Na última eleição presidencial e ao longo de seu mandato, Jair Bolsonaro (PL) fez da urna eletrônica e da Justiça Eleitoral suas principais rivais.

Há uma série de barreiras de segurança e procedimentos de auditoria e fiscalização que permitem a terceiros fiscalizar a atuação do TSE (Tribunal Superior Eleitoral). E não há nenhum caso de fraude confirmada no sistema eletrônico de votação.

Entenda quais são as proteções desse sistema e como funciona a fiscalização e auditoria das urnas.

Como a urna funciona?

O teclado e visor, todas as partes que o eleitor consegue ver e tocar, constituem o hardware da urna. O que permite que a urna funcione e registre os votos são os aplicativos dentro dela, também chamados de software. Eles são programados com instruções e comandos em uma linguagem específica, camada que não é vista pelas pessoas, o chamado código-fonte.

 

O código-fonte da urna pode ser inspecionado?

Sim. Além de ser submetido a testes de segurança, ele fica disponível para auditoria de entidades fiscalizadoras e, nesta edição, foi enviado para a inspeção de universidades parceiras. Nessas análises é possível verificar que a programação da urna faz aquilo que se pretende: registrar os votos garantindo o sigilo de quem votou.

 

Quem são as entidades fiscalizadoras do código-fonte da urna eletrônica?

Previstas na legislação, elas incluem partidos políticos, além de outros órgãos e entidades como a OAB (Ordem dos Advogados do Brasil) e a Polícia Federal. De outubro de 2021 até setembro de 2022, quando ocorreu a compilação e lacração do sistema, o código-fonte da urna eletrônica ficou disponível em uma sala do TSE para análise das entidades interessadas. Uma das críticas ao modelo é que, de modo geral, há baixa participação.

 

Quais entidades fiscalizaram o código-fonte nesta eleição?

Nesta edição, o código foi inspecionado por: Controladoria-Geral da União, Ministério Público Federal, Universidade Federal do Rio Grande do Sul, PTB e pela Polícia Federal -esta última não entregou um relatório com suas conclusões. Integram também essa lista as Forças Armadas, que, apesar de já terem acesso a esses dados, os solicitaram ao TSE com urgência em agosto e não entregaram um relatório com suas conclusões.

O que é a cerimônia pública de assinatura digital da urna eletrônica?

Na cerimônia, as entidades checam o código-fonte para se certificar de que é o mesmo que fora auditado anteriormente. É aí que o conteúdo é assinado digitalmente e preparado para ser inserido na máquina. Com isso, se alguém tentar usar uma versão modificada dessa programação, as assinaturas não vão bater e a tentativa de fraude será detectada.

Todas as entidades fiscalizadoras podem comparecer à cerimônia, e aquelas que manifestarem interesse podem assinar digitalmente tanto o código-fonte quanto o código compilado (aquele que vai para a urna). Os programas recebem necessariamente a assinatura digital do TSE.

Os códigos são gravados em mídia não regravável e assinados fisicamente pelos presentes. Depois disso, são lacrados e armazenados na sala-cofre do TSE.

 

O que é e para que serve a assinatura digital da urna eletrônica?

Apenas sistemas assinados digitalmente pelo TSE funcionam na urna. Ela só liga se os programas inseridos forem aqueles gerados pelo tribunal. Dessa forma, mesmo que alguém conseguisse ter acesso a urna para inserir um código alternativo, ele não funcionaria.

Assinatura digital é um processo que serve para autenticar arquivos virtuais, como documentos ou aplicativos. Nesse processo, é gerado um par de chaves que assinam esse conteúdo. Uma delas é pública, e serve para checar o conteúdo, o que só dá certo se essa informação foi anteriormente marcada pela outra, privada.

É como se fosse um cofre com duas chaves. A chave A só tranca a porta, e não é dividida com ninguém. A chave B é distribuída por aí e permite ver o que há ali dentro, mas só funciona se o tal cofre tiver sido lacrado com a chave A.

 

O que é a “impressão digital”, ou hashes, do sistema da urna?

Na cerimônia de lacração também são gerados os resumos digitais dos dois códigos (do que está escrito em linguagem de programação e da versão compilada).

Chamados de “hashes” no jargão técnico, eles são uma espécie de impressão digital dos programas. Assim como os códigos, eles são gravados, assinados e lacrados.

Se alguém alterar uma única palavra do código-fonte, ele já passaria a gerar um hash diferente. As entidades fiscalizadoras, incluindo os partidos, podem fiscalizar posteriormente se os sistemas utilizados nas urnas possuem o mesmo hash que o código assinado durante a cerimônia para ver se houve adulteração.

 

O código-fonte da urna só pode ser analisado no TSE?

Uma das críticas de especialistas da área ao longo dos anos era a limitação de poder analisar o código-fonte apenas dentro do TSE.

Em um projeto-piloto criado para esta eleição, o TSE permitiu a análise fora das dependências do tribunal para um grupo seleto de instituições: a Polícia Federal, a UFPE (Universidade Federal de Pernambuco), Unicamp (Universidade Estadual de Campinas), além da USP (Universidade de São Paulo), que obteve esse acesso graças a uma outra parceria com o tribunal.

As universidades tentaram abordagens diferentes para checar a integridade do código e procurar falhas de segurança, mas nenhuma vulnerabilidade foi encontrada. Fizeram apenas sugestões para melhorar desempenho e clareza na programação.

