Trechos desta entrevista foram publicados da Folha
de São Paulo de 20 de Maio de 2002.
1) Silvana de Freitas: O sistema da urna eletrônica foi criado
para afastar o risco de fraude. Por que, seis anos após a sua estréia, o eleitor deve
ficar alerta quanto à falta de segurança?
Pedro Rezende: Para acabar com algumas fraudes em papel, a
tecnologia digital cobra um preço. Este preço é o risco de novas formas de fraude,
antes impensáveis. Quem pensaria, por exemplo, em uma fraude onde escrutinadores tentam
convencer juizes eleitorais e fiscais de partidos de que, naquela eleição, dois e dois
para este candidato somam cinco, e para aquele somam três?
Ninguém seria tão ingênuo de tentá-la, pois o escrutínio em
papel é público. Porém, com a urna eletrônica do TSE o escrutínio é privado. Os
votos só saem da urna já somados, tabulados e codificados por programas de computador
que só quem fez conhece de verdade. Na eleição de 2000, por exemplo, depois daquilo que
o TSE chamou de auditoria dos partidos no software da urna pelos partidos, ocorrida em
agosto, alguns deles foram alterados em setembro, conforme admitiram técnicos do próprio
TSE. Estamos sendo convidados a acreditar na palavra de quem responde por estes softwares,
de que a aritmética do processo eleitoral é a mesma que conhecemos. Nas palavras de
Evandro Oliveira, especialista eleitoral cadastrado na ONU, convidados a acreditar em quem
diz "la segurança soy yo"
Ed Gerk compara esta situação à do carneiro que vai beber
água, e, ao se aproximar, vê um leão lá sentado. Quando vê o carneiro, o leão o
convida para beber, dizendo "pode vir, eu não estou com fome". Pode ser. Mas
esse tipo de convite é do mesmo tipo que o convite cívico para participarmos no
equilíbrio de atenções, interesses e cultura elementar dos escrutinadores e fiscais,
numa junta apuradora com voto em papel. A apuração manual é demorada porque a queremos
confiável. Numa junta apuradora atual, os fiscais só vêem disquestes entrando em gretas
e luzinhas piscando. A velocidade do computador tende a tornar o processo opaco, rompendo
o equilíbrio visado pelo convite cívico no espírito da lei eleitoral. Por que o TSE
não permite que os fiscais examininem os softwares nas urnas por amostragem, ao invés
daquele pisca-pisca? As respostas até hoje dadas não fazem sentido para eleitores que se
sentem como carneiros diante do bafo do leão, dono do software inauditável na urna.
Se este dono quiser abusar de sua posição privilegiada para
trafegar influência por atacado, poderíamos desconfiar de uma eventual discrepância
entre pesquisas e resultados eleitorais, mas nunca provar que houve fraude, a ponto e a
tempo de impedir seu efeito. Isso é muito diferente dos erros intencionais de varejo na
totalização em papel, impostos no grito em juntas apuradoras nos antigos currais
eleitorais. O curral eleitoral agora é cercado pelo software.
Segurança é uma busca por equilíbrio, pois uma proteção
contra um risco traz outros. É controle de riscos. Controle de proteção contra os
inaceitáveis e de convivência com os toleráveis. Com a informatização do sistema
eleitoral, precisamos redesenhar coletivamente a linha divisória da tolerância a riscos,
para buscar um novo equilíbrio. O eleitor deve ficar alerta porque a dificuldade está em
se avaliar esse equilíbrio, com riscos novos e tão pouco conhecidos.
2) SF: É possível elencar os principais pontos frágeis do nosso
sistema do voto eletrônico?
PR: Nas várias formas de se conceber e implantar sistemas de
votação eletrônica, os pontos frágeis serão sempre os riscos decorrentes de
desequilíbrios entre transparências e opacidades, julgados necessários por distintos
pontos de vista. Para o eleitor, não interessa discutir se o dono do software eleitoral
é ou não é honesto. Interessa saber de que forma ele, eleitor, pode se certificar da
resposta. Os principais pontos frágeis estarão onde esta certificação é obscurecida,
negada ou inviabilizada.
O nosso sistema é propenso ao desequilíbrio porque, em seu
desenho, prevalece sempre a opinião do dono da urna. Um dono que, infelizmente, tem agido
de forma que nos deixa a impressão de estar considerando a segurança da sua imagem mais
importante do que a verdade eleitoral. Para ele, criticam o sistema porque não o
conhecem. Trata-se de julgamento precipitado. Criticam porque não lhes é dado conhecer.
