Entendendo o voto impresso, para quem odeia o Bolsonaro

Meu objetivo com este texto é explicar (em particular, para pessoas de esquerda ou quem mais odiar o Bolsonaro) por que o “voto impresso” é sim importante, e deveria ser adotado nas eleições brasileiras.

Antes tudo, é importante ressaltar: sou de esquerda e considero Bolsonaro um verme genocida de merda. Não sou um bolsominion surtado que duvida da urna por causa de um vídeo da Bia Kicis.

O Bolsonaro não quer o voto impresso por estar preocupado com a segurança das eleições, e sim por saber que ele não vai ser adotado, e dessa forma vai ter uma desculpa caso perca as próximas eleições. (“Perdi por que teve fraude nas urnas!”)

Essa não é uma observação isolada minha:

(A Sabrina não necessariamente endossa esse meu post. Mas torço para que ela leia!)

Mas, por mais torta a motivação, ele está certo nesse ponto em particular, por mais difícil que seja admitir. Vou explicar o porquê, seguindo um roteiro de questionamentos que encontro sempre que tento convencer disso alguém na internet.

1. Voto impresso? Você não sabe o que é voto de cabresto? É tudo o que as milícias querem!

Eu sei o que é voto de cabresto. É quando um eleitor é coagido a votar num “coronel” sob ameaça (no cenário atual, provavelmente um miliciano ou pastor). Também é possível existir compra de votos, onde o político paga pro eleitor votar nele.

Compra de votos e voto de cabresto se tornam problemas muito mais graves se o eleitor tiver como provar em quem votou (para mostrar pro miliciano que votou em quem o miliciano pediu).

E parece óbvio que o miliciano vai exigir que o eleitor traga até ele o voto impresso, não é?

Aí é que está o primeiro ponto importante:

O comprovante também não tem nenhuma identificação do eleitor que votou.

(Note que a compra de votos e o voto de cabresto também podem existir mesmo se não houver forma de comprovar votos. O miliciano pode mentir e dizer que tem como saber em quem a pessoa votou, por exemplo. Ou o eleitor pode simplesmente decidir honrar o compromisso ao vender o voto. Mas esse é um problema que existe tanto no modelo atual da urna quanto no modelo proposto de voto impresso, e a forma de combatê-lo é educando a população e oferecendo garantias que o voto é realmente secreto.)

2. OK. Como funciona o voto impresso, então?

Estou me baseando em uma proposta do próprio TSE.

Urna eletrônica com impressora de comprovante de voto acoplada. Sim, ela já foi usada em 2002!
  1. O eleitor vota na urna eletrônica, como é atualmente.
  2. O comprovante é impresso, e exibido atrás de um acrílico.
  3. O eleitor confere se o voto está correto. Se estiver, aperta Confirma. (Se não, aperta Corrige).
  4. O rodapé do comprovante é impresso constando se o eleitor aceitou ou recusou, e a assinatura digital do comprovante.
  5. O comprovante é cortado automaticamente e depositado em uma urna de lona automaticamente.
  6. (Caso o eleitor tenha apertado Corrige, ele repete o processo.)
  7. No final do dia, a urna é lacrada sob supervisão de mesários e fiscais de partido, e transportada para os TREs.
  8. Após a totalização e divulgação do resultado das eleições (isso não muda! A totalização é eletrônica e continuará sendo feita em algumas horas!), se algum candidato quiser solicitar auditoria dos votos, ela poderá ser feita (naturalmente podem existir critérios específicos para realmente permitir a auditoria)
  9. Para fazer a auditoria, algumas urnas são escolhidas aleatoriamente, e seus votos impressos são totalizados e comparados com os votos calculados pela urna (que constam no boletim de urna, emitido no final do dia de votação, como já é feito atualmente). Caso os números sejam iguais, temos indício de que não houve fraude nas eleições.

