Urnas eletrônicas têm certificados digitais
Urnas eletrônicas têm certificados digitais individuais e códigos únicos para identificar cada equipamento; veja detalhes
Assinatura digital, códigos e registros garantem que nenhuma informação é fraudada, duplicada ou perdida entre a ativação da urna e o fim da eleição. Sistemas são redundantes – ou seja, falha em um único campo não compromete validação dos documentos.
Por Mateus Rodrigues e Márcio Falcão, g1 e TV Globo — Brasília
Os sistemas utilizados pela Justiça Eleitoral e validados por observadores nacionais e internacionais permitem identificar, sem risco de confusão e com várias camadas de redundância, cada uma das mais de 577 mil urnas eletrônicas utilizadas nas eleições deste ano.
Segundo o Tribunal Superior Eleitoral (TSE), esses números de identificação são gerados antes, durante e após a realização da votação e garantem que cada operação eletrônica – a inserção do software, a votação e a emissão do boletim de urna, por exemplo – seja devidamente registrada e comprovada para cada urna.
O fato de esses sistemas serem redundantes garante que, mesmo se alguma das etapas falhar, haverá outras formas de identificar cada urna e evitar a duplicação ou a anulação dos votos.
A Justiça Eleitoral usou, nas eleições gerais deste ano, um total de 577.125 urnas eletrônicas – incluindo os equipamentos enviados às seções no exterior e os dispositivos de reserva.
Os dados dessas urnas foram amplamente divulgados na internet e submetidos a diversas auditorias. Até o momento, não houve nenhum registro de inconsistência entre as informações inseridas nas urnas e os números de votos divulgados oficialmente.
Entenda abaixo:
Quem garante a autenticidade dos sistemas?
Os diversos sistemas de segurança inseridos nas urnas têm validade oficial porque são garantidos por uma assinatura digital.
Esses sistemas passam por uma série de testagens, inspeções e verificações, além de receberem chancela de entidades fiscalizadoras nacionais e observadores estrangeiros. É essa assinatura que garante o rastreio da origem dos arquivos produzidos pelas urnas.
Cada urna eletrônica utilizada no Brasil tem um certificado digital único e um número interno identificador único – como um CPF que permite identificar aquele dispositivo entre os quase 600 mil disponíveis.
Essa certificação atesta que cada documento assinado por uma urna foi, de fato, emitido por aquele dispositivo. Ou seja, que não houve troca, replicação ou fraude na vinculação das informações.
Essa assinatura digital garante a autenticidade dos três principais documentos emitidos por cada urna eletrônica:
1.Log de eventos: é o registro de funcionamento da urna eletrônica, ou seja, uma lista cronológica de todas as operações que foram realizadas naquele equipamento desde o início do processo eleitoral (início e término da votação, emissão de boletim, execução de aplicativos etc.)
2.Registro Digital do Voto (RDV): lista de todos os votos inseridos naquela urna eletrônica específica e naquele turno de votação. Essa lista não identifica o eleitor, nem o horário da votação, nem a ordem de inserção dos votos – com isso, garante o sigilo da votação.
3.Boletim de Urna (BU): documento emitido ao fim da votação e que totaliza os votos naquela urna para cada candidato – é a somatória das informações do registro digital do voto. É esse documento que o chefe de cada seção eleitoral imprime ao fim da votação e fixa na porta da sala.
Uma vez assinado digitalmente, cada documento fica atrelado à urna que o emitiu. Com isso, torna-se impossível “confundir” dois boletins de urnas, ou atribuir um documento a qualquer outro equipamento.
“Esse número é utilizado pelo software em diversos momentos, possibilitando assim a rastreabilidade, auditabilidade e cronologia dos eventos”, explica o TSE.
“Essas assinaturas também foram publicadas pelo TSE na internet e estão disponíveis em conjunto com os arquivos de log das urnas. Não há, portanto, qualquer desvio que possa desacreditar os arquivos de log das urnas antigas”, prossegue o tribunal.
O que acontece se der problema na assinatura digital?
