segurança da votação eletrônica brasileira - uma análise crítica - paulo pagliusi
TRANSCRIPT
![Page 1: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/1.jpg)
Paulo Pagliusi
CMG (RM1-IM), Ph.D., CISM
CEO MPSafe CyberSecurity Awareness
Vice-Presidente CSABR | Diretor ISACA-RJ
www.mpsafe.com.br
Twitter: @ppagliusi
www.cyber-manifesto.org
![Page 2: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/2.jpg)
Sumário
Antes das eleições: funcionamento do processo eleitoral
A segurança da urna eletrônica
Diferença entre as gerações de voting machines
O teste aberto de segurança realizado em 2012
O caso do hacking adolescente
A urna atual está obsoleta? Ela é insegura?
![Page 3: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/3.jpg)
Antes das eleições:
funcionamento do processo
eleitoral
![Page 4: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/4.jpg)
Cadastro de Eleitores
![Page 5: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/5.jpg)
Registro de Candidatos
![Page 6: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/6.jpg)
Assinatura Digital de Sistemas Eleitorais
![Page 7: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/7.jpg)
Geração de Mídias
![Page 8: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/8.jpg)
Urna Eletrônica
É um microcomputador de uso específico composto por:
• Terminal do mesário ou micro terminal, onde o eleitor é identificado pelo número de seu título eleitoral e autorizado a votar.
• Terminal do eleitor, onde é registrado numericamente o voto.
![Page 9: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/9.jpg)
Carga das Urnas Eletrônicas
Flashes de carga lacradas
![Page 10: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/10.jpg)
Carga das Urnas Eletrônicas
![Page 11: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/11.jpg)
Tabela de Correspondência
Após a carga, a tabela de correspondência é publicada na Internet.
São cadastradas todas as urnas válidas, incluindo:
• Urna de votação
• Urna de contingência
• Mesa receptora de justificativa eleitoral
Município: 61018 – ADAMANTINA
Zona Eleitoral: 0157
Seção Cód. UE Cód. F.C. Código da carga Data e hora
0001 00577979 F966FB1D 847.050.926.773.598.887.371.225
25/09/2006 08:31:27
![Page 12: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/12.jpg)
Lacre Físico da Urna
Cada compartimento da urna é lacrado fisicamente com um conjunto de adesivos micro-serrilhados, assinados pelo juiz da seção eleitoral:
• Tampa do pen drive
• Tampa do cartão de memória
• Gabinete
• Micro terminal
• Tampa do conector do teclado alfanumérico ou porta USB
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001
![Page 13: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/13.jpg)
Processo de Votação
• Após às 7 horas do dia da eleição, a urna eletrônica é ligada.
• Na presença dos mesários e fiscais de partidos políticos, é emitido em cada seção eleitoral, um relatório de “zerésima”.
![Page 14: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/14.jpg)
Zerésima
O relatório de “zerésima” contém toda a identificação daquela urna e comprova que nela estão registrados todos os candidatos com zero votos.
![Page 15: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/15.jpg)
Habilitação do Eleitor
Após as 8 horas é iniciada a votação.
O mesário:
a) recebe do eleitor o título eleitoral;
b) digita o número do título no terminal do mesário;
c) identifica o eleitor, por meio do nome mostrado na tela do microterminal, e o autoriza a votar.
d) pressiona a tecla “Confirma” no terminal do mesário, e assim libera o terminal do eleitor, localizado em uma cabine indevassável.
![Page 16: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/16.jpg)
Urna Biométrica
• A partir de 2006 começaram a ser fabricadas urnas com leitor biométrico.
![Page 17: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/17.jpg)
Ato de Votar
Ao chegar à cabine, o eleitor encontra a urna eletrônica pronta para receber seu voto para o cargo indicado na tela.
![Page 18: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/18.jpg)
Ato de Votar
• Após a digitação do número, a tela expõe visualmente o número, o nome, a sigla do partido e a fotografia do candidato.
• Essa apresentação da tela possibilita a conferência pelo eleitor.
• Feita a conferência, aciona-se a tecla “Confirma”. O voto, então, é contabilizado pela urna.
![Page 19: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/19.jpg)
Ato de Votar
• A tecla “Corrige”, pressionada antes da confirmação, recomeça toda a operação.
• Ao corrigir a tela volta a situação original.
• Há a possibilidade do registro do voto “Em branco” mediante tecla específica.
• Concluída a votação, a urna eletrônica apresenta a tela “FIM”, permitindo que outro eleitor seja habilitado a votar.
![Page 20: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/20.jpg)
Apuração
Após às 17 horas, quando a eleição é encerrada, o presidente da seção eleitoral, utilizando senha própria:
a) encerra a votação.
b) emite o “boletim de urna” da seção.