(Não necessariamente é preciso contar todos os votos da urna, talvez só uma amostragem. Existe toda uma teoria estatística para calcular quantas urnas e quantos votos precisam ser recontados para ter um certo grau de certeza; isso é conhecido como “risk-limiting audits”)

3. Mas não é isso que Bolsonaro está propondo! Ele quer a volta voto em cédula!

Não é verdade. Leia a proposta do voto impresso da Bia Kicis (🤮) que ele apoia:

Acrescenta o § 12 ao art. 14, da Constituição Federal, dispondo que, na votação e apuração de eleições, plebiscitos e referendos, seja obrigatória a expedição de cédulas físicas, conferíveis pelo eleitor, a serem depositadas em urnas indevassáveis, para fins de auditoria.

Aqui Carluxo lacrando em cima da ignorância da esquerda sobre o tema, confirmando que querem exatamente o que descrevi acima.

(Note que esta proposta em particular é bem ruinzinha, e pior que propostas anteriores. Ela só fala que vai ter voto impresso, e não diz absolutamente nada sobre como deve ser feita a auditoria. Meu objetivo aqui é defender o voto impresso, e não essa proposta em particular.)

4. Mas papel é fácil de fraudar!

É verdade que papel é fácil de fraudar. Por isso saímos da votação puramente em papel.

Para fraudar os comprovantes, seria necessário quebrar o lacre da urna de lona com os votos impressos para adicionar ou remover votos impressos, fazendo com que a auditoria, caso aconteça naquela urna, acuse uma fraude. Isso poderia ser usado pelo candidato perdedor para “criar” uma fraude que não existiu e colocar em xeque a integridade das eleições.

Mas a urna de lona é lacrada. Se o lacre for rompido, isso será detectado e aquela urna não poderá ser utilizada para auditoria.

Mesmo se o lacre for burlado, não seria possível adicionar comprovantes pois eles seriam assinados digitalmente pela urna eletrônica. Remoção de comprovantes também seria detectado pois o número de votos não iria bater com o que consta no boletim de urna.

5. O voto de cabresto continua. É só mandar o eleitor tirar uma foto do comprovante!

É verdade, esse risco existe. Tirar foto ou filmar a urna é proibido, todas eleições saem notícias de pessoas fazendo isso (e sendo presas).

Sim, pode passar despercebido, ou os mesários podem ser ameaçados ou comprados. Mas note que o mesmo risco existe na urna atual! O eleitor pode ser coagido a filmar o seu processo de votação.

“Mas fotografar é mais fácil que filmar”. A diferença é ínfima. Mas se prestar atenção na proposta do TSE, com o voto impresso também seria necessário filmar, pois só após a impressão do comprovante que o eleitor decide se aceita o comprovante ou não, imprimindo a decisão no rodapé.

6. O voto impresso é inútil! A eleição já pode ser auditada!

Não, não pode.

As eleições são um processo super complexo, de inúmeras partes. É verdade que várias dessas partes podem ser auditadas. Por exemplo, é muito comum ver pessoas duvidando da totalização de votos. Isso aconteceu na eleição de prefeito em São Paulo em 2020, e na derrota de Aécio em 2014. Mas, surpresa: a totalização pode ser auditada! É só somar os boletins de urna e comparar com o resultado oficial. (De fato, o PSDB fez exatamente isso em 2014, somando uma amostra estatisticamente relevante de boletins de urna.)

O grande problema é: como garantir que a urna registra os votos corretamente?

Por exemplo: é 2022, você chega na urna, e vota Lula para presidente. No final do dia, a urna emite o boletim de urna indicando 60 votos para Bolsonaro e 40 votos para Lula. Como você sabe que isso é verdade? E se foram 60 votos para Lula e 40 para Bolsonaro, mas a urna gravou o oposto e emitiu o boletim de urna com o oposto?

7. As urnas são offline! Não podem ser hackeadas!

É verdade que as urnas são offline. Isso não significa que elas não podem ser hackeadas.

De fato, elas já foram hackeadas — é só ver os resultados do time do Diego Aranha nos testes públicos feitos pelo TSE. As falhas foram mitigadas, mas o que garante que não existem outras falhas? De qualquer forma, isso não é o importante.

Hackear urna por urna seria de fato muito complicado e tomaria muito tempo. Mas e se o software for adulterado antes dele ser gravado nas urnas, antes de ser lacrado?