A assinatura digital é criada bem antes do dia da votação, ou seja, já foi realizada com sucesso quando a urna é enviada para cada seção eleitoral.
Pode acontecer, no entanto, de algum dos sistemas da Justiça Eleitoral não conseguir “puxar” esse código único de cada urna. Nesse caso, entra em cena a redundância dos mecanismos.
Em outras palavras: há outros códigos, também únicos para cada urna eletrônica, que ajudam a identificar cada equipamento.
Quais códigos garantem a redundância do sistema de autenticação?
Em todos os modelos de urnas eletrônicas que foram usados nas eleições de outubro, é possível identificar cada equipamento usando o “número de carga”.
Esse número é gerado dias antes da votação, quando servidores da Justiça Eleitoral fazem a “carga” de cada urna – ou seja, quando inserem em cada equipamento a lista de eleitores daquela seção e a lista de candidatos que disputam a eleição naquele local.
É essa carga de informações específicas que garante, por exemplo, que um candidato a governador do Distrito Federal não esteja em uma urna instalada no Pará. E que um eleitor só possa votar na sua seção, e não em qualquer outra.
O número de carga é emitido automaticamente, reunindo as informações do código de identificação da urna (código interno), a data e a hora em que a carga foi feita e o identificador dos dados inseridos. Ou seja: garante que a urna ainda é a mesma, e que a carga foi feita corretamente.
Segundo o TSE, o número de carga é atualmente o código mais confiável para identificar cada urna – é “o elemento que efetivamente identifica uma urna no processo eleitoral e permite a total rastreabilidade dos resultados produzidos pelo equipamento”.
Antes do dia da votação, o TSE divulga na internet um documento chamado “tabela de correspondências esperadas” que indica, a partir dos números de carga, qual urna foi instalada em qual seção eleitoral.
Se, no momento da apuração, o código de carga de uma seção não bater com essa tabela, os dados daquela urna ficam pendentes – e aí, só um juiz eleitoral poderá analisar o caso e decidir o que será feito.
Há, ainda, formas mais simples de identificar um boletim de urna. Basta indicar o município, a zona e a seção para encontrar o documento exato referente àquela urna, já que essa combinação de dados também é única.
A consulta por município/zona/seção pode ser feita por qualquer cidadão no site do TSE.
O TSE afirma que há ainda outros códigos, mais específicos e de uso técnico, que também permitem cravar que aquele documento é de uma urna específica – por exemplo, os números que identificam as mídias de carga e de votação usadas em cada urna.
Como garantir que as informações em si de cada urna eletrônica são legítimas?
Todos os mecanismos descritos acima são úteis para garantir que um documento, de fato, foi emitido por uma urna eletrônica específica.
Há outros sistemas, no entanto, voltados a garantir a veracidade dos dados presentes neste documento. Ou seja, garantir que nenhum voto foi adulterado.
Uma das principais ferramentas para evitar qualquer fraude é o próprio “log de eventos” emitido pela urna.
Cada linha desse “log” representa uma operação distinta, indicando por exemplo que a urna foi inicializada, o programa foi inserido ou o horário foi corrigido.
Essa informação é autenticada por um código que, entre outras informações, usa o código de autenticação da linha imediatamente anterior.
Com isso, o sistema impede que alguém possa apagar o registro de operações anteriores ou inserir artificialmente uma operação falsa – fraudes assim gerariam uma incongruência nos códigos que poderia ser facilmente identificada por sistemas de auditoria.
Como é possível conferir esses códigos e sistemas?
Os códigos de correspondência (entre a urna e carga inserida) aparecem nos próprios documentos emitidos pelas urnas – tanto no log, quanto no RDV e no boletim de urna.
Os códigos da mídia de carga e da mídia de votação também são disponibilizados pelo TSE, assim como os códigos da assinatura digital, e puderam ser verificados pelas auditorias das entidades fiscalizadoras.
“Essas informações, somadas a assinatura digital de cada urna com chave própria e exclusiva nos arquivos, garantem que uma análise individualizada de cada arquivo de log permitirá identificar sua origem de forma inequívoca”, explica a Justiça Eleitoral.