Não lhes é dado conhecer o porquê dos votos totalizados não
serem tabulados por seção eleitoral, mas apenas por região. Se a tecnologia é usada
para facilitar a votação e acelerar a apuração, por que não perimitir o mesmo para a
fiscalização, onde nasce a segurança da verdade eleitoral? Como por exemplo, permitir o
cruzamento da versão impressa do boletim de urna com a versão que é transportada em
disquete para a junta de apuração, através do parcelamento dos mapas de apuração por
seção eleitoral, ao invés de depender totalmente de um software de criptografia que
ninguém pode inspecionar? Como saber se a intenção nesta escolha é a dificultar a
fiscalização? Aceitar requisitos de transparência, exigidos na lei eleitoral de 1997,
não é sucumbir à devassidão ou ao jogo político, nem é admitir tentações ou
intenções íntimas escusas. É aceitar a necessidade do equilíbrio entre riscos e
responsabilidades na missão da justiça eleitoral, equilíbrio que constitui a segurança
da verdade eleitoral.
Porém, mais grave que as fragilidades técnicas parece ser a
posição do poder legislativo. Por algum acidente histórico, as leis eleitorais em vigor
resultam fantasiosas em sua severidade e contexto, prejudicando sua eficácia. Candidatos
fingem obedece-las, sabendo que podem se ver alvos do seu rigor, caso fujam do
comportamento esperado. É como se os legisladores se sentissem reféns ou dependentes
dela, hora impotentes para mudá-la, hora atraídos para tirar proveito disso.
Se alguém propusesse ao congresso uma urna eleitoral feita de uma
novo tipo de tecido, uma urna que impedisse as fraudes no papel mas que, uma vez
derramadas as cédulas sobre a mesa de apuração, não fosse permitido a ninguém
examinar o fundo da urna, esta proposta seria aceita? Por que então é aceita ingenua e
docilmente, quando o tecido é feito de bits? Não é preciso ser jurista para saber que
um sistema de escrutínio inescrutável é um contra-senso. Ocorre aqui uma hábil
exploração do fascínio contemporâneo com a tecnologia, vista como panacéia para os
males humanos. Como dizia meu avô em sua sabedoria mineira, "quem morre por gosto, o
diabo faz o enterro".
3) SF: Quais são, no aspecto operacional, as fraudes possíveis?
PR: Algumas fraudes antigas não foram eliminadas pela
desmaterialização dos votos. Como a dos eleitores fantasmas, na qual o mesário libera o
voto de vários títulos eleitorais numa mesma visita de seu comparsa à cabine.
Ironicamente a tecnologia mais primitiva, o carimbo com tinta indelével na mão limpa que
recebe a cédula de papel, ainda é a salvaguarda mais eficaz contra este tipo de fraude.
Dentre as novas fraudes, as principais são as várias formas de embuste através do
software instalado na urna, ou do uso indevido de urnas. Nesta última, o boletim enviado
ao tribunal em disquete pode ser, por exemplo, gerado numa urna clonada, uma urna reserva
que funcionou escondida na mão do mesário, como um videogame, no lugar do boletim gerado
na seção eleitoral. Para uma eleição presidencial, por exemplo, que partido
conseguiria conferir manualmente, em quarenta e oito horas, quatrocentos mil boletins de
urna impressos nas seções, para conferir o resultado com os mapas de totalização dos
tribunais? Muitas vezes umcópia impressa do boletim de urna nem mesmo é entregue aos
fiscais de partido, bastando que uns poucos não sejam entregues no prazo para
inviabilizar a possibilidade de verificação da totalização independente do TSE. E
mesmo que todos os boletins de urna sejam entregues e tal conferência manual consiga ser
feita no prazo, que juiz eleitoral acataria o argumento de que o erro está no software de
totalização, e não na apressada conferência manual, quando os juízes têm
invariavelmente denegado pedidos de impugnação com o argumento de que a urna não erra?
Entretanto, as fraudes mais perigosas são as que podem ser
montadas dentro da urna, pela insersão de lógica embusteira em qualquer um dos seus
sofwares. Se o embuste for inserido no software antes de ser entregue pelo TSE aos
tribunais regionais, o alcance da fraude pode ser nacional. Se for inserido num tribunal
regional, antes da replicação nos dispositivos de armazenamento inseridos na urna na
semana anterior à votação, os chamados flashcards, a fraude será regional. Este tipo
de embuste pode ser feito, por exemplo, inserindo-se uma clásula condicional no trecho do
programa que registra a contagem dos votos. Numa eleição majoritária em segundo turno,
por exemplo, este condicional somaria um voto ao total de um candidato sempre que este
total atinja um determinado múltiplo, subtraindo-o do outro candidato. Um voto desviado a
cada quarenta, por exemplo, distorceria o resultado em cinco por cento, como se o voto de
um candidato fosse contado como 1,2 votos, e para o outro candidato como 0,8. Uma tal
inserção ocuparia apenas cerca de tres linhas do programa.