Essa fraude poderia ocorrer de muitas maneiras. O mais simples seria subornar ou ameaçar um funcionário do TSE que trabalha no código da urna para inserir uma fraude. (Por exemplo, o código poderia ser alterado para mover 5% dos votos de outros candidatos para o Bolsonaro). Esse código seria compilado, salvado em cartões de memória, que seriam inseridos em todas as urnas e todas as urnas teriam o código fraudulento.

8. Mas o código da urna é auditado!

É?

O código da urna pode ser auditado em dois momentos: primeiro, por representantes de partidos, OAB e MP, entre outros. Depois, em testes públicos de segurança organizados de vez em quando pelo TSE.

E se eu te disser que praticamente nenhum partido audita o código?

Sim, praticamente ninguém tem interesse em fazer essa auditoria. (Infelizmente não tenho um link para embasar essa afirmação, mas é algo que se sabe conversando com o pessoal da área. Se duvida, pergunte para seu partido favorito se eles já auditaram o código da urna.)

Quanto aos testes públicos, como reportado pelo Diego Aranha: eles são extremamente limitados. Os pesquisadores têm pouco tempo para analisar milhões de linhas de código, com um conjunto limitado de ferramentas.

De uma forma ou de outra, auditoria de código não é um processo mágico que identifica qualquer fraude. É perfeitamente possível que dezenas de pessoas auditem o código e uma falha passe batido. É só olhar em todo tipo de software que é feito por aí e em quantas falhas passam batidas. Vários satélites e sondas foram destruídos devido a bugs, e engenharia aeroespacial é uma área na qual todo código é revisado criteriosamente.

Também é perfeitamente possível esconder uma brecha atrás de um bug, conhecidos como “bugdoors”. Veja um exemplo aleatório no software Telegram. Dessa forma, há o que se chama “negação plausível”: pode-se inserir uma fraude e, caso o autor dê azar e ela seja descoberta, pode-se dar a desculpa que era apenas um bug. (E fica a pergunta: como sabemos que as falhas que foram identificadas em testes anteriores eram realmente bugs, e não fraudes?)

E… mesmo assumindo que o código não foi alterado, ainda há espaço para fraude:

  1. O código pode ser alterado após a auditoria. Não há nenhum mecanismo que impeça que isso aconteça.
  2. O sistema que compila o código pode estar comprometido. Até onde sei não há nenhuma auditoria no sistema que compila o código. (Se acha que isso é paranoia, saiba que esse tipo de ataque aconteceu recentemente na empresa SolarWinds: um malware alterou um compilador para inserir uma falha no software que era compilado na empresa)

9. Mas cadê as provas do Bolsonaro que houve uma fraude?

Estou esperando também!

De fato não há nenhuma evidência de que tenha acontecido alguma fraude no passado. (Em particular, por que não há como ter evidência, pois não tem como auditar!)

Mas isso não quer dizer que o sistema é seguro e que não precisa ser melhorado.

Considere a seguinte analogia: você instala uma fechadura eletrônica na sua casa e, depois de um tempo, convida um amigo que entende muito de fechaduras para dar uma olhada. Ele bate o olho e te diz que essa fechadura pode ser aberta por alguém que entende do assunto, sem deixar rastros. Aí você responde: “Você tem alguma evidência que alguém já abriu a fechadura e entrou na minha casa? Não, né? Então por que vou trocar a fechadura?”. Esse argumento faz sentido?

10. Mas a votação paralela garante a integridade do software da urna!

Estamos chegando nas partes mais esotéricas da votação 🤣

Atualmente, existe um processo chamado “votação paralela”. O objetivo dela é teoricamente provar que o software da urna funciona corretamente. (Note que a mera existência da votação paralela mostra que o próprio TSE acredita que isso deve ser provado de alguma forma!)

