Princípio da independência do software em sistemas eleitorais

O princípio da independência do software em sistemas eleitorais foi cunhado em 2006, pelo Ph.D. do MIT Ronald Rivest e pelo pesquisador do NIST Jonh Wack, para enfrentar a dificuldade de se validar e certificar o software usado em máquinas de votar.^[1]

Em nov de 2017, Ronald Rivest publicou uma atualização do seu artigo, denominado Software Independence Revisited ^[2], reforçando o conceito e detalhando melhor sua aplicação aos sistemas eleitorais criptográficos End-2-End recentemente desenvolvidos.

Um resumo em português sobre esse princípio pode ser lido na seção 3.3 (pág. 44) do 1º Relatório do Comitê Multidisciplinar Independente.^[3]

A definição original

A definição técnica original, dada pelos autores, para a Independência do Software em Sistemas Eleitorais é a seguinte:

Um sistema eleitoral é independente do software se uma modificação ou erro não-detectado no seu software não pode causar uma modificação ou erro indetectável no resultado da apuração.^[4]

Trata-se, assim, de um conceito criado mais para permitir a detecção de erros ou fraudes na apuração eletrônica de votos do que para impedi-los e exige que o voto do eleitor fique registrado em algum meio material que seja independente do software utilizado, comumente chamado de "Independent Voter-Verifiable Record (IVVR)" ou por "Voter Verifiable Paper Audit Trail (VVPAT)".

A definição completa

A definição formal acima foi criada por dois tecnólogos norte-americanos que, baseados na experiência pessoal com equipamentos eleitorais que conheciam, não consideraram a possibilidade de um eventual erro ou fraude no software que pudesse permitir a violação sistemática do voto.

No entanto, diferente dos equipamentos eleitorais do resto do mundo, nas urnas eletrônicas brasileiras em uso desde 1996, a identificação do eleitor, por digitação do seu número de eleitor, é feita no próprio equipamento que colhe o seu voto, de forma que um eventual erro ou fraude não detectada no software desse equipamento pode resultar em violação sistemática do segredo do voto ^[5], por exemplo, pela criação de um arquivo escondido onde sejam gravadas a sequência de teclas digitadas, do tipo "keylogger".

Dessa forma, a definição completa do Princípio da Independência do Software em Sistemas Eleitorais pode ser completada para o seguinte:

Um sistema eleitoral é independente do software se uma modificação ou erro não-detectado no seu software não pode causar uma modificação ou erro indetectável no resultado da apuração ou na inviolabilidade do voto .

^{[carece de fontes?]}

A 2ª geração de máquinas de votar

Um sistema eleitoral que seja independente do software torna possível que uma auditoria da apuração eletrônica dos votos seja feita pela recontagem do IVVR, sem que seja necessário confiar na integridade do software do próprio equipamento.

Essa característica tem sido chamada de chamada de "2ª geração da Máquinas de Votar".^[6], ou seja, aqueles equipamentos eleitorais que possibilitam uma auditoria do resultado a ser desenvolvida por meio que independe da confiabilidade do software ^[7]

A adoção pela diretrizes VVSG

O Princípio da Independência do Software em Sistemas Eleitorais foi adotado em 2007 pela "Voluntary Voting System Guidelines"^[8], que é uma proposta de norma técnica para sistemas eleitorais informatizados desenvolvida pelas agências federais norte-americanas National Institute of Standards and Technology (NIST) e Election Assistance Commission (EAC).

A versão 1.1/2009 das "Diretrizes VVSG"^[9], na seção 7.8 e no Apêncice C do volume 1, detalha melhor a Independência do Software com o nome de Independent Verification Systems e com os seguintes requisitos (traduzidos para o português):

• Ao menos dois registros do voto devem ser produzidos e um deles deve ser guardado em meio que não possa ser modificado pelo sistema (eletrônico) de votação, de forma que ambos registros não estejam sob controle de um único processo digital
• o eleitor deve estar capacitado para verificar a igualdade dos dois registros do seu voto antes de deixar o local de votação
• o processo de verificação dos registros do voto devem ser independentes e ao menos um deles deve ser conferível diretamente pelo eleitor
• os dois registros de um voto poderão ter sua consistência verificada posteriormente por meio de identificadores únicos que permitam a correlação dos registros.

Citação:

• At least two cast vote records of the voter’s selections are produced and one of the records is then stored in a manner that it cannot be modified by the voting system.
• The voter must be able to verify that both cast vote records are correct and match before leaving the polling place.
• The verification processes for the two cast vote records must be independent of each other, and at least one of the records must be verified directly by the voter.
• The contents of the two cast vote records also can be checked later for consistency through the use of unique identifiers that allow the records to be linked.

Exemplos

A versão de 2007 das Diretrizes VVSG^[8], na seção Introduction 2.4.1, apresenta como exemplos de sistemas eleitorais independentes do software: o "Sistema com Voto Escaneado" e as "Máquinas DRE com Voto Impresso Conferível pelo Eleitor".