Este exato exemplo foi inserido no software da Proconsult, usado
na totalização da eleição de governador no Rio de Janeiro, em 1982. A fraude da
Proconsult, apelidada então de "diferencial delta", só foi descoberta porque
um jornalista resolver fazer apuração paralela, a partir dos boletins de urna divulgados
nas sessões, ainda manualmente preenchidos. Só que, agora, a urna não permite
recontagem e o boletim com os totais da urna pode ser emitido, quer na forma eletrônica,
quer nas formas eletrônica e impressa, já com fraude. Fraude que não estaria evidente
na totalização, pois os totais de uma urna nas versões eletrônicas dos boletim não
são tabulados nas juntas de apuração, mas apenas somados. Perguntado sobre a
possibilidade deste tipo de fraude, um técnico do TSE disse em uma palestra que ela não
seria possível, pois quem faz o software da urna não saberia de antemão os números dos
candidatos. Acontece que esses números sempre começam com o número do partido, que
nunca mudou desde o início da informatização das eleições, e os candidatos em
eleições majoritárias tem recebido sempre este mesmo número. Alguém adivinha qual
será o número do Lula na próxima eleição? La segurança soy yo!
4) SF: Que medidas seriam necessárias nestas eleições para
minimizar ou sepultar os riscos de fraude?
PR: Por ser um processo que visa equilibriar riscos, a segurança
só pode ser 100% para quem já está morto. O que se pode fazer para minimizar os riscos
de fraude com a urna eletrônica é buscar garantias relativas de transparência e
integridade dos softwares, que dificultem o risco de fraudes de origem interna e externa
de forma equilibrada. Este equilíbrio é atingido quando o potencial fraudador de um lado
é o fiscal ideal do outro lado. Porém, só as fraudes de origem externa parecem ocupar a
tela do radar do TSE, apesar do acesso aos botões de uma urna não dar acesso para
alteração no seu software. A urna não é programável pelo teclado. Só quem pode
alterar software é quem tem acesso a eles através de flashcards ou disquetes, acesso
esse controlado pelos tribunais eleitorais. Assim, como é que um hacker na internet vai
invadir e contaminar a urna, se a urna nunca é conectada à internet? Não sabemos. Mas,
por um despacho de Ministro do TSE, sabemos que os fiscais não podem ver o código fonte
de certos programas da urna pela razão de que "quanto menos pessoas conhecerem o
software, menor o risco de vulneração do sistema". Ao dizer isso, o ministro infere
que só os riscos externos são relevantes, uma falácia muito perigosa.
Para obter garantias da verdade eleitoral o eleitor precisaria
saber que os programas que entram na urna ou totalizam votos são idênticos aos que foram
examinados pelos seus representantes. Pela lei esses seriam os fiscais de partido,
incumbidos de verificar se a lógica desses programas pode ou não subverter a aritmética
que conhecemos. Para isso, os fiscais precisam das duas coisas que constituem uma
auditoria decente de software. Precisam examinar esses programas na forma em que são
escritos pelos programadores, isto é, em código fonte, antes que sejam compilados para a
linguagem em que irão executar, a linguagem da máquina. E precisam proceder ao cálculo
de um autenticador de cada programa, uma espécie de impressão digital da versão
compilada em sua presença, para poderem comparar com o resultado do mesmo cálculo
efetuado com cópias do mesmo, amostradas quando em operação, para validar sua
integridade.
No caso da urna, a amostragem ideal para validação seria quando
o conteúdo do flashcard é carregado em memória, no início da votação. Este cálculo
poderia ser efetuado por um dispositivo de hardware no computador da urna chamado BIOS,
mas este recurso não consta de especificação desta BIOS. Em nenhuma de suas versões,
ao que me consta. A solução paliativa seria amostrar os programas para validação
quando estiverem sendo gravados nos flashcards, nas máquinas replicadoras dos tribunais
regionais, na semana que antecede as eleições. Mas os juízes eleitorais nunca
permitiram a nenhum fiscal sequer por a mão num desses flashcards, muito menos
instalá-los em suas próprias máquinas para cálculo de autenticadores de validação.
