sistema de votação electrónica: reflexão sobre os...

Seminário: “E-Voto – Uma Nova Arquitectura para Lidar com o Risco em Sistemas de E-Voto”

INESC/IST, Lisboa, 2006/03/29 1

Projecto e_Voto

E_VOTO(projecto FCT POSC/EIA/57038/2004)

consórcio UL-FCT; ADETTI, INESC-ID, IST

Sistema de votação electrónica: reflexão sobre os requisitos

baseada no exemplo Brasileiro2006 Março

J. Ferreira Dias

Carlos SerrãoCarlos Costa



Projecto e_Voto

Caracterização

• Quanto ao tipo: • Público ou privado

• Onde votar?• na circunscrição (p.ex. pelo local de residência do eleitor)• “de qualquer lugar”

• Local de voto• num local oficial• num local remoto: por correspondência; por meios electrónicos

• Forma de autenticação• presencial; electrónica (chaves, biométrica, etc)

• Tipo de equipamento de votação • manual• máquina não electrónica (ex.cartão perfurado)• Computador: offline (sem ou com emissão de papel); online em rede fechada ou aberta

• Suporte do boletim• papel; digital; digital e papel

• Forma de contagem• Manual; electrónica; manual e electrónica



Projecto e_Voto

Principios de ordem politicaRequisitos do sufrágio

• Princípios da universalidade e da igualdade legal• os cidadãos têm a mesma dignidade social e são iguais perante a lei (CRP art 13)• o processo não deve condicionar a participação dos eleitores• ao eleitor deve ter sido reconhecida a sua capacidade eleitoral activa

• Princípios da pessoalidade e presencialidade (autenticidade)• o direito de sufrágio é exercido pessoal e presencialmente (com excepções previstas na lei)

• Princípio da unicidade• para cada eleição, o votante só pode exercer uma vez o direito de votar

• Princípio da liberdade• o votante não deve ser constrangido no acto de votação

• Princípio do sigilo (segredo do voto)• o voto individual não deve poder ser conhecido • ninguém pode ser obrigado a revelar o sentido de voto; ninguém o pode fazer até 25m da

assembleia

• Princípio da inviolabilidade• O voto expresso não pode ser alterado

• Princípio da confiança e da verificação • o voto válido e só este deve ser contado• a recontagem dos votos deve ser possível



Projecto e_Voto

Principios Legais: Capacidade eleitoral

• Todos os cidadãos têm a mesma dignidade social e são iguais perante a lei (CRP, art 13)

• “O recenseamento eleitoral é oficioso, obrigatório, permanente e único ...”(L 13/99 de 22/3) e abrange os cidadãos portugueses maiores de 18 anos.

• São eleitores:• do Presidente da República os cidadãos portugueses, ainda que plurinacionais, recenseados no

território nacional ou no estrangeiro, e os cidadãos brasileiros, residentes em Portugal, que beneficiem do estatuto de igualdade de direitos políticos (CRP, art 121 e segs)

• da Assembleia da República os cidadãos portugueses, ainda que plurinacionais, recenseados no território nacional ou no estrangeiro, e os cidadãos brasileiros, residentes em Portugal, que beneficiem do estatuto de igualdade de direitos políticos (CRP, art 160 e segs)

• da Ass. Legislativas Regionais dos Açores e da Madeira os cidadãos portugueses, ainda que plurinacionais, e os cidadãos brasileiros, que beneficiem do estatuto de igualdade de direitos políticos, desde que recenseados no território regional (CRP, art 231 e segs)

• das Autarquias Locais os cidadãos portugueses, ainda que plurinacionais, os cidadãos de outros Estados da UE, os cidadãos brasileiros com estatuto de igualdade de direitos políticos, os cidadãos de outros Estados quando em condições de reciprocidade, os cidadãos estrangeiros com residência legal em Portugal há mais de 3 anos (2 no caso dos PALOP), desde que recenseados no território local (CRP, art 239 e segs)

• do Parlamento Europeu os cidadãos portugueses, ainda que plurinacionais, os cidadãos de outros Estados da UE (os cidadãos brasileiros com estatuto de igualdade de direitos políticos?), desde que recenseados em Portugal

• dos Referendos Nacionais os cidadãos portugueses, ainda que plurinacionais, recenseados no território nacional (ou no estrangeiro, dependendo das matérias), e os cidadãos brasileiros, residentes em Portugal, que beneficiem do estatuto de igualdade de direitos políticos



