tribunais Regionais Eleitorais, para uso nos sistemas eleitorais e urnas eletrônicas. O primeiro passo que a UE executa é ler e conferir as assinaturas eletrônicas dos programas. Qualquer problema nesse processo impede a urna de funcionar.

Dessa maneira, o TSE garante a originalidade e a integridade dos códigos dos sistemas e da UE em si.

Somos o único país do mundo que realiza testes públicos de segurança da urna desde 2009. Esses testes têm por objetivo fortalecer a confiabilidade, a transparência e a segurança da captação e da apuração dos votos, além de propiciar melhorias no processo eleitoral. Para ratificar essa prática, o TSE editou, em 30 de abril de 2015, a Resolução nº 23.444, que dispõe que os Testes Públicos de Segurança (TPS) constituem parte integrante do processo eleitoral brasileiro e serão realizados antes de cada eleição ordinária, preferencialmente no segundo semestre dos anos que antecedem os pleitos eleitorais.

Ao abrir os sistemas para inspeção dos códigos-fonte e para exercícios diversos, a Justiça Eleitoral busca encontrar oportunidades de aprimoramento dos mecanismos de segurança do software, contando com a visão e com a experiência de outros órgãos públicos, de estudiosos e de qualquer cidadão interessado. Os TPS são utilizados pelo TSE como instrumento auxiliar para a melhoria contínua dos sistemas eleitorais, não havendo interesse da Justiça Eleitoral em promover qualquer tipo de competição ou promoção individual dos participantes. Por isso, o Tribunal abre os seus sistemas e passa conhecimento de todos os códigos, de forma controlada, para que os investigadores possam realizar seus planos de ataque. Em alguns casos, várias barreiras de segurança são desativadas para que os investigadores possam ter produtividade e executar seus planos.

É importante ressaltar que, caso seja encontrada falha, as equipes de desenvolvimento da Secretaria de Tecnologia da Informação do TSE realizam as correções e, posteriormente, convidam os investigadores para executarem novo teste e, assim, verificar se a vulnerabilidade foi corrigida. Até o momento, todas as vulnerabilidades encontradas foram corrigidas antes das eleições.

Para a maioria dos eleitores, a habilitação para votação se dá por meio da verificação biométrica da sua impressão digital.

O Projeto de Identificação Biométrica da Justiça Eleitoral tem por objetivo implantar em âmbito nacional a identificação e verificação biométrica da impressão digital para garantir que o eleitor seja único no Cadastro Eleitoral. Assim, ao se apresentar para o exercício do voto, o eleitor deve ser o mesmo que se habilitou no alistamento eleitoral.

O projeto-piloto, realizado em 2008, envolveu pouco mais de 40 mil eleitores nos Municípios de Colorado do Oeste (RO), São João Batista (SC) e Fátima do Sul (MS). Tanto o cadastramento biométrico quanto o reconhecimento das digitais durante as eleições foram um sucesso. Para as Eleições 2018, há 87.358.318 eleitores cadastrados de forma biométrica, o que corresponde a 59,30% do eleitorado nacional. Portanto, onde há biometria, não há como uma pessoa se passar por outra.

Com a biometria, é possível, por meio do Sistema Automatizado de Identificação por Impressões Digitais (Automated Fingerprint Identification System), apontar duplicidade de inscrições no Cadastro, comparando as impressões digitais,  de modo a confrontar cada nova biometria com todas aquelas já cadastradas, ou, como denominado no meio técnico, 1:N.

Na esteira da evolução tecnológica, foi publicada a Lei nº 13.444, de 11 de maio de 2017, que dispõe sobre a criação da Identificação Civil Nacional (ICN), com o objetivo de identificar o brasileiro em suas relações com a sociedade e com os órgãos e as entidades governamentais e privados. De acordo com a norma, a ICN utilizará a base de dados biométricos da JE e as bases de dados do Sistema Nacional de Informações do Registro Civil (Sirc) – criado pelo Poder Executivo Federal – e da Central Nacional de Informações do Registro Civil – instituída pelo Conselho Nacional de Justiça. Utilizará, ainda, outras informações não disponíveis no Sirc contidas em bases de dados da JE, dos institutos de identificação dos estados e do Distrito Federal e do Instituto Nacional de Identificação ou aquelas disponibilizadas por outros órgãos, conforme definido pelo comitê gestor da ICN.