O que o TSE chama de auditoria aos programas da urna, é apenas um
simulacro. Os fiscais só podem ver o código fonte de um dos tres programas que vão na
urna, o aplicativo que contabiliza votos. Mas mesmo que este programa esteja limpo, tanto
quando é inspecionado e quando é instalado na urna, os outros programas também podem
promover embustes sobre o boletim de urna, por intermediar a sua gravação. Na eleição
anterior, as condições e normas para participação dos fiscais nessa
"auditoria" só foram divulgadas na véspera da data marcada para sua
ocorrência, dois meses antes da eleição e mais de um mês antes da carga dos programas
nas urnas. Não foi feito nem o acompanhamento da compilação dos programas, nem o
cálculo de nenhum autenticador, nem foi permitido o acesso ao código fonte da biblioteca
criptográfica nem do sistema operacional. Para a próxima eleição, mesmo que este
simulacro contemple, como se cogita, uma cerimônia pública na qual o aplicativo de
escrutínio será compilado, o cálculo de autenticadores durante esta cerimônia, e quem
sabe até durante a inseminação dos programas na urna, a lei eleitoral aprovada no
congresso em Janeiro deste ano contém linguagem específica, introduzida por
solicitação do ministro Jobim, que permite ao TSE manter inauditáveis o sistema
operacional e a biblioteca criptográfica da urna.
5) SF: Podemos imaginar a possibilidade de fraudes sofisticadas?
PR: O sistema de votação eletrônica do TSE deposita um enorme
poder sobre simples operações de soma e tabulação implementadas em software.
Certamente haverão grandes benefícios inconfessáveis para quem se ponha a explorar,
para fins escusos, qualquer opacidade na execução dessas instruções. O crime
organizado certamente não está alheio a estas possibilidades, e irá encontrar os pontos
mais frágeis do sistema para nele tentar se infiltrar. Quase sempre os pontos mais
frágeis de um sistema informatizado tão sensível como este, são seus elos humanos. A
possiblidade dessas explorações será inversamente proporcional à probabilidade de sua
descoberta. O eleitor só pode contribuir para diminuir esta possibidade exigindo
transparência e participando ativamente na fiscalização do processo. Porém, os que
estão atentos vem encontrando dificuldades para identificar aliados entre os que gravitam
na órbita do poder, controlando a marcha deste processo.
As fraudes mais sofisiticadas são as que distribuem com mais
capilaridade os benefícios dessa opacidade. Seriam aquelas onde instruções mais
complexas para manipulação a varejo são introduzidas nos programas nos tribunais
regionais, tanto na urna quanto nos programas de totalização, através das quais desvios
de voto em eleições proporcionais podem garantir fatias pré-negociadas de bancadas
municipais ou estaduais, dentre candidatos corrompidos ou corruptos. Estes programas podem
até ser projetados para apagarem, após a eleição, suas instruções de desvios de
votos. Entretanto, rastros de fraudes sofisticadas podem ainda assim ser medidos por
discrepâncias nas distribuições estatísticas de densidade eleitoral, em distritos
geográficos ou em sessões. Alguns sinais discrepantes tem ocorrido. Como por exemplo,
variação estreita de diferenças (entre 100 e 110 votos em todas as sessões) entre dois
candidatos da última eleição para prefeito em Camaçari, e variações pequenas entre
as votações de alguns deputados federais governistas dentre os municípios paulistas. A
visibilidade de tais rastros seria uma boa razão para se evitar a tabulação por seção
nos mapas de totalização dos tribunais, caso haja propensão para fraude interna.
Assim, mesmo acuado pela opacidade do sistema, é importante para
o eleitor ficar atento ao bafo do leão. Quem leva o negócio da fraude a sério estará
tentando se posicionar sempre um passo à frente dos mecanismos de proteção, na medida
em que estes vão sendo aprimorados, impostos ou negociados por pressão da opinião
pública. Mesmo que o TSE aceite implementar uma verificação eficaz de integridade do
software da urna, se a totalização não tabular os resultados apurados por seção a
detecção de fraude continua sendo praticamente impossível, devido à opacidade da
totalização. E se a auditoria eficaz vier a ser permitida tanto na urna quanto nos
softwares de totalização, a questão sobre o qual a inteligência da fraude irá se
debruçar passa a ser de quem serão os programas permitidos a compilar e calcular os
autenticadores dos programas do sistema eleitoral? Como podemos ver, em termos de
sofisticação o crime organizado já ganhou a oportunidade de livrar uma boa vantagem
nessa corrida.