Projecto e_Voto

Principios Legais: Incapacidade eleitoral

• Não são eleitores, os cidadãos recenseados:• interditos por sentença com trânsito em julgado• os notoriamente reconhecidos como dementes, ainda que não estejam interditos por sentença,

quando internados em estabelecimento psiquiátrico ou como tais declarados por uma junta de dois médicos

• os que estejam privados de direitos políticos, por decisão judicial transitada em julgado• outros casos previstos na lei



Projecto e_Voto

Principios Legais: excepções

• À universalidade• Não são eleitores, os cidadãos recenseados:

• interditos por sentença com trânsito em julgado• os notoriamente reconhecidos como dementes, ainda que não estejam interditos por

sentença, quando internados em estabelecimento psiquiátrico ou como tais declarados poruma junta de dois médicos

• outros casos previstos na lei

• Ao sigilo (e à pessoalidade)• O eleitor afectado por doença ou deficiência física notórias que a mesa verifique não poder

praticar os actos descritos no artigo anterior vota acompanhado de outro eleitor por si escolhido, que garanta a fidelidade de expressão do seu voto e que fica obrigado a sigilo absoluto.

• Se a mesa deliberar que não se verifica a notoriedade da doença ou deficiência física exige que lhe seja apresentado no acto de votação atestado comprovativo da impossibilidade da prática dos actos referidos no número anterior, emitido pelo médico que exerça poderes de autoridade sanitária na área do município e autenticado com o selo do respectivo serviço (art 116 da Lei Orgânica nº 1/2001 de 14/8)

• À presencialidade• Voto por correspondência

• Para os eleitores recenseados nos círculos eleitorais dos residentes no estrangeiro. • Para cada um deles o STAPE/MAI remete por via registada a correspondência eleitoral, nela

se incluindo o boletim de voto e dois sobrescritos: um já endereçado e franqueado que na devolução deverá conter a cópia do cartão do eleitor e o outro sobrescrito com o boletim de voto (vide DL nº 95-C/76, de 30/1).



Projecto e_Voto

Fases do processo eleitoral(I)

• Pré-eleição• Aprovação, regulamentação e divulgação do processo eleitoral • Organização e Direcção do Processo cabe ao STAPE (Lei 15-A/98 de ¾)• Recenseamento eleitoral• Apresentação/desistência das candidaturas e sorteio da sequência nos boletins• (Campanha eleitoral)

• Votação• Autenticação do votante como leitor autorizado• Voto antecipado por impedimento de deslocação à Assembleia de Voto no dia

da eleição • militares, agentes de forças e serviços de segurança interna;

• membros integrantes de delegações oficiais do Estado ou de selecções nacionais desportivas em competição federada;

• trabalhadores dos sectores de transporte

• doentes e presos internados em estabelcimentos hospitalares ou prisionais

• estudantes do ensino superior recenseados numa região distinta do seu local de ensino

• Voto



Projecto e_Voto

Fases do processo eleitoral (II)

• Escutínio• Escrutínio provisório

• Apuramento dos votos• Contagem

• Encerramento (assinatura da acta)

• Divulgação local por edital• Envio dos resultados à Autoridade Eleitoral

• Agregação dos resultados• Divulgação

“os presidentes das mesas das assembleias de voto, devem comunicá-los (os resultados) com a máxima celeridade, à junta de freguesia ou à entidade para esse efeito designada pelo governador civil ou pelo ministro da República... (essa) entidade ... apura os resultados das eleições na freguesia, comunicando-os imediatamente ao governador civil ou ao ministro da República... (que os) transmite de imediato ao STAPE. (Desp Normativo 70/98, de 9/10)”

• Escrutínio definitivo• Verificação da correcção do processo• Recontagem (se necessário)• Nova eleição (se necessário)• Divulgação



Projecto e_Voto

Legislação Portuguesa

• Recenseamento eleitoral - Lei nº 13/99, de 22/3 [com a alteração introduzida pela Lei nº 3/2002, de 8-Janeiro]

• Presidente da República - Decreto-Lei nº 319-A/76, de 3 de Maio (Lei Eleitoral da Eleição do Presidente da República)

• Assembleia da República - Lei nº 14/79, de 16/5 (Lei Eleitoral para a Assembleia da República)

