[VotoEletronico] Re: Opiniao sobre SELA
Amilcar Brunazo Filho wrote: > Caro Marcelo, > > Agradeço a sua disposição em prestar esclarecimentos ao Fórum do Voto-e aos > nossos questionamentos sobre dispositivo SELA e, dentro deste mesmo > espírito de debate aberto, respondo a suas colocações e objeções ao voto > impresso como meio de conferência da apuração. Perfeito Amilcar. Benjamin Azevedo __ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __
[VotoEletronico] Re: Opiniao sobre SELA
Caro Marcelo, Agradeço a sua disposição em prestar esclarecimentos ao Fórum do Voto-e aos nossos questionamentos sobre dispositivo SELA e, dentro deste mesmo espírito de debate aberto, respondo a suas colocações e objeções ao voto impresso como meio de conferência da apuração. Mas antes de entrar nas respostas diretas a cada pergunta por você formulada gostaria de lembrar dois pontos importantes a serem considerados numa análise de segurança de sistemas de Voto-e: 1- O Principio da Segurança em Primeiro Lugar, PSPL. Entendo que a segurança do voto (inviolabilidade e justa apuração) e a confiabilidade que o processo dá ao eleitor são condições primordiais que devem ser atendidas pelo projeto do sistema eleitoral e das quais não se pode abrir mão por causa de dificuldades técnicas. Outras qualidades, como rapidez e facilidade de uso e operação, são desejáveis mas não são prioritárias. Em nome destas não se pode abandonar as primeiras. Em resumo, como a mulher de César, um sistema eleitoral tem que ser honesto a além disso parecer honesto também. Já, ser bonito é bom mas é dispensável. Se na implementação de um certo item de segurança do processo houver dificuldades técnicas, estas dificuldades DEVEM ser contornadas ao custo que for necessário. E se o custo for proibitivo, então o projeto todo deve ser abandonado. O que não se pode é abrir mão de condições de segurança em nome da simplificação e barateamento do sistema. Este é o PSPL. 2- Determinação do Potencial de Dano (PD) e Valor do Risco de cada fraude possível. Como abordo nos mesmo dois trabalhos acima citados (itens 1.1 e 1.2 respectivamente) a cada fraude imaginada deve-se procurar associar um índice relativo que designe o Potêncial de Dano desta fraude. Fraudes de PD maiores devem receber mais atenção e e assumirem maior "custo" no trabalho de se criar defesas contra elas. At 15:44 21/08/2001 -0300, Marcelo Ferreira Guimarães wrote: >Prezado Amilcar, >Continuo na expectativa da resposta do Programa SOCINFO em patrocinar o >evento que promoveria uma discussão técnica sobre as soluções adotadas. >O debate pessoal certamente vai ser mais interessante. >Manterei contato assim que tiver notícias do SOCINFO. É grande, também, minha espectativa que você consigua viabilizar este debate. Eu tentei viabilizar o tal Seminário do Voto Eletrônico no Senado, que o TSE e o Senado (em decisão de plenario) haviam decidido promover, mas os responsáveis por ambas entidades (Jobim e Requião), cada um com seu motivo próprio, acabaram se desinteressando pelo evento e nada resultou. >Continuo também na expectativa de receber de você comentários sobre os >questionamentos que fiz em relação aos seguintes aspectos do sistema de >impressão em papel dos votos: facilidades de ataque destrutivo de >resultado que a impressão do voto vai permitir novamente por uso de urnas >comuns; O ataque destrutivo que o voto impresso permite com o uso de urnas comuns consiste no atacante trocar ou inserir votos dentro a urna de lona antes da sua apuração para efeito de conferência. Abordei este problema na minha palestra que proferi ni SSI'2000, cujo texto pode ser vista em: http://www.brunazo.eng.br/voto-e/textos/SSI2000.htm (ver Argumento 1 do item 2.2) Também abordei este caso de forma um pouco mais detalhada no relatório que apresentei à CCJ do Senado e que está em: http://www.jus.com.br/doutrina/urnael15.html (ver Argumento 1 do item 2.2.3) onde concluo dizendo: "o Potencial de Dano deste alegado ataque deve ser estimado na sua devida proporção, pois a situação agora é