São comuns, em época de eleições, questionamentos quanto a segurança das urnas eletrônicas utilizadas para o registro dos votos. Lançada em 1996, a urna eletrônica nasceu com o objetivo de eliminar a intervenção humana do processo eleitoral e, assim, também eliminar fraudes do processo. Com esse objetivo, desde então, ela e todo o sistema que a compõe passaram por diferentes aprimoramentos visando garantir a segurança do processo eleitoral.
Cada urna utilizada funciona de forma isolada, sem qualquer hardware ou software que possibilite a sua conexão de forma que não seja local. Seu sistema operacional é preparado pela Justiça Eleitoral de forma a não incluir nenhum mecanismo de software que permita a conexão com redes ou acesso remoto. Além disso, as mídias utilizadas para a preparação dos equipamentos e a gravação dos resultados são protegidas por técnicas modernas de assinatura digital; não sendo possível a um hacker, por exemplo, modificar qualquer arquivo presente nessas mídias. Entenda, a seguir, um pouco mais desse sistema.
AUDITORIA EXTERNA NO DESENVOLVIMENTO DA PROGRAMAÇÃO DOS SISTEMAS
Conforme o Calendário Eleitoral, nos doze meses anteriores à eleição, todas as fases de especificação e desenvolvimento dos softwares utilizados são acompanhadas por técnicos indicados pelos partidos políticos, pela Ordem dos Advogados do Brasil (OAB), pelo Ministério Público Eleitoral (MPE) e por pessoas autorizadas em resolução específica. Eles podem inspecionar todos os códigos-fonte do programa utilizado pelas urnas eletrônicas.
TESTE PÚBLICO DE SEGURANÇA
O teste é realizado desde 2009 e tem o objetivo de identificar e corrigir eventuais vulnerabilidades relacionadas à violação da integridade ou do anonimato dos votos em uma eleição. Ele consiste na abertura dos sistemas eleitorais para que investigadores tentem quebrar as barreiras de segurança do processo de votação, executando planos de ataque aos componentes externos e internos da urna eletrônica. O Teste Público de Segurança de 2021, para essas eleições, ocorreu entre 22 e 25 de novembro, na sede do TSE, em Brasília; ocasião em que especialistas da tecnologia da informação tiveram a liberdade de colocar os mecanismos de segurança à prova. De acordo com o TSE, o procedimento visa fortalecer a transparência, a confiabilidade e a segurança da captação e apuração dos votos.
LACRAÇÃO DOS SISTEMAS
Vinte dias antes do pleito ocorre a cerimônia de lacração dos sistemas eleitorais, que é pública, e conta com a participação dos partidos políticos, do MPE e da OAB. O ato acontece nas dependências do TSE e serva para compilar, assinar digitalmente, gerar os resumos digitais (HASH) e lacrar todos os programas-fonte, programas executáveis, arquivos fixos, arquivos de assinatura digital e chaves públicas. Ou seja, ele serve para garantir que o software que será compilado para fins de instalação nas urnas é exatamente o mesmo cujo desenvolvimento foi acompanhado e avaliado pelas entidades.
Para todo o conjunto de software produzido durante a cerimônia são geradas assinaturas digitais e resumos digitais. Caso haja qualquer suspeição quanto à autenticidade do software da urna eletrônica, as assinaturas digitais e os resumos digitais podem ser conferidos e validados por aplicativos desenvolvidos pelo TSE e, também, por partidos políticos, pelo MPE e pela OAB. Em outras palavras, os fiscais fazem uma espécie de foto dos códigos-fonte que serão utilizados e, se durante o processo eleitoral, for provado que existe uma urna ou demais softwares utilizando um código-fonte diferente daquele que foi lacrado, torna-se nulo o pleito.
INSTALAÇÃO DO PROGRAMA E CONECTIVIDADE DAS URNAS
Após a cerimônia de lacração, as urnas são preparadas pelos tribunais regionais e respectivas zonas eleitorais para o dia da votação. Ocorre audiência pública, presidida pelo juiz eleitoral e com a participação de representantes do MPE e da OAB, onde é feita a instalação do software, das informações dos candidatos e eleitores de cada seção e inseridos os cartões de memória que receberão cópia dos votos que serão apurados. Cada urna é preparada individualmente e manualmente, uma vez que são incapazes de funcionar em rede.
VERIFICAÇÃO DOS SISTEMAS ELEITORAIS NA GERAÇÃO DE MÍDIAS
Durante a cerimônia de geração de mídias, momento em que os dados relativos ao processo eleitoral são copiados para os cartões de memória para serem instalados nas urnas, há mais uma possibilidade de fiscalização e auditoria. Nessa fase, as entidades fiscalizadoras podem verificar a integridade de todos os sistemas envolvidos no processo de geração de mídias. Qualquer cidadão pode reportar eventual irregularidade observada, também.