Ela funciona assim:

  1. Logo antes do dia da eleição, algumas poucas urnas (que iam para alguma seção eleitoral) são escolhidas aleatoriamente. Essas urnas são movidas para o local da votação paralela (e a seção eleitoral original recebe uma urna de contingência).
  2. Durante a votação paralela, é feita uma votação “fake” cujo propósito é conferir se a urna realmente está contando os votos corretamente. Para isso, algumas pessoas previamente votam em cédulas nos candidatos que quiserem. Cada célula é lida em voz alta, e um funcionário do TRE se dirige a urna e vota de acordo com a cédula. A votação é filmada e transmitida online.
  3. No final do dia, a urna emite o boletim de urna. (Note que a urna não “sabe” que ela está participando de uma votação paralela! Para a urna, é como se fosse uma votação normal.) Os votos em cédula são somados e confere-se que os resultados são iguais aos do boletim de urna. Dessa forma, prova-se que a urna conta os votos corretamente. (Naquele meu exemplo anterior, se nas cédulas tinham 45 votos pro Bolsonaro e 55 pro Lula, e a urna fraudada deu 55 pra Bolsonaro e 45 pro Lula, isso seria visível.)
Vídeo de treinamento sobre votação paralela. No ponto marcado, é descrito o processo da votação em si.

Agora, é preciso pensar um pouco o que é necessário para que o processo de votação paralela prove alguma coisa. É fundamental que as cédulas tenham votos escolhidos por várias pessoas, “aleatoriamente”. Caso contrário, o software adulterado da urna poderia ter uma lógica do tipo: “Se Bolsonaro receber 13 votos, então desligue a fraude e não dê 5% dos votos dos oponentes para ele”. Aí, alguém participando da fraude poderia garantir que na votação paralela, Bolsonaro receba 13 votos, “desligando” a fraude para aquela urna específica.

E aí que está a grande falha da votação paralela. O processo envolvido é bastante diferente de uma votação normal, e a urna pode detectar isso! Por exemplo, devido à todo rito da votação paralela (pegar uma cédula, anunciar em voz alta, mostrar o voto pra câmera, etc… veja o vídeo acima), o tempo necessário para votar é praticamente quatro vezes o de uma votação normal.

Dessa forma, o software fraudado da urna pode ter a seguinte lógica, por exemplo: “se o tempo mínimo entre votos durante o dia for maior que 2 minutos, então desligue a fraude”. Isso desligará a fraude nas urnas que estão sob votação paralela, e tudo parecerá OK para os auditores!

Outra forma de detectar a votação paralela é muito simples: na votação paralela não é usada a biometria! Dessa forma, se a fraude for programada para ser “ligada” apenas nas urnas que usarem biometria, a votação paralela não irá detectar a fraude.

(Um paralelo interessante é com o escândalo envolvendo carros da Volkswagen, que diminuíam a emissão de poluentes ao detectar que estavam em condições de teste. Isso era detectado rastreando posição do volante, velocidade, tempo de funcionamento, etc. Outro exemplo é o Uber, que detectava quando o cliente era um agente de fiscalização, através de sua localização e cartão de crédito, e não mostrava nenhum motorista disponível)

11. O voto impresso aumenta a superfície de ataque da urna!

Para quem não é da área, “superfície de ataque” é um termo utilizado para indicar quantas partes de um sistema podem sofrer ataques. A princípio, quanto maior a superfície de ataque, pior para a segurança do sistema. E de fato o voto impresso aumenta a superfície de ataque, pois será necessário adicionar código na urna para gerenciar a impressão do voto.

Porém, uma análise simplista não é adequada. Deve-se considerar se o risco adicional devido ao aumento da superfície de ataque é realmente maior do que a diminuição do risco devido ao recurso a ser implementado. Como argumentei nesse post, permitir a auditoria da urna é um recurso fundamental, por isso o aumento vale a pena.

12. OK. Mas o voto impresso é muito caro!

Aí já entramos em outra conversa. Presumo aqui que você foi convencido que o voto impresso realmente é útil, e para mim meu objetivo foi cumprido.

Mas para complementar: não tem como implantar o sistema de uma tacada só. Assim como biometria está sendo implantada aos poucos, o voto impresso pode ser feito da mesma maneira.