A extensão do período da análise, bem como a manutenção do projeto, está sob análise pelo TSE. Representantes de equipes que participaram da iniciativa ouvidos pela Folha disseram ter avaliado a experiência positivamente e que esperam sua manutenção.

 

O que é o TPS (Teste Público de Segurança), teste com hackers pelo qual passa a urna?

Durante o TPS, a programação da urna passa por análise de hackers inscritos nesse projeto do TSE. Esse teste acontece desde 2009 e passou por sua sexta edição no ano passado. O objetivo é identificar vulnerabilidades para que elas possam ser corrigidas pela Justiça Eleitoral, uma abordagem comum na cibersegurança.

Posteriormente, os participantes do TPS são convidados para o Teste de Confirmação, que este ano ocorreu em maio, para averiguar se as correções foram implementadas.

 

Como acontece a inserção dos sistemas e dados nas urnas?

A geração das mídias que serão inseridas em cada uma das urnas, com base nos programas enviados pelo TSE, é feita pelos diferentes Tribunais Regionais Eleitorais (TREs) em cerimônias públicas divulgadas em edital. Já na cerimônia de carga das urnas, ocorre a instalação dos programas e a inserção de dados como lista de eleitores e de candidatos. Depois disso, elas são lacradas fisicamente com dispositivos produzidos pela Casa da Moeda.Cada mídia com o software do sistema operacional é limitada para ser usada em até 50 urnas, o que aumenta a dificuldade para um eventual fraudador.

Seria necessário não só passar pelas barreiras anteriores, mas também conseguir gerar diversos cartões com um suposto código malicioso.

 

Como as urnas são preparadas logo antes da eleição?

As urnas são armazenadas e no dia anterior à eleição são levadas para os locais de votação. Antes de dar início à votação, diante dos mesários e fiscais dos partidos, o presidente da seção imprime a zerésima, um extrato que comprova que não há nenhum voto na urna. Somente após a impressão do documento -assinado pelos presentes- os eleitores podem votar.

 

Para que serve o boletim de urna?

O boletim de urna é um comprovante impresso emitido pela urna ao final da votação com um resumo do que foi registrado ali. Ele permite que as pessoas (e partidos) confiram o resultado imediatamente após a eleição e também possibilita auditar que tanto a transmissão quanto a totalização dos votos ocorreram corretamente.

Ele é impresso obrigatoriamente em cinco vias, assinadas pelo presidente da seção e por fiscais dos partidos presentes. Depois disso, uma via é colocada na porta da seção; três são colocadas na ata e enviadas para o respectivo cartório eleitoral; e a última é entregue aos fiscais dos partidos.

 

Quais dados da eleição podem ser vistos em tempo real?

Este ano, à medida que receber os arquivos, no dia da eleição, além da apuração em si, o TSE se comprometeu a disponibilizar os boletins de urna em tempo real na internet. Antes eles eram disponibilizados três dias depois.

Os logs das urnas, onde todos os eventos (como ter sido ligada, um registro de eventual falha, ou ter recebido uma votação, sem identificar o autor) são registrados ao longo da votação, também serão disponibilizados na internet.

Em eleições passadas, todos esses dados, incluindo os RDVs (Registro Digital do Voto), já podiam ser solicitados pelas entidades fiscalizadoras.

 

O que é o teste de integridade?

No dia da eleição é feito o chamado teste de integridade, que tem por objetivo verificar, por amostragem, se as urnas funcionam corretamente. Ao todo 641 urnas serão testadas.

No teste, após a impressão da zerésima na urna, indicando que não há voto registrado nela, votos anteriormente feitos em papel são digitados na urna eletrônica e lidos em voz alta. O processo é filmado e, ao final, é emitido o boletim da urna e os resultados são comparados com os votos em papel.

A maioria das urnas selecionadas será retirada de suas respectivas seções eleitorais na véspera do pleito e levadas para o local da auditoria. A exceção são aquelas que participarão do projeto-piloto instituído pelo TSE após insistência dos militares e que ocorrerá nos locais de votação. Nele, eleitores voluntários contribuirão com uso de sua biometria.

 

A auditoria da votação seria diferente com voto impresso?

Há especialistas em segurança da informação que defendem a adoção do comprovante impresso do voto, por entenderem que ele permitiria conferir os votos registrados pela urna de modo independente do software, ou seja, sem ter que analisar se o código-fonte está ou não comprometido.

O tema contudo não é consenso. Outros especialistas têm uma posição semelhante à defendida pelo TSE: de que a impressão dos votos traria uma série de outros desafios, dadas as possibilidades de manipulação do comprovantes, facilitando narrativas de indício de fraude, ao, por exemplo alguém ter sucesso em retirar ou inserir votos impressos de uma seção eleitoral.

 

Por que a criptografia é importante nas eleições?

A criptografia se refere a técnicas para embaralhar informações (como senhas ou, no caso da urna, votos), de modo que apenas quem tem a chave correta consegue decifrar.

Ela aparece em vários momentos da eleição e cria um bloqueio extra contra ataques. Existem diferentes formas de criptografar um código, porque com o passar dos anos os padrões se tornam obsoletos e passam a ser facilmente revertidos à medida que os computadores ficam mais potentes.

A Unicamp (Universidade Estadual de Campinas) analisou justamente o uso de criptografia no sistema da urna e verificou que o uso é adequado, apesar de ter recomendado substituir alguns dos padrões utilizados por opções mais modernas -nada que seja um perigo para estas eleições, no entanto.