6) SF: A análise da Unicamp será suficiente para afastar as
suspeitas contra o risco de manipulação maldosa de programas?
PR: Supondo que esta análise venha a público sem censura, e que
seu conteúdo conclua nesta direção, sim. Porém, pela seriedade e competência já
demostrados pela equipe no caso do painel do senado, meu palpite é de que sua conclusão
não irá apontar nesta direção, por um motivo muito simples. Se quem tem direito de
examinar pelo menos um dos programas da urna são os mesmos que o confeccionam e instalam,
como é o caso, um possível conluio entre esses para a manipulação maldosa significaria
impunidade. A impunidade pode até estar presente sem conluio, bastando que o controle do
mecanismo que controla alterações nesse programa esteja nas mãos de apenas uma pessoa.
Não creio que a equipe da Unicamp desconsideraria estas possibilidades, ou consideraria
tolerável o risco de fraudes inimputáveis.
7) SF: O general Alberto Cardoso compara o Cepesc ao fabricante de
um cofre que perde o controle sobre o produto depois que o cliente cria o segredo para
abri-lo. Tecnicamente, como a participação indireta da Abin pode ser uma ameaça de
manipulação dos programas pelo Palácio do Planalto?
PR: Nenhum criítico sério do nosso sistema eleitoral condena a
participação da Abin simplesmente por se tratar da Abin. Como diz um ditado americano, o
diabo mora nos detalhes. Neste caso, em dois detalhes. O primeiro detalhe é que o uso do
tipo de criptografia que o TSE teria encomendado ao Cepesc ainda não foi
satisfatoriamente justificado na urna. O segundo detalhe é que há um jogo estranho sobre
quem responde pela necessidade deste programa não ser auditável na urna. Em relação ao
porquê do programa do Cepesc não ser auditável na urna, hora o TSE faz referência a
exigências da Abin em seus despachos, enquanto o Gereral Alberto Cardoso da Abin hora
argumenta que o conhecimento público enfraqueceria a eficácia do programa, e hora faz
referência à segurança nacional. Só não ouvimos o próprio autor do programa, que
certamente não é o General Cardoso, dizer isso.
A comparação do general está correta, mas não para o contexto
onde ela é sucitada. A questão que merece atenção não é com quem estará o controle
do cofre quando em uso. Mas a de que a ninguém, alem dos envolvidos no negócio, é
permitido saber como foi construído este cofre, ou que tipo de coisa se instala na urna
como se fora esse cofre. E se este cofre for na verdade uma caixa de mágico que imita um
cofre? Como saber? Quem está de fora sabe apenas que algo ali não pode ser examinado,
algo que quem está de dentro diz ser um cofre.
Não fossem por esses detalhes, que ofuscam a relação entre a
segurança nacional a que se refere o General e a segurança da verdade eleitoral a que
aspira o eleitor, não se daria importância aos riscos na participação indireta da
Abin. Num mundo onde informação e programas se alastram pela internet, apenas as chaves
-- e não as fechaduras digitais -- precisam ser mantidas em sigilo. A fechadura provará
sua robustez pela capacidade de se expor publicamente, sem permitir acesso ao que ela
protege na ausência da chave, gerada e guardada por quem precisa desta proteção. Como o
autor do programa do Cepesc é certamente um criptógrafo competente, cuja competência
espera-se não ter estacionado no cenário teconológico da segunda guerra mundial, dele
nunca ouviremos tais argumentos se sua agenda não for oculta.
Mas suponha, por um momento, que tudo aquilo que os críticos
desejam em relação à auditoria dos programas seja finalmente concedido pelo TSE, exceto
a auditoria do programa criptográfico do Cepesc. Os cenários de riscos daí decorrentes
seriam ainda graves e variados. Num desses cenários, o programa entregue pelo Cepesc ao
TSE, além das funções criptográficas que usam as chaves geradas pelo próprio TSE,
pode conter também instruções sorrateiras para operar fraude sobre o boletim de urna.
Para isso, o programador precisa apenas de algumas informações sobre o formato do
boletim, tais como os números dos candidatos e a posição dos totais de votos, e um
pequeno empurrão do ambiente onde irá operar, se a fraude se destina a ambas versões,
impressa e eletrônica. Este empurrão pode ser uma chamada à memória pelo aplicativo de
escrutínio antes da impressão do boletim. Ou então uma vulnerabilidade do sistema
operacional que pode ser explorada para, através de um módulo de instalação, infiltrar
nele o embuste, à moda de um vírus, para ficar vigiando chamadas ao processo de
impressão, quando então seria dado o bote do embuste no boletim. O sistema operacional
poderia também carregar embustes tendo como alvo os processos de coleta de dados do
teclado e visualização na tela da máquina.