• Autarquias Locais - Lei Orgânica nº 1/2001, de 14/8 (Lei Eleitoral para as Autarquias Locais)

• Parlamento Europeu - Lei nº 14/87, de 29/4 (Lei Eleitoral para o Parlamento Europeu)

• Assembleias Legislativas Regionais –• Decreto nº 318-E/76, de 30/4 (Lei Eleitoral para a Assembleia Regional da Madeira): • Decreto-Lei nº 267/80, de 8/8 (Lei Eleitoral para a Assembleia Regional dos Açores),

• Referendo Nacional - Lei nº 15-A/98, de 3 de Abril (Lei Orgânica do Regime do Referendo)

• Referendo Local - Lei nº 4/2000, de 24/8 (aprova o Regime Jurídico do Referendo Local)



Projecto e_Voto

Eleições por via electrónicasatisfação de requisitos

• Para um sistema seguro e confiável• Garantia dos princípios legais

• Autenticação do eleitor, liberdade de votação, sigilo do voto, etc

• Transparência• Aceitação do processo pelos participantes

• Inviolabilidade• Dectabilidade de (tentativa de) violação• Rastreabilidade do processo (ex.log de eventos)

• Robustez a falhas• Redundância

• Recuperabilidade

• Eficiência



Projecto e_Voto

Eleições por via electrónica reflexões

• Interesse• Incentivar a participação (legitimidade democrática dos eleitos)• Facilitar a votação• Melhorar a segurança do sistema quanto a fraudes e influencias• Acelerar o processo de contagem e de divulgação• Reduzir custos

• Dificuldades• Conjugar o princípio da autenticidade com o do sigilo• Conjugar o princípio do sigilo com o da verificação/recurso• Garantia absoluta de inviolabilidade• Garantia técnica de não falha do sistema electrónico



Projecto e_Voto

Comparação dos tipos de votação

S*, dos acessos e contagem

S*, se

sistema

S*, se sistema seguro

NNSS*,DigitalSEleições electrónicas

on-line

S, dos acessos e contagem

S, se dados protegidos

S, se votação anónima

SSSS, presencial

SVotação electrónica

S*, da contagemS*, se circuito seguro

S*, se circuito seguro

NNSN*, presumida

SV. por correspondência

S, da contagemSSSSSS, presencial

SV.Presencial

Igu

ald

ad

e

Au

ten

tica

ção

Un

icid

ad

e

Lib

erd

ad

e

Pri

va

cid

ad

e

Invio

lab

ilid

ad

e

do

voto

ex

pre

sso

Sig

ilo

Au

dit

ab

ilid

ad

e



Projecto e_Voto

Votação on-line: técnicas

XXCifragem dos dados e das comunicações

XXXSeparação das BD de identificação e votos

XXXAssinaturas digitais

XXXX Senhas e biometria

XXXXXQuiosques oficiais

Nã

o d

iscr

imin

açã

o

Au

ten

tica

ção

Un

icid

ad

e

Lib

erd

ad

e

Pri

va

cid

ad

e

Invio

lab

ilid

ad

e

do

voto

ex

pre

sso

Sig

ilo

Au

dit

ab

ilid

ad

e



Projecto e_Voto

Exemplo

Sistema de votação electrónica no Brasil



Projecto e_Voto

Brasil: sistema informático

• Introdução• Iniciou-se em 1996 e cobriu todo o Brasil em 2000• Mais de 3500 urnas eleitorais

• Rede eleitoral• A votação faz-se nas urnas informáticas instaladas nas secções eleitorais• O aplicativo da urna regista a identidade do votante e a votação mas não os

relaciona (não há registo e há reutilização da área RAM)• Os dados da votação na urna são listados e registados sob cifra em diskettes• As disketes são lidas no Transportador (no local da secção), que transmite os

dados para os Totalizadores• Os Totalizadores (nos TRE e TSE) verificam a consistência dos dados e

procedem à sua agregação e divulgação. • A rede do TSE é uma rede WAN da Embratel. Durante o período de votação está

fisicamente isolada, sem conexão com a Internet, e sob intensa fiscalização .