![Page 21: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/21.jpg)
Boletim de Urna - Exemplo
Eleição Proporcional
Município: 01473 – MARTE Zona Eleitoral: 0005 Seção: 0006
Seções agregadas: Esta seção não possui seções agregadas.
Aptos: 184 Comparecimento: 165 Faltosos: 19
Tipo de urna: Apurada Origem: Urna Eletrônica
Data do recebimento: 25/09/2006 18:25:46 Código UE: 66142
Código da Carga: 000.664.580.006.134.900.062.755
Data da Carga: 25/09/2006 16:20:25 Código do FC: 30833A79
Cargo: Deputado Federal
Candidato/Legenda Quantidade de votos
2269 - CAIADO ROSENATO ERALDO KENNEDY 70
2270 - STELA LULA KENNEDY MODESTO 46
2271 - NILDO ARTUR LOPES ADROALDO 23
2299 - PERPETUO FARIAS MORIZ 1
2300 - RITA PICARELLI KENNEDY MODESTO 9
Votos válidos : 149
Votos em branco : 12
Votos nulos : 4
Votos anulados e apurados em separado : 0
![Page 22: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/22.jpg)
Gravação do Pen Drive
• Emitido o boletim de urna, o sistema grava os dados contidos nos cartões de memória (flash card) em um pen drive.
![Page 23: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/23.jpg)
Arquivos do Pen Drive
![Page 24: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/24.jpg)
Diferença entre BU e RDV
Deputado Federal
Deputado Estadual
Senador Governador Presidente
9111 91111 911 91 91
9112 92112 921 92 92
9411 94111 BRANCO BRANCO BRANCO
9212 92112 921 94 94
9111 93111 NULO 91 BRANCO
Deputado Federal
9111 = 2
9112 = 1
9113 = 1
9212 = 1
9411 = 1
Brancos =0
Nulos=0
Deputado Estadual
91111 = 1
91112 = 2
93111 = 1
94111 = 1
Brancos =0
Nulos=0
Senador
911 = 1
921 = 2
931 = 0
Brancos =1
Nulos=1
Governador
91 = 2
92 = 1
94 = 1
Brancos =1
Nulos=0
Presidente
91 = 1
92 = 1
93 = 0
Brancos =2
Nulos=0
Boletim de Urna
Registro Digital do Voto
![Page 25: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/25.jpg)
Envio dos Dados
• Cada pen drive contendo o resultado de uma seção eleitoral é transportado, em envelope lacrado, com a documentação da seção, para o local de transmissão.
• O pen drive é lido por programa específico da Justiça Eleitoral, que transmite os arquivos em rede “segura” para os TRE e para o TSE, para fins de totalização estadual e nacional e posterior divulgação.
![Page 26: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/26.jpg)
Visão Geral do Processo Eleitoral
Retirada do Pen Drive
Transmissão do BU
Totalização dos BU no TRE
Divulgação dos resultados na INTERNET
Consolidação nacional dos resultados no TSE
Comunicação dos Dados
Seção Eleitoral
Impressão do BU
BU ASDJFHSDJFS
SADFJSJD LJ
DFJSDFJS SD
SKDFJSF HD
FJGDFJ KJ
JDKLSDS IT
HFFGHDD LI
DSHSDH RE
SKDFJSF HD
FJGDFJ KJ
JDKLSDS
Votação
![Page 27: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/27.jpg)
Segurança da Urna Eletrônica
![Page 28: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/28.jpg)
Mecanismos de Segurança da Urna Eletrônica
![Page 29: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/29.jpg)
Objetivos da Votação Eletrônica: Garantir
• Apuração exata
• Confidencialidade do voto
• Impossibilidade de venda de voto
• Auditabilidade do eleitor
![Page 30: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/30.jpg)
Propriedades de Segurança da Votação Eletrônica
As duas principais propriedades de segurança da votação referem-se ao anonimato e à destinação dos votos:
• Sigilo: votos devem ser secretos, de modo a prevenir sua venda e defender eleitores de coação por qualquer parte interessada;
• Integridade:
• votos devem refletir intenção dos eleitores individualmente
• sua apuração e totalização deve transferir a intenção coletiva dos eleitores para o resultado.
• Qualquer tentativa de violar a integridade de uma eleição deve ser detectável e corretamente atribuída.