Por falar nisso, não está claro por que o TSE escolheu o Windows
CE como sistema operacional, e BIOS gravável por software, para suas novas urnas. Um dos
possíveis efeitos motivadores da escolha poderia ser o de oferecer ao TSE uma álibi para
manter opacidades da urna. Noutro cenário mais ameno, mesmo que todos os programas opacos
sejam encomendados e entregues honestos e robustos, esta opacidade dá ao TSE a liberdade
de instalar na urna, em seu lugar, uma versão embusteira de qualquer desses programas. A
argumento da necessidade de se manter na urna um só programa inauditável que seja, como
o do Cepesc, pode servir como álibi para a ocultação de embustes por trás de toda a
transparência no resto. Assim como um mágico que mostra todas as faces de sua caixinha
de supresas, exceto uma. "La segurança soy yo".
8) SF: Que alternativas técnicas o TSE teria para excluir o
Cepesc?
PR: A alternativa mais simples seria programar a apuração de
forma a tabular e publicar eletronicamente todos os boletins de urna recebidos. Qualquer
fiscal de seção no Brasil se tornaria também um fiscal de apuração, com uma cópia do
boletim de urna e do acesso à inrternet. Uma proteção redundante à transparência de
fiscalização seria o uso de criptografia para assinatura digital dos boletins de urna.
Ela serviria para detectar trocas de disquete durante o transporte de boletins emitidos
por urnas idôneas. Para entendermos porque esta solução seria simples e eficaz,
precisamos primeiro entender o problema que trouxe o Cepesc à urna.
Os boletins de urna eletrônicos precisam ser protegidos durante o
transporte, isto é, da urna urna onde é gerado até a junta de apuração a que se
destina. Mas protegidos contra o que? Esta pergunta é o início do problema, pois os
possíveis modos de uso da criptografia protegem eficazmente o dado contra apenas um tipo
de ataque. Ou contra acesso indevido, ou contra adulteração do conteúdo. No primeiro
modo, a criptografia irá procurar embaralhar, da melhor forma possível, a sequência de
bits a ser protegida, de sorte que só o emissor e o receptor poderão desfazer esta
codificação, mediante a posse e o uso da chave criptográfica. Tal chave é o que o
General Cardoso compara com o segredo de um cofre. Neste modo de uso a criptografia
implementa o que se chama cifra de sigilo. Cifras de sigilo, entretanto, não são boas
protetoras contra adulteração, devido a um detalhe quem precisa acessar o dado no
destino poderá também alterar esse dado e sustentar, perante terceiros sob demanda
judicial, que a versão alterada foi a recebida.
Já no segundo modo, a criptografia procura fixar, da melhor forma
possível, a sequência de bits a ser protegida, de sorte que qualquer adulteração nessa
sequência durante o transporte possa ser detectada no destino. Neste modo de uso a
criptografia implementa o que se chama de autenticador ou assinatura digital. E novamente,
autenticadores não são bons protetores contra acesso indevido já que os bits
protegidos, por estarem fixos em suas posições, nada ocultam enquanto estiverem fixos.
É claro que estas limitações não impedem o uso combinado dos dois modos de
criptografia, mas possibilitam que a criptografia se torne inócua por erro de
avaliação, quando o projeto do sistema demandar um modo de proteção e sua
especificação escolher outro.
E quanto ao nosso sistema eleitoral? Como o boletim de urna se
destina a ser impresso e tornado público na seção eleitoral antes de ser gravado e
transportado em disquete, em cujo destino será tabulado em mapas de totalização também
públicos, seu conteúdo deveria ser público tanto na origem como no destino. Portanto,
neste caso, não há razão direta para a demanda de proteção contra acesso ao
conteúdo, enquanto há razões de sobra para a demanda de proteção contra
adulteração. Acontece que a versão eletrônica do boletim de urna, por motivos ainda
inexplicados, não é divulgada pelo tribunal. Não é desse sigilo de voto de que fala a
Constituição Federal. Apenas sua versão impressa é transportada junto com o disquete,
para ser lá divulgado como se as duas versões fossem sempre idênticas. Assim, não há
como os fiscais coferirem nada sobre a versão eletrônica dos boletins de urna. Nem se
esta versão do boletim que chega no tribunal é a mesma que saiu da urna da seção em
disquete, nem se as versões eletrônica e impressa do mesmo boletim coincidem, nem se as
versões eletrônicas dos diversos boletins de uma região foram corretamente somados na
totalização, este última pelos motivos práticos já abordados.