Projecto e_Voto

Brasil: sistema informático

• Construção do software• Concurso único para desenvolvimento de software e contratação de serviços técnicos para sua instalação nas urnas • As especificações seguem o núcleo criado em 1996 e que vem sendo aperfeiçoado• O desenvolvimento é acompanhado pelo TSE (no fim faz-se nas suas instalações), que tem de aprovar a versão provisória• O código fonte desse aplicativo é apresentado aos partidos para avaliação e aprovação• Após aprovação do código fonte, o código objecto é gerado no TSE, com incorporação de rotinas adicionais,• O código objecto é cifrado no TSE, com os algoritmos MD5 e ASSINA (da Microbase) em máquina segura do TSE• O código fonte e o código objecto são gravados em CD, lacrados e assinados por todos os participantes (TSE e partidos)

• Distribuição do software • O código objecto é distribuído aos Tribunais Regionais Eleitorais Estaduais (TRE) • Nos TRE o sub-aplicativo “gerador de Mídia” agrega nos flash cards o código objecto e os ficheiros de dados da urna

electrónica• O flash card é utilizado para a “inseminação” da urna electrónica

• Segurança informática• Após a “inseminação”, as urnas recebem lacre físico em todos os dispositivos e portas de acesso• Se houver qualquer alteração na assinatura digital do código objecto do aplicativo a urna deixa de funcionar• A manutenção da urna, após a sua inseminação, requer a presença do juiz eleitoral e dos fiscais dos partidos políticos• OS TRE e as JE credenciam as pessoas que irão operar os sistemas, que receberão do TSE chaves de acesso, pessoais e

intransferíveis• O interface operador-máqina nos transportadores (nas secções eleitorais), TRE e TSE faz-se sempre através do sub-sistema de

instalação e segurança (SIS). O SIS é um software, desenvolvido pela Módulo, que interage com o sistema operacional e permite uniformizar, assistir e controlar os acessos ao sistema, a instalação dos aplicativos e dados, etc

• Durante a eleição a rede do TSE é fisicamente isolada (não há conexão com a Internet.

• Auditoria• Os partidos podem comparar a totalização do TRE fazendo a somatória dos votos das secções• O sistema informático tem mecanismos de segurança que relacionam os intervenientes com as operações realizadas• Em cada TRE procede-se a uma votação paralela (ver slide específico)



Projecto e_Voto

Brasil: urna electrónicaHardware e Software

• A urna electrónica (conjunto) compreende:• terminal do eleitor (urna propriamente dita)

• micro-terminal para uso da mesa

• (mais dois terminais de leitor apenas com as funções de teclado e tela).

• A urna (terminal do eleitor) compreende• um visor e um teclado similar ao do telefone

• uma impressora

• um gravador de diskette, um flash card externo e um flash card interno

• conectores USB e outros.

• Arquitectura similar à dum PC, mas:• Sem disco rigido

• Com uma extensão da BIOS com funções de segurança.

• O sistema operativo multithreaded é o VirtuOS.

• Todas as urnas executam o mesmo aplicativo de votação.

1 ) presidente2 ) 1 º secretário3 ) 1 º m esário4 ) 2 º m esário5 ) 2 º secretário6 ) suplente7 ) urna e cabina8 ) urna de lona9 ) cabina p/ cédula



Projecto e_Voto

Brasil: urna electrónicaProcedimento de votação

• Para votar, marque o número do candidato preferido. • Na tela, aparecerão a foto, o número, nome e sigla do partido

do candidato.

• Se concordar, aperte a tecla verde CONFIRMA. • A cada voto confirmado, a urna emitirá um rápido sinal sonoro.

• Após o registro do último voto (na sequência eleitoral), a urna emitirá um sinal sonoro intenso e prolongado e aparecerá na tela a palavra FIM.

• Se quiser corrigir, aperte a tecla vermelha CORRIGE e repita o procedimento anterior.

• Para votar em branco, aperte a tecla BRANCO e em seguida aperte a tecla verde CONFIRMA.

• Para votar nulo, marque um número inexistente e depois tecle CONFIRMA.

• Uma vez terminada a votação a urna bloqueia. A mesa desbloqueia-a ao inserir a identificação de novo eleitor no micro-terminal.



Projecto e_Voto

Brasil: urna electrónicaProcedimentos

• Início da votação• Todas as urnas executam o mesmo aplicativo de votação enviado pelo TSE • Os ficheiros específicos duma secção eleitoral são:

• Designação administrativa da zona geográfico-eleitoral

• Tabelas de partidos e candidatos, incluindo fotos e siglas, e de eleitores

• A urna está offline, só ligada à electricidade, e todas as entradas e saídas estão lacradas• Impressão da zerésima (tabela de contagem a 9’s).