Em computador comum, o primeiro componente que entra em operação é a BIOS. Quando ela é energizada, passa a fazer verificações gerais no ambiente computacional em que está inserida, ou seja, verificações básicas de vídeo, dispositivos, etc. Em seguida, ela aciona outros programas básicos como o Loader, que faz o carregamento do sistema operacional. Nesse contexto, um vírus poderia se instalar em qualquer um desses programas ou até mesmo na BIOS.

Na urna eletrônica, porém, isso não é possível, pois ela possui a chamada cadeia de confiança, funcionalidade única de engenharia da UE brasileira. Antes da BIOS, é instalado um dispositivo físico chamado hardware de segurança, que é protegido fisicamente e se autodestrói com qualquer tentativa de fraude. Nesse dispositivo, são inseridas as chaves públicas dos softwares e arquivos as quais foram geradas na cerimônia de lacração. Com isso, é possível realizar a verificação de todos os módulos e sistemas que serão carregados na memória da urna. Assim que a urna é ligada, o primeiro componente a ser energizado é esse hardware de segurança. Em seguida, ele verifica se a BIOS está íntegra, se foi assinada pelo TSE e se não foi adulterada. Caso tudo esteja em conformidade, o hardware de segurança passa enfim o comando para a BIOS, que executa suas funções, e, antes de acionar o Loader, verifica se está íntegro e se também foi assinado pelo TSE. Mais uma vez, se tudo estiver em conformidade, o Loader, por sua vez, executa suas funções e, antes de acionar o carregamento do sistema operacional, verifica se este está íntegro e foi assinado pelo TSE. Por fim, verificado o sistema operacional, ele é carregado e assim sucessivamente com os demais programas e módulos.

Portanto, não há possiblidade de software adulterado rodar na urna eletrônica e não há como o software oficial da urna rodar em outro dispositivo que não seja uma UE.

O Institute for Democracy and Electoral Assistence (IDEA), instituto internacional que visa à promoção da democracia no mundo, em seu site, (https://www.idea.int/news-media/media/use-e-voting-around-world), afirma que pelo menos 25 países ao redor do mundo utilizam votação eletrônica semelhante à brasileira.

Gráfico

Analisando os dados mais a fundo, nos Estados Unidos da América, dos 50 estados que possui, 11 utilizam urna eletrônica semelhante à brasileira, que não imprime os votos.

Gráfico

A UE possui dispositivo criado nas eleições de 2004 que permite auditoria da votação com a recontagem dos votos do Registro Digital do Voto (RDV) ou cédula digital. O RDV é o arquivo em que os votos dos eleitores são registrados na urna. A partir dele, é emitida a zerésima (relatório que indica que a urna não possui votos registrados) e é gerado o boletim de urna (relatório com a apuração dos votos da seção).

O arquivo de RDV possui duas características importantes:

  • O voto é registrado exatamente como digitado pelo eleitor
    O RDV armazena o voto exatamente como foi digitado na urna, e somente isso, sem processamento ou informação adicional (não há como vincular um voto no RDV a determinado eleitor). O RDV é utilizado somente no encerramento da votação para gerar o boletim de urna e, assim, realizar o somatório dos votos de cada candidato ou legenda, bem como o cômputo de votos nulos e brancos. Como o RDV preserva o que eleitor digitou, esse arquivo é instrumento importante de auditoria e verificação da correta apuração de uma seção.