A estimativa de custo do TSE foi de 2,5 bilhões em 10 anos. (Note que isso é muito divulgado sem mencionar o período de tempo, como se fosse necessário pagar 2,5 bilhões de uma vez só). Considere que a última licitação para compras de novas urnas para 2020/2021, vencida pela Positivo, foi de 800 milhões de reais. Quem gasta 800 milhões em um ano consegue facilmente gastar 2,5 bilhões em 10 anos. Lembre-se que a democracia de um país inteiro está em jogo! Além disso, deve-se questionar se a estimativa do TSE está correta, visto que ele já se posicionou inúmeras vezes contra o voto impresso.

13. O voto impresso pode levar a falsas acusações de fraude!

Esse é outro questionamento relevante.

Imagine que um bolsominion mal intencionado vai lá na urna, vota no Bozo, mas grita que o comprovante diz que ele votou no Lula. Ele faz um escarcéu, xinga todo mundo, e os mesários dizem para ele rejeitar o comprovante impresso de forma que um novo seja gerado.

E aí ele faz a mesma coisa. E de novo.

Agora imagine vários bolsominions mal intencionados fazendo isso em várias seções eleitorais pelo país todo.

Não há nada que os mesários possam fazer, porque não dá para alguém ir lá conferir o comprovante, pois seria uma violação do sigilo do voto.

Não tenho nenhum bom contra-argumento a não ser apontar que qualquer um pode armar qualquer barraco em qualquer seção com qualquer desculpa esdrúxula, mesmo no modelo atual (“digitei 17 mas apareceu a foto do Lula!”). Então o risco é parecido.

A solução para esse problema seria mudar totalmente o sistema de votação: usar uma cédula onde o eleitor “pinta” o quadradinho do candidato em quem quer votar (como se fosse uma Mega Sena), e a cédula seria depositada em uma urna que escaneia o voto. Isso resolve o problema pois o eleitor tem total controle do que é registrado na cédula. O problema dessa abordagem é ter que descartar totalmente a urna eletrônica, a queridinha do TSE, o que parece muito improvável. Também há problemas relacionados à acessibilidade (como uma pessoa cega votaria?), mas que podem ser resolvidos com uma máquina parecida com a urna atual, de uso opcional, que preencheria a cédula para o eleitor, caso ele deseje usá-la. Não é uma solução perfeita, sem dúvida, mas não há soluções perfeitas. Deve-se pesar as vantagens e desvantagens de cada uma.

14. O que dizem os especialistas?

(Devo deixar claro que aqui só quero mostrar o apontamento técnico dos especialistas. Não tenho certeza sobre o posicionamento político de cada um deles. Tampouco posso afirmar que todos eles concordem com tudo o que digo nesse meu post.)

Muitos devem conhecer o Diego Aranha, que participou dos testes de segurança do TSE e é atualmente professor a Universidade de Aarhus na Dinamarca (e com quem tive o privilégio de ser colega durante doutorado na Unicamp e trabalhar junto em um software de criptografia): “Penso que é fundamental a introdução de um registro físico do voto para permitir aos eleitores verificarem o comportamento correto do sistema durante a votação, associado a um procedimento rigoroso de custódia dos registros para eventual verificação independente e auditoria”

Pedro Rezende, professor da UnB, e um dos pioneiros na luta pelo voto impresso: “Um registro material de cada voto que permita recontagens para efeito de auditoria do resultado, cuja introdução em nosso sistema já foi tentada duas vezes pelo legislativo, para ser logo sabotada pela justiça eleitoral, mitigaria o potencial de abuso desse bloqueio a meios de prova no processo eleitoral, tornando rastreável as fraudes praticáveis através de softwares desonestos.”