• Durante a votação• A autorização para os eleitores votarem faz-se por identificação fisica face à lista dos eleitores.• Uma vez autorizado:

• o eleitor assina ou imprime a sua impressão digital na folha de votação

• O eleitor vota (vide slide específico)

• A urna bloqueia-se após cada voto; o desbloqueamento é feito pela introdução do código de novo leitor

• Encerramento da votação• Impressão da tabela de contagem (BU-Boletins de Urna)• Destruição do lacre no leitor de diskettes (todos os outros devem permanecer até trânsito em julgado da eleição)• Encriptação e gravação em diskettes das tabelas, eleitores, logs de eventos para o transportador enviar ao TRE• Reposição de lacre no leitor de diskettes

• Em caso de avaria no dia da votação• Utilizar-se-á uma urna sobressalente com transferência, fiscalizada pela mesa, da diskette e do cartão de memória • Se avaria das urnas sobressalentes, a votação far-se-á pelo sistema tradicional de papel e urna (urna de lona)

• Em caso de 2. volta ou repetição• Não há nova inseminação mas apenas actualização das tabelas via diskette, com reposição de lacre.



Projecto e_Voto

Brasil: Transportador

• O transportador é o aplicativo necessário para:

• Leitura, cópia e cifragem dos dados das diskettes das urnas

• envio cifrado dos dados para o totalizador (no TRE/TSE) por rede privada

• O transportador está instalado num computador PC

• localizado no edifício da secção eleitoral

• à guarda dum juiz eleitoral

• com uma plataforma clássica (tipo Windows NT) e aplicativo específico



Projecto e_Voto

Brasil: Totalizador

• O totalizador é o aplicativo necessário para:

• recepção e decifragem dos dados enviados pelos transportadores

• verificação da consistência e autenticidade desses dados

• agregação e registo numa base de dados

• divulgação dos resultados

• nos TRE, os dados do Estado são cifrados e enviados para o totalizador do TSE, utilizando uma rede privada

• O transportador está instalado num computador departamental/mainframe

• localizado no TRE ou no TSE

• à guarda dum juiz eleitoral

• com uma plataforma clássica e aplicativo específico



Projecto e_Voto

Brasil: votação paralela

• Em cada Tribunal do Estado procede-se a uma votação paralela:

• No dia anterior ao da votação:• o TRE do Estado com a presença dos partidos selecciona

aleatoriamente e recolhe 2 urnas (que são substituídas)

• no TRE do Estado e com a presença dos partidos procede-se a uma votação simulada de 500 boletins que ficam lacrados numa urna simples (urna de lona)

• No dia da votação, a urna de lona é aberta e os votos são introduzidos nas 2 urnas electrónicas. Os resultados devem ser iguais entre si e à da urna de lona.



Projecto e_Voto

Brasil: principais recomendações da UNICAMP

• Recomendações

• Desenvolvimento dos aplicativos de votação baseados em blocos estáveis e permanentes• Formalização do ciclo de desenvolvimento de software• Avaliação do código-fonte (também) por especialistas independentes do TSE• Compilação e determinação de resumos criptográficos em sessão pública• Verificação pelos Partidos dos resumos criptográficos instalados nas urnas inseminadas• Revisão do procedimento de preparação da urna para a 2. volta• Impressão do BU antes da cifragem e gravação dos resultados em diskette• Substituição da cifragem dos BU por assinaturas digitais

• Conclusão resumo• O sistema é robusto, seguro e confiável



Projecto e_Voto

Brasil: referências

• LEI 9.504/1997 de 30/9 (actualizada em 07/02/2002) - Estabelece normas para as eleições.

• RES 22.039/2005 de 4/8 - Sobre a fiscalização, auditoria, assinatura digital e lacração dos programas-fonte e programas-executáveis (disposição para o referendo de 23 de Outubro de 2005)

• RES 22.037/2005 de 4/8 - Sobre os modelos e o uso dos lacres para urnas, etiquetas de segurança e envelopes com lacres de segurança (disposição para o referendo de 23 de Outubro de 2005)

• “Avaliação do sistema informatizado de eleições”. UNICAMP. 2002

sistema de votação electrónica: reflexão sobre os...

Documents