  • O sigilo do voto é garantido
    Assim como em urna de lona tradicional, em que as cédulas de papel ficam embaralhadas, impossibilitando a vinculação de cada cédula a determinado eleitor, no RDV, cada voto é gravado em ordem aleatória do arquivo. Além disso, para cada cargo, é armazenado em ordem diferente, o que impossibilita qualquer tipo de associação entre votos, bem como a associação desses votos com a sequência de comparecimento dos eleitores.

A urna eletrônica possui lacre físico em todas as áreas de acesso ao seu interior, para garantir a inviolabilidade física, além de mais de 30 barreiras de segurança, algumas descritas a seguir.

1. Sistema de controle de versões: todo o software da urna é mantido em ferramenta de controle de versões, permitindo saber quem realizou modificações, quais foram elas e quando foram realizadas.

2. Testes de software por várias equipes: todo o software da urna é testado, antes e depois da lacração, por várias equipes: pela própria equipe de desenvolvimento, por equipe dedicada no TSE e pelos TREs.

3. Seis meses de abertura do código-fonte: pelo período de seis meses que antecedem a Cerimônia de Lacração, várias entidades podem auditar todo o código-fonte dos sistemas eleitorais.

4. Teste Público de Segurança: o processo eletrônico é aberto à comunidade em geral para inspeção de código e exercício do hardware e do software da urna em busca de falhas.

5. Cerimônia de Lacração e Assinatura Digital: em cerimônia pública no TSE, os sistemas eleitorais são compilados e assinados digitalmente.

6. Cerimônia de Geração de Mídias, Carga e Lacre das Urnas: em cerimônia pública nos TREs ou cartórios eleitorais, todas as mídias da urna são geradas, o software com os dados de eleitores e candidatos é carregado na urna, que, por fim, recebe lacres físicos numerados.

7. Tabela de correspondência: ao final do processo de carga, a urna gera um código único (código da carga) que faz a correspondência entre determinada urna e a sua preparação para eleição. Somente urnas com código de carga válido poderão ter resultados totalizados.

8. Cadeia de segurança em hardware: a urna eletrônica possui um dispositivo de segurança em hardware que valida todo o software da cadeia de inicialização da urna (BIOS, bootloader e kernel), o que garante que somente o software gerado durante a Cerimônia de Lacração e Assinatura Digital pode ser executado na urna.

9. Processo de fabricação seguro: as urnas saem da fábrica não operacionais, sendo necessário passar por processo de certificação digital nos TREs ou no TSE para que entrem em funcionamento.

10. Projeto de hardware e software dedicados somente à eleição: a urna só possui mecanismos necessários para a votação e apuração de resultados, tanto em hardware quanto em software (não há suporte à comunicação via rede, por exemplo).

11. Verificação de assinatura dos aplicativos da urna: todos os aplicativos da UE possuem assinatura digital embutida, verificada pelo kernel antes de sua execução (somente aplicativos gerados durante a Cerimônia de Lacração e Assinatura Digital podem ser executados na urna eletrônica).

12. Verificação de assinatura dos dados de eleitores e candidatos: todos os dados que alimentam a urna são protegidos por assinatura digital, gerada pelo software responsável pela guarda original, garantindo que informações de eleitores e candidatos se mantenham íntegras e autênticas.

13. Criptografia da biometria do eleitor: os dados biométricos do eleitor são criptografados no software responsável pela sua guarda e são decifrados somente na urna.

14. Criptografia da imagem do kernel do Linux: protege o kernel do Linux usado na urna contra engenharia reversa e execução fora da UE.

15. Criptografia do sistema de arquivos da urna: protege vários arquivos da UE contra engenharia reversa e cópia indevida.

16. Criptografia de chaves da urna: protege as chaves utilizadas pela UE, para que sejam usadas somente por ela.

17. Criptografia do Registro Digital do Voto (RDV): protege o arquivo de RDV contra leituras sucessivas ao longo da votação.