![Page 31: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/31.jpg)
Diferença entre as gerações de
voting machines
![Page 32: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/32.jpg)
Os equipamentos de votação são classificados em diferentes modelos, organizados em níveis crescentes de transparência e decrescentes de dependência de software:
• 1ª Geração: Armazenamento eletrônico direto (DRE – Direct Recoding Electronic): os votos são armazenados e contabilizados de maneira puramente eletrônica, impedindo assim qualquer possibilidade de recontagem ou de verificação independente dos resultados, pois a adulteração não detectada do software causa distorções indetectáveis nos resultados.
Diferença entre as gerações de voting machines
![Page 33: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/33.jpg)
• 2ª Geração: Voto impresso conferível pelo eleitor (VVPT – Voter Verified Paper Trail): os votos são impressos para verificação independente pelo eleitor e apuração posterior, sem no entanto funcionarem como comprovantes de suas escolhas.
Diferença entre as gerações de voting machines
Urna, com VVPT, usada no México desde 2012
![Page 34: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/34.jpg)
• 3ª Geração: Verificabilidade fim-a-fim (E2E – End-to-end Verifiability): os eleitores podem verificar que seus votos foram registrados e contabilizados corretamente e que todos os votos foram incluídos no resultado final.
• Principal característica: independência do software e a grande facilidade de auditoria independente, de ponta a ponta, no processamento. digital do voto.
Diferença entre as gerações de voting machines
Maquina VotAR, com BVE, usada na Argentina desde
2010 e testada no Equador em 2014
![Page 35: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/35.jpg)
35
Urna Eletrônica Brasileira: Mudança Radical no Modelo Aceito
A absoluta dependência da confiabilidade do software nos modelos DRE
encontrou muita resistência e a partir de 2004, na Venezuela, começou o fim do
ciclo de vida desse modelo, que passou a ser substituído por outros modelos
independentes do software.
Entre 2006 e 2012, a Holanda, a Alemanha, os EUA, o Canadá, a Rússia, a
Bélgica, a Argentina, o México, o Paraguai abandonaram o modelo DRE de 1ª
Geração.
Em 2014, chegou a vez da Índia e do Equador adotarem modelos mais
avançados, de maneira que restou apenas o Brasil ainda usando o modelo DRE
de 1ª Geração em todo o mundo.
![Page 36: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/36.jpg)
O teste aberto de segurança realizado em
2012
![Page 37: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/37.jpg)
Testes Públicos de Segurança
![Page 38: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/38.jpg)
The Noite: Entrevista com vencedor do Teste Aberto
![Page 39: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/39.jpg)
O caso do hacking
adolescente
![Page 40: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/40.jpg)
http://revistagalileu.globo.com/Revista/Common/0,,EMI326470-17770,00-
HACKER+DE+ANOS+REVELA+COMO+FRAUDOU+ELEICOES+NO+RIO+DE+JANEIRO.html
![Page 41: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/41.jpg)
A urna atual está obsoleta? Ela é insegura?
![Page 42: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/42.jpg)
• Resultado do teste de 2012 apresentou conjunto de vulnerabilidades no software da urna eletrônica que permitiu a recuperação eficiente, exata e sem deixar vestígios dos votos em ordem registrados eletronicamente.
• Derrotou o único mecanismo de proteção do sigilo do voto utilizado pelo software de votação.
• A necessidade de se instalar recursos para avaliação científica, independente e contínua do software torna-se evidente.
• Há ampla disponibilidade de especialistas na academia e indústria, capazes de contribuir na direção do incremento real das propriedades de segurança na solução adotada para votação eletrônica no país.
A urna atual está obsoleta? Ela é insegura?
![Page 43: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/43.jpg)
• Proteção inadequada ao sigilo do voto Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a possibilidade real de verificação independente de resultados, como o voto impresso verificável pelo eleitor.
• Fonte inadequada de entropia (informação imprevisível) O software da urna eletrônica brasileira utilizava apenas a medida
do tempo em resolução de segundos como fonte de entropia, mesmo tendo disponíveis fontes de melhor qualidade em hardware. Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se utilizar um gerador em hardware baseado em efeito físico bem estudado.
Fragilidades e Recomendações
![Page 44: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/44.jpg)
• Proteção inadequada ao sigilo do voto Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a possibilidade real de verificação independente de resultados, como o voto impresso verificável pelo eleitor.
• Fonte inadequada de entropia (informação imprevisível) O software da urna eletrônica brasileira utilizava apenas a medida
do tempo em resolução de segundos como fonte de entropia, mesmo tendo disponíveis fontes de melhor qualidade em hardware. Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se utilizar um gerador em hardware baseado em efeito físico bem estudado.
Fragilidades e Recomendações
![Page 45: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/45.jpg)
• Verificação insuficiente de integridade Recomendação. Transferir a pressão da verificação de integridade do software para a verificação independente dos resultados produzidos pelo software.