Assim, qualquer garantia oferecida pelo sistema acerca da
integridade da versão eletrônica dos boletins de urna repousa única e exclusivamente no
uso da criptografia. Repousa, entretanto, sobre o modo errado, já que este uso se dá
através de programa encomendado ao Cepesc para proteger o boletim de urna contra acesso
indevido ao conteúdo. Até onde nos é dado saber, o Cepesc entregou o que lhe foi
encomendado, isto é, um programa que implementa o que chamamos de cifra para sigilo.
Decorre daí que tal uso protege a versão eletrônica dos boletins, a que realmente conta
para a eleição no nosso sistema, contra duas coisas ao mesmo tempo. Contra fraudes
praticáveis por quem não tem acesso à devida chave, e contra acesso ao conteúdo de
fraudes praticáveis por quem tenha tal chave. Se é para se buscar apenas a primeira
proteção, não basta usar criptografia nessas condições, por melhor que seja sua
qualidade. Carece também que se neutralizar seu segundo efeito, que podemos chamar de
colateral caso não seja intencional. Três medidas são possíveis para neutralizar este
efeito. A especificação do modo de uso da criptografia adequada à situação, ou seja,
a assinatura digital, a auditoria decente em todos os programas, especicialmente nos
programas de criptografia e de totalização, e a publicação das versões eletrônicas
dos boletins de urna nos mapas de totalização das juntas de apuração e nos tribunais.
Em outras palavras, se o TSE quiser proteger a verdade eleitoral,
sem no processo destruí-la com mecanismos de proteção a possíveis fraudadores agindo
nos programas de totalização e/ou de votação, deveria encomendar o modo criptográfico
adequado, que é a assinatura digital, associado à publicação da versão eletrônica
dos boletins no processo de totalização e à auditabilidade dos softwares, não só
pelos partidos como também pelo próprio TSE. Não importa se a biblioteca criptográfica
para assinatura digital seja encomendada ao Cepesc ou a outra instituição ou empresa. O
detalhe de quem faz o software passa a ser irrelevante quando o software é transparente,
isto é, auditável, pois a intenção e a compentência do programador se fazem assim
mensuráveis. Doutra parte, como as poucas fórmulas conhecidas para se implementar
mecanismos de assinatura digital são de domínio público e relativamente simples, até
mesmo os programadores do TSE poderiam implementá-la. Alguns de meus ex-alunos, a quem
ensinei como fazê-lo e lá trabalham, me desapontariam se corressem desta
responsabilidade.
Porém, nos seis anos de existência do sistema, o que vemos em
relação a estas medidas é uma tenaz resistência do TSE em acatá-las ou mesmo
considerá-las. Esta postura só é admissível sob a premissa de que o risco de fraude de
origem interna é desprezível, irrelevante ou tolerável. Podemos ver esta avaliação
explicitada em despachos de juízes eleitorais contra pedidos de impugnação
"Indeferido, pois a urna eletrônica não erra". Cada um que julgue por si, e
morra por gosto ou de desgosto, paranóico ou delirante sobre conspirações ou
conspiradores.
9) SF: Como cidadão e eleitor, o sr. acredita que a disputa
acirrada entre os principais candidatos e o risco de derrota do candidato governista
aumentam a possibilidade de fraudes?
PR: Com relação à disputa acirrada, se me permite, prefiro
responder como analista de segurança computacional. O risco de fraude certamente aumenta
com o acirramento, pois um percentual de desvio próximo à margem de erro das pesquisas,
implantado sob medida poucos dias antes da eleição, pode se camuflar como flutuação
estatística normal, encorajando potenciais fraudadores. Doutra feita, um desvio exagerado
para alcançar a inversão do resultado eleitoral forçaria os institutos de pesquisa a
uma de duas alternativas desconfortáveis. Ou a percepção pública de sua improbidade,
ou os riscos de um conluio com a fraude. Com relação ao risco de derrota governista, há
uma conjugação de fatores que contribuem pelo menos para uma primeira impressão nesse
sentido. O do atual presidente do TSE ser considerado defensor dos interesses governistas
na mais alta corte de justiça, sua atuação política no congresso em relação às leis
eleitorais, aliados à atual opacidade do processo e à sua disposição em mantê-lo
assim. Assim, o que o ministro vem chamando na imprensa de "síndrome da
conspiração" não pode ser creditado apenas à paranóia de palpiteiros, já que
ele mesmo vem contribuindo para agravá-la com sua postura.