18. Derivação de chaves na urna: calcula as chaves de criptografia do kernel, do sistema de arquivos, das outras chaves e do RDV, de modo que não é possível obtê-las por engenharia reversa do software ou por análise das mídias.

19. Embaralhamento no RDV: os votos são gravados no arquivo de RDV tal como digitados pelo eleitor e embaralhados cargo a cargo entre todos os eleitores, de modo a impedir que se conheça a ordem em que ocorreu a votação e a quebra do sigilo do voto.

20. Boletim de urna impresso: antes da gravação de qualquer arquivo de resultado, o Boletim de Urna (BU), documento com resultado da apuração da seção eleitoral, é impresso e torna-se documento público.

21. Assinatura de software dos arquivos de resultado: todos os resultados produzidos pela urna são assinados digitalmente, utilizando uma biblioteca desenvolvida pelo Cepesc/Abin.

22. Assinatura de hardware dos arquivos de resultado: todos os resultados produzidos pela urna são assinados digitalmente, utilizando também o dispositivo de segurança em hardware (cada urna possui uma chave de assinatura diferente).

23. Criptografia do BU: a porção do arquivo de BU que possui os resultados apurados da seção é criptografada na urna e só pode ser decifrada pelo Sistema de Totalização.

24. QR Code no BU: no BU impresso, há um QR Code que possui assinatura digital própria, o que permite a obtenção de cópia digital do documento, a oportunidade de comparação com o resultado recebido pelo TSE e até mesmo a totalização paralela dos votos.

25. Código verificador do BU: código numérico com token de autenticação que permite a digitação somente de Bus válidos no Sistema de Apuração (procedimento de recuperação de dados realizado em cerimônia pública).

26. Votação paralela: após sorteio realizado na véspera da eleição, urnas que seriam utilizadas na eleição são separadas para teste de votação monitorada, para fins de conferência da fidedignidade do resultado apurado pela UE (sorteio e votação realizados em cerimônias públicas).

27. Conferência de hash e assinatura digital: em diversos momentos (sobretudo nas cerimônias públicas) é possível fazer a verificação de integridade e autenticidade do software da urna, tanto com o auxílio de software desenvolvido pelo TSE quanto por software desenvolvido por outras entidades.

28. Conferência de hash de assinatura digital no dia da eleição: a verificação dos hashes pode ser realizada em urnas instaladas nas seções eleitorais antes do início da votação (UEs sorteadas na véspera).

29. Log da urna: todas as operações realizadas pelo software da UE são registradas em arquivo de log, que pode ser entregue aos partidos políticos para averiguação.

30. Entrega do RDV: os partidos políticos podem solicitar cópia de todos os arquivos de RDV de todas as urnas, para validação dos resultados totalizados.

Assuntos relacionados

Links relacionados

Testes Públicos de Segurança do Sistema Eletrônico de Votação 2017

A Justiça Eleitoral promoveu, nos dias 28, 29 e 30 de novembro de 2017, a 4ª edição dos Testes Públicos de Segurança do sistema eletrônico de votação, em busca da colaboração da sociedade brasileira para o aperfeiçoamento da urna eletrônica utilizada nas eleições do país.

Perguntas frequentes sobre as eleições

As Eleições 2018 serão realizadas no dia 7 de outubro e, nos locais em que houver segundo turno, no dia 28 do mesmo mês. O voto é obrigatório para brasileiros entre 18 e 70 anos e facultativo para analfabetos e jovens entre 16 e 18 anos.

Processo eleitoral no Brasil

O processo eleitoral no Brasil, em um sentido mais amplo, diz respeito às fases organizativas das eleições, compreendendo também um breve período posterior. É organizado pela Justiça Eleitoral (JE), em nível municipal, estadual e federal. Na esfera federal, a JE possui como órgão máximo o Tribunal Superior Eleitoral (TSE), com sede em Brasília. Em cada estado da Federação e no Distrito Federal há um Tribunal Regional Eleitoral (TRE), bem como juízes e juntas eleitorais.