CRIPTOGRAFIA
A criptografia digital é um mecanismo de segurança para o funcionamento das informações computacionais. Como os dados são codificados e embaralhados, torna-se impossível o acesso por pessoas não autorizadas. Nos programas da urna, na transmissão, na recepção e na totalização dos votos, são usados algorítimos de conhecimento exclusivo do TSE. Dessa forma, cada boletim de urna é criptografado de forma segmentada, assinado digitalmente e transmitido – urna por urna, ao fim do período de votação. Na recepção dos dados pelos tribunais eleitorais, existe a decriptografia, que é o processo pelo qual são recuperados os dados previamente criptografados, isto é, eles são desembaralhados.
No recebimento do boletim de urna ocorre: a validação da compatibilidade da chave pública de assinatura digital do boletim de urna com a chave privada do programa totalizador (se a urna não for reconhecida, o resultado não é recebido pelo sistema); a decriptografia do boletim de urna de forma segmentada; a leitura do boletim de urna decriptografado; e o armazenamento do boletim de urna criptografado e decriptografado.
ZERÉSIMA
No dia de votação, os componentes das mesas receptoras de votos começam seus trabalhos com a impressão da zerésima, que é o relatório emitido pela urna, antes da votação, que discrimina a identificação do equipamento e comprova que nele estão registrados todos os candidatos, e que nenhum deles computa voto, ou seja, que a urna tem zero voto. A emissão desse documento é acompanhada por fiscais dos partidos. Durante todo o dia, os votos são computados em duas memórias internas — uma delas pode ser removida caso seja preciso substituir a urna.
REGISTRO DIGITAL DO VOTO (RDV)
O registro digital do voto, ou arquivo de votos, foi criado em 2003, possibilitando a recuperação dos votos para recontagem eletrônica a qualquer tempo. O RDV, como é chamado, consiste na inserção, de forma aleatória, do voto de cada eleitor, assinado digitalmente pela urna eletrônica, em uma tabela de tamanho igual à da quantidade de eleitores da seção eleitoral. A assinatura digital de cada voto, obtido mediante a aplicação de sistema de criptografia baseada em tecnologia de chaves assimétricas, conhecido como infraestrutura de chaves públicas, garante a identidade ou autenticação da urna registradora daquele registro digital e até o sigilo daquele registro. Não há possibilidade de identificar o eleitor, uma vez que os votos, à medida que vão sendo registrados, são depositados aleatoriamente na urna eletrônica, impedindo qualquer vinculação entre o voto e o eleitor. O arquivo é criptografado e possui cópia de segurança na urna.
GRAVAÇÃO DOS DADOS E EMISSÃO DO BU
Ao final da votação, o boletim de urna com a apuração dos votos de uma seção – o BU – transforma-se em um documento público. O resultado de cada boletim pode ser facilmente confrontado com aquele publicado pelo TSE na internet, seja pela conferência do resultado de cada seção eleitoral, seja pela conferência do resultado da totalização final. Esse é um procedimento amplamente realizado pelos partidos políticos e coligações há muito tempo e que também pode ser feito pelo eleitor, inclusive utilizando-se do app “Boletim na Mão”, desenvolvido pelo TSE e disponibilizado no Google Play e na App Store.
Após ser gerado o boletim de urna com todos os votos da seção, os dados são gravados de forma criptografada em cartões de memória chamados de “mídias de resultado”. Esses dispositivos são removidos e lacrados em um envelope específico contido no material dos mesários, seguindo para o Cartório Eleitoral, acompanhado de duas cópias impressas do BU.
TRANSMISSÃO DOS VOTOS
As mídias de resultado são encaminhadas para o Cartório Eleitoral, o local de recepção de materiais para apuração. O envio dos dados é realizado em rede privada, exclusiva da Justiça Eleitoral, sendo, de acordo com o TSE, inacessível para quaisquer tipos de invasores (hackers). Todos os dados que alimentam a urna eletrônica, assim como todos os resultados produzidos, são protegidos por assinatura digital. Não é possível modificar os dados de candidatos e eleitores presentes na urna, por exemplo. Da mesma forma, não é possível modificar o resultado da votação contido no boletim de urna ou o registro das operações feitas pelo software; ou mesmo o arquivo de Registro Digital do Voto (RDV), dentre outros arquivos produzidos pela urna, uma vez que todos estão protegidos pela assinatura digital. Nos TREs, os dados são checados para garantir que eles vieram da mesma urna onde a mídia de resultado estava inserida. Os sistemas também verificam se os dados foram gerados pelo mesmo software que passou pelos testes de segurança e auditoria, que conta com assinatura digital.
APURAÇÃO DOS RESULTADOS
Após a impressão dos boletins de urna, uma mídia contendo o resultado é gravada de forma criptografada e assinada digitalmente. Quando chega ao servidor central para a totalização dos votos primeiramente é verificada a assinatura digital. Se a assinatura digital for válida, está garantido que aquele resultado foi gerado pela urna eletrônica que foi preparada para aquela seção eleitoral, ou seja, garante-se a integridade e a autenticidade do resultado. Após essa verificação da assinatura digital, o boletim de urna é decifrado e várias verificações de consistências são feitas. Caso qualquer inconsistência seja confirmada – como divergência na totalidade de votos e o número de eleitores que compareceram –, ou a assinatura digital seja inválida, o boletim de urna é automaticamente descartado.
FONTE: TSE