Engenheiro Amílcar Brunazo Filho, também pioneiro na luta pelo voto impresso que foi representante do PDT na auditoria do software das urnas: “Hoje em dia, pouca gente sabe que as urnas eletrônicas brasileiras que aparecem na televisão como um sistema moderno e seguro foi, na verdade, rejeitado em mais de 50 países que vieram aqui para avaliá-las”

Pesquisadores do MIT (incluindo Ronald Rivest, um dos inventores da criptografia moderna): “We consider the bottom row unsuitable for political elections for the foreseeable future, due to their lack of software independence and the greater risk of compromise compared to corresponding alternatives in the top row” (Nós consideramos [máquinas “DRE” no estilo brasileiro] não adequadas para eleições políticas, devido à sua falta de independência de software e risco aumentado de comprometimento comparado a outras alternativas)

O “Voting Village” composto de dezenas de especialistas da área que participaram de uma análise de segurança de urnas americanas parecidas com a nossa durante a conferência de segurança DEFCON: “The experience of the Voting Village strongly reinforces the widely understood risk that these machines might be compromised under election conditions in practice. The authors strongly endorse the recommendations of the National Academies 2018 consensus report, Securing the Vote, that DRE voting machines, which do not have the capacity for independent auditing, be
phased out as quickly as possible”
(A experiência do Voting Village reforça fortemente o risco amplamente conhecido que essas máquinas [como a brasileira] podem ser comprometidas na prática em condições de eleição. Os autores endossam as recomendações do relatório de consenso da National Academies de 2018, Securing the Vote, que máquinas de votação DRE [como a brasileira], que não têm capacidade para auditoria independente, deixem de ser utilizadas o mais rápido possível)

Douglas Jones, cientista da Universidade de Iowa: “A fundamental flaw of direct-recording voting machines […] all of those machines end up being completely impossible to audit. There’s no way to know whether the machine was honest or not, short of taking it apart and actually being able to inspect the mechanism. We have no good way of doing that with software.” (A falha fundamental de máquinas DRE [como a brasileira], todas essas máquinas são completamente impossíveis de auditar. Não há como saber se a máquina foi honesta ou não, a não ser que você a desmonte e analise o mecanismo. Não há uma boa forma de fazer isso com software)

De forma geral, há uma farta literatura sobre a segurança de urnas eletrônicas. Em particular, existe a definição de “independência de software”. A segurança de uma urna é independente de software se, caso ocorra uma alteração não detectada no software, ele não consiga causar uma mudança no resultado que não seja detectável também. Dessa forma, a urna brasileira não é independente de software: caso o software seja alterado, o resultado da votação pode ser alterado, e ninguém ficará sabendo! O consenso é justamente que urnas que não possuem independência de software não são adequadas para votações.

15. Voto impresso é pauta da direita!

A luta pelo voto impresso é antiga, não é invenção do Bolsonaro. Um de seus pioneiros foi ninguém menos do que Brizola. O projeto de 2009 teve participação de Brizola Neto (PDT), Daniel Almeida (PCdoB), Alice Portugal (PCdoB) e foi relatado por Flávio Dino (PCdoB). E foi sancionado por… Lula.

Sabe quem usa voto impresso? A Venezuela.

16. Não me convenceu. O que pode ser feito para melhorar a segurança das eleições, sem voto impresso?

Aumentar a transparência do processo, desde o código-fonte da urna, passando por compilação e gravação nas urnas.

Abrir o código-fonte da urna para que qualquer cidadão possa auditá-lo. (O próprio TSE prometeu que vai fazer isso. Cobre!)

Melhorar o processo de votação paralela para que a urna não possa distingui-lo do processo de votação normal. Aumentar o número de urnas auditadas pela votação paralela (atualmente um número irrisório é auditado. Em SP, 4 de 90 mil)

Caso realmente se importa com a segurança da votação, então reivindique essas pautas!

Quero mais informações sobre o assunto!

Quem é você para opinar?

Não sou fã de carteirada, mas entendo que é difícil em confiar em uma pessoa aleatória da internet. Tenho formação acadêmica em criptografia e trabalho há 8 anos com segurança da informação. Embora nunca tenha trabalhado diretamente na segurança de urnas eletrônicas, tenho interesse na área e acompanho os acontecimentos e trabalhos. E sou de esquerda! #Lula2022

Obrigado ao Diego Aranha pela excelente revisão deste post (que não consiste em endosso do conteúdo). Qualquer erro neste post é culpa minha.

Caso tenha alguma dúvida, crítica ou sugestão, me xingue no Twitter.

Criptografia & segurança da informação https://twitter.com/conradoplg

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store