• Compartilhamento de chaves criptográficas Recomendação. Atribuir uma chave criptográfica distinta para cada equipamento, ou pelo menos, para cada cartão de memória utilizado para inseminar um conjunto reduzido de urnas eletrônicas.
• Presença de chaves no código-fonte O compartilhamento da chave de cifração das mídias é agravado pela sua presença às claras no código-fonte do software. Recomendação. Armazenar a chave de cifração no módulo de segurança em hardware ou, preferivelmente, em dispositivo criptográfico seguro externo ao ambiente da urna eletrônica.
Fragilidades e Recomendações
![Page 46: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/46.jpg)
• Escolha inadequada de algoritmos software da urna eletrônica também utiliza função de resumo criptográfico para fins de assinatura digital e verificação de integridade com uso não recomendado desde 2006. Recomendação. Utilizar um gerador de números pseudoaleatórios de
qualidade criptográfica, e uma função de resumo criptográfico padronizada e segura.
• Além do software, no processo de desenvolvimento: Complexidade acentuada, Auditoria externa insuficiente. A segurança e corretude dos programas usados na urna baseia-se em confiar na boa fé dos técnicos do TSE. Não há razão para duvidar disto, mas isto fere as boas práticas de segurança.
• Formulação equivocada de modelo de atacante O projeto de mecanismos de segurança utilizado preocupa-se exageradamente com atacantes externos e ignora o risco de atacantes internos. Recomendação. Adotar mecanismos de segurança que resistam a agentes externos e, particularmente, a agentes internos que os conhecem em seus mínimos detalhes.
• Ausência de exercícios internos e • falta de treinamento formal
Fragilidades e Recomendações
![Page 47: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/47.jpg)
• Esse conjunto de fragilidades e vulnerabilidades fornece evidências materiais para preocupações.
• Pode-se concluir que não houve incremento significativo nas propriedades de segurança fornecidas pelo software da urna eletrônica nos últimos 10 anos.
• Continuam preocupantes:
• a proteção inadequada do sigilo do voto
• a impossibilidade prática de auditoria completa ou minimamente eficaz do software
• a verificação insuficiente ou inócua de integridade do software de votação.
A urna atual está obsoleta? Ela é insegura?
![Page 48: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/48.jpg)
• Como estas três propriedades são atualmente críticas para garantir o anonimato e destinação correta dos votos computados, defendemos a reintrodução do voto impresso (2ª ou 3ª Geração) como mecanismo simples de verificação de integridade dos resultados de eleições.
• O voto impresso distribui a auditoria do software entre todos os eleitores, que se tornam responsáveis por conferir que seus votos foram registrados corretamente pela urna eletrônica, desde que apuração posterior seja realizada para verificar que a contagem dos votos impressos corresponde à totalização eletrônica parcial.
A urna atual está obsoleta? Ela é insegura?
![Page 49: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/49.jpg)
• Essa apuração pode ser realizada por amostragem, de forma a não haver impacto significativo na latência para divulgação dos resultados.
• Vale ressaltar que o voto impresso é para fins de conferência apenas no interior da seção eleitoral, e não pode servir de comprovante no ambiente externo à seção eleitoral, como determinava a legislação a respeito (LEI Nº 12.034, DE 29 DE SETEMBRO DE 2009).
• A proposta de voto impresso retornaria para o sistema brasileiro de votação nas eleições de 2014, mas infelizmente foi declarada inconstitucional sob alegações tecnicamente questionáveis.
A urna atual está obsoleta? Ela é insegura?
![Page 50: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/50.jpg)
• Um movimento nesta direção acompanharia a tendência mundial vigente em sistemas de votação eletrônica.
• Com a adoção do voto impresso pela Índia, o Brasil permanece como o único país no mundo a adotar sistema de votação sem verificação independente de resultados.
• Acreditamos que por esse motivo, e dadas as fragilidades, o software utilizado no sistema de votação eletrônica brasileiro não satisfaz requisitos mínimos e plausíveis de segurança e transparência.
A urna atual está obsoleta? Ela é insegura?
![Page 51: Segurança da Votação Eletrônica Brasileira - Uma Análise Crítica - Paulo Pagliusi](https://reader031.vdocuments.pub/reader031/viewer/2022013115/55c4a4f5bb61ebe80a8b45cd/html5/thumbnails/51.jpg)
51
Paulo Pagliusi
CMG (RM1-IM), Ph.D., CISM
CEO MPSafe CyberSecurity Awareness
Vice-Presidente CSABR | Diretor ISACA-RJ
www.mpsafe.com.br
Twitter: @ppagliusi
www.cyber-manifesto.org
MUITO OBRIGADO!
BONS VENTOS!