A versão de maio de 2009 das Diretrizes VVSG^[9], na Seção 7.8 e no Apencide C do Volume 1, também cita como exemplo um segundo registro do voto gravado em meio não-regravável (como um CD-ROM) que possa ser conferido pelo eleitor em equipamento independente do de votação e antes de deixar o recinto de votação, mas até 2011 ainda não se tem conhecimento de algum equipamento de votação que use esse sistema.

Também é exemplo o conceito de Boleta de Voto Electrónico - ou Cédula Eletrônica de Voto - introduzido pela máquina de votação Vot-AR^[10], de fabricação argentina, que contém num único documento um Registro Digital do Voto e seu correspondente Registro Impresso do Voto.

Referências anteriores

Mesmo antes de ser formalmente enunciado em 2006, um conceito semelhante ao Princípio da Independência do Software em Sistemas Eleitorais já vinha sendo citado ou usado como nos seguintes casos:

• No Brasil, desde seu início em 1998, o Fórum do Voto Eletrônico pugnava pela adoção do voto impresso conferível pelo eleitor ^[11] (VVPAT) nas urnas eletrônicas brasileiras.
• Em 2000, a Ph.D. Rebecca Mercury, apresentou sua tese de doutorado centrada na importância do VVPAT para a auditabilidade do resultado em sistemas eleitorais ^[12].
• Em 2004, a Venezuela se tornou o primeiro país a implantar integralmente um sistema eleitoral de 2ª geração (máquinas DRE com voto impresso) em eleições oficiais.^[13]

Ver também

• Urna eletrônica
• Urna eletrônica brasileira
• Voto impresso

Ligações externas

• Página do Comitê Multidisciplinar Independente
• Fórum do Voto Eletrônico
• Acúmulo de Poderes do TSE e Seus Efeitos Sobre a Transparência Eleitoral

Notas e referências

1. Rivest L.R. , Wack, J.P. (2006). On the notion of "software independence" in voting systems. [S.l.]: National Institute of Standards and Technology (NIST). 11 páginas  |acessodata= requer |url= (ajuda) !CS1 manut: Nomes múltiplos: lista de autores (link) - referência à dificuldade de validação do software eleitoral na Seção 2 do texto - http://people.csail.mit.edu/rivest/pubs/RW06.pdf
2. Rivest L.R. , Virza, M. (2017). Software Independence Revisited in "Real-World Electronic Voting: Design, Analysis and Deployment". [S.l.]: CRC Press. 15 páginas  |acessodata= requer |url= (ajuda) !CS1 manut: Nomes múltiplos: lista de autores (link) - https://people.csail.mit.edu/rivest/pubs/RV16.pdf
3. Sérvulo da Cunha, S. et all (2010). 1º Relatório do Comitê Multidisciplinar Independente. [S.l.]: edição dos autores. 105 páginas  - disponível em http://www.votoseguro.org/textos/RelatorioCMind.pdf, visitado em 18 de abril de 2011
4. Do original em inglês: "A voting system is software-independent if an undetected change or error in its software cannot cause an undetectable change or error in an election outcome".
5. Peres, Gerson - deputado (2008). Audiências na CCJC sobre Urnas Eletrônicas. [S.l.]: Câmara dos Deputados. 5 páginas  |acessodata= requer |url= (ajuda) - referência à violação sistemática na página 5 do relatório - http://www.votoseguro.org/textos/sve2008-relatorio.pdf
6. Sérvulo da Cunha, S. et all (2011). 2º Relatório do Comitê Multidisciplinar Independente. [S.l.]: edição dos autores. 23 páginas  - referência à 2ª geração na página 2 - relatório disponível em http://www.votoseguro.org/textos/relatoriocmind-arg2011.pdf, visitado em 13 de dezembro de 2011
7. As urnas eletrônicas brasileiras usadas até 2012 são de 1ª geração, ou software-dependentes, por não fornecerem o IVVR ou VVPAT e, assim, não atenderem ao Princípio da Independência do Software em Sistemas Eleitorais
8. «Voluntary Voting System Guidelines-2007». NIST/US-EAC. 2007. Consultado em 24 de julho de 2010. Arquivado do original em 27 de maio de 2010  - ver adoção do princípio da independência do software em sistemas eleitorais na seção Introduction 2.4 (em inglês) ou no anexo 3 do Relatório do Comitê Multidisciplinar Independente (traduzido para o português)
9. «Voluntary Voting System Guidelines-2009» (PDF). NIST/US-EAC. 2009. Consultado em 3 de novembro de 2011. Arquivado do original (PDF) em 19 de outubro de 2011  - ver definição de Independent Verification Systems na Seção 7.8 e no Apencice C do Volume 1
10. Uma apresentação sobre o que é a Boleta de Voto Electrónico, com seus dois registros do voto, pode ser vista a partir de http://www.vot-ar.com.ar/
11. Ver a defesa do VVPAT pelo Fórum do Voto-E na «CARTILHA BÁSICA DO VOTO-E no Brasil». Consultado em 18 de abril de 2011 
12. Mercuri R. (2000). Electronic Vote Tabulation - Checks & Balances. [S.l.]: University of Pennsylvania  |acessodata= requer |url= (ajuda) - http://www.notablesoftware.com/Papers/thesdefabs.html
13. «Tecnología Electoral en Venezuela». Consultado em 11 de abril de 2011