10) SF: O presidente do TSE, ministro Nelson Jobim, criou algum
obstáculo para o controle do sistema eletrônico de votação? É possível dar um
exemplo?
PR: Ele dá a impressão de desejar o aprimoramento do sistema.
Mas sempre que acolhe sugestões, seja ele ou seus antecessores na presidência do TSE
durante a vigência do voto eletrônico, seja ao negociar uma nova lei eleitoral ou ao
regulamentar leis em vigor, o TSE termina por implementá-las pelas metades, o que acaba
por reforçar a ingenuidade popular sobre a linha divisória de tolerância aos novos
riscos eleitorais, em detrimento da segurança da verdade eleitoral.
Um exemplo foi a manobra política do ministro para a aprovação
de emendas à nova lei eleitoral, que tramitava no Senado por iniciativa dos senadores
Requião e Tuma. Esta lei previa auditoria completa nos softwares do sistema. Haveria
também conferência do boletim de urna através da apuração dos votos impressos em uma
amostragem de 3% das urnas, a serem sorteadas no dia da eleição. Poucos dias antes da
votação da matéria, o ministro Jobim enviou aos senadores da base governista pedido
para que apresentassem 15 emendas ao projeto, e que foram apresentadas no dia da
votação. Uma delas, apresentada pelo senador Bello Parga, antecipa para a véspera da
eleição o sorteio das urnas que terão conferência dos votos através da apuração dos
votos impressos. Outra, apresentada pelo senador Francelino Pereira, restringe o direito
dos partidos auditarem alguns dos programas do sistema eleitoral e suprime condições
obrigatórias para a eficácia da auditoria restante.
O então líder do governo, senador Hugo Napoleão, diante da
recusa do relator em acatar estas emendas, pediu votação em separado para as mesmas e
instruiu seus liderados a votarem a favor. Além disso, instruiu-os contra a emenda que
retirava o último artigo do projeto de lei, estabelecendo prazo de um ano para sua
entrada em vigor, sob o argumento de que já havia acordo na Câmara para aprová-la a
tempo para sua vigência na eleição de 2002. Hugo Napoleão conseguiu o que queria, a
aprovação do projeto com essas emendas no plenário do Senado em 2 de Outubro de 2001.
Na Câmara, onde o projeto votado no senado chegou no dia seguinte
com pedido de urgência, um acordo de lideranças retirou neste mesmo dia esta urgência,
sob o argumento de que a matéria precisava ser melhor estudada. Na Comissão de
Constituição e Justiça da Câmara, onde tramitou em 15 dias, essas emendas foram
retiradas. Porém, no dia em que foi a votação no Plenário, o ministro Jobim pediu e
conseguiu um outro acordo de lideranças, desta vez para que o projeto fosse revertido à
versão aprovada no Senado, sob o argumento de que, se aprovada na Câmara com as
modificações propostas pela CCJ, o projeto teria que voltar para o Senado, perdendo
assim o prazo de vigência para eleição de 2002. Ocorre que este prazo já havia se
esgotado no dia seguinte à sua chegada na Câmara.
Com o sorteio de véspera das urnas a serem conferidas, seria
impossível impedir a troca sorrateira de flashcards sujos por limpos durante a madrugada,
já que os lacres assinados pelos fiscais são estocados sem controle de contagem, durante
os procedimentos de carga das urnas. E mesmo que todas as urnas estejam limpas e nenhum
truque seja necessário para que a confirmação por apuração nos votos impressos saia
incólume, não há garantias de que as versões eletrônicas dos boletins de urna
coincidem com as versões impressas, pois a totalização nos tribunais não tabula os
votos por sessão, mas apenas por região geográfica. No plenário da Câmara, o projeto
de lei foi aprovado como veio do senado. Quize dias depois, o TSE declara o senador Hugo
Napoleão governador do seu estado, cassado o governador eleito. Com essa norma eleitoral,
legada do serviço legislativo prestado à nação pelo nobre senador-governador do
Piauí, a opacidade dos softwares no nosso sistema eleitoral se mantém, enquanto a
"garantia" oferecida pela cofirmação de votos impressos se torna mais um
espelho numa caixinha de mágico.
Certamente a síndrome da conspiração de que fala o ministro
Jobim não é causada apenas pela paranóia de palpiteiros.