diferente do caso do sistema tradicional de voto onde se o atacante obtivesse sucesso em trocar os votos de uma urna teria conseguido um ataque dirigido construtivo completo, pois teria desviado com sucesso os votos de aproximadamente 400 a 500 eleitores. No caso da urna eletrônica com o voto impresso, se o atacante tiver sucesso em trocar os votos em papel de uma urna vinculada a uma urna eletrônica, teria conseguido apenas um ataque destrutivo detectável, que daria trabalho aos auditores, mas cujo efeito de alterar a Verdade Eleitoral seria anulado." Assim, a impressão de voto com meio de conferência da apuração é uma defesa criada contra uma fraude de enorme PD (por ex., eleger um presidente da república fraudulento) que gera, ao ser adotada, a possibilidade de outro tipo de fraude de PD mínimo (uma vez que dectável e corrigível). Neste aspecto, a proposta do voto impresso, que não afasta a adoção de outras formas de defesa, me parece possitiva. >qual a opinião formada sobre as fragilidades da impressão em relação à >logística de caixas enormes para armazenar mais de 600 pedaços de papel >térmico com cerca de 100 mm cada; Entendo que esta questão já foi respondida quando disse que defendo o PSPL. Qualquer custo não proibitivo vale, quando sua função é dar garantia ao processo eleitoral. O custo para se guardar urnas de lona me parece menor que o de guardar
[VotoEletronico] Re: Opiniao sobre SELA
Isso é verdade. Mas o problema é que ambos, SELA e UE, tem a mesma origem: o TSE e empresas sub-contratadas. Imaginemos que um partido politico qualquer proponha ao TSE acoplar um aparelho semelhante (um MAEE, digamos assim!) na urna eletronica, a fim de exercer o seu direito de fiscalizacao das eleicoes. Ai', sim, teriamos uma verdadeira fiscalizacao, e os problemas apontados pelo Paulo Mora nao se apresentariam, pois o aparelho fiscalizador teria uma fonte diferente do aparelho fiscalizado. Ai', sim, faria sentido falar em fiscalizacao! - Mas... sera' que o TSE toparia? Claro que o TSE iria alegar mil desculpas diferentes!!! Que o aparelho poderia interferir na urna etc. etc. etc. Nos temos que confiar no TSE, mas o TSE jamais confiaria no partido! - PS: e' logico que, mesmo que o TSE topasse, nao seria ainda a solucao. Nao basta que um partido aprove a urna eletronica, seria necessario que cada partido aprovasse a urna, por seus proprios meios. Para ser mais exato, que cada eleitor possa, por seus proprios meios, aferir se a urna eletronica funciona corretamente ou nao. Temos duas solucoes possiveis: cada eleitor instala seu MAEE na urna, ou entao imprimimos o voto. Qual seria a mais simples? ;)) Abraco, PAULO GUSTAVO SAMPAIO ANDRADE Teresina - Piaui E-mail --> [EMAIL PROTECTED] Jus Navigandi --> http://www.jus.com.br
[VotoEletronico] Re: Opiniao sobre SELA
Kika, Obrigado por ter analisado a minha mensagem. Que bom que as observações que fiz sejam pertinentes. Quanto a > Porém, há um cuidado que os atacantes teriam que tomar para obter sucesso. > Teriam que inserir fraude idêntica no programa da urna, para que as duas > apurações, da UE e do SELA, fraudassem "por igual". Isso é verdade. Mas o problema é que ambos, SELA e UE, tem a mesma origem: o TSE e empresas sub-contratadas. Daí que a probabilidade de um mesmo sujeito ou quadrilha ter acesso aos dois, na moita, é maior do que zero. Essa é uma das vantagens alegadas da impressão do voto. Os atacantes teriam que agir em dois momentos diferentes, em contextos diferentes e com tecnologias diferentes. Ficaria mais difícil. Eis mais um aspecto a se insistir junto aos parlamentares interessados no assunto. Além de mostrar que os testes de segurança do SELA não asseguram coisa alguma. Abração, Paulo Mora de Freitas. __ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __
[VotoEletronico] Re: Opiniao sobre SELA
Amilcar Brunazo Filho wrote: > ... > De forma que os autotestes propostos pela equipe do SELA são mesmo furados > e poderiam ser burlados por programas fraudulentos. A comprovação da > integridade do conteúdo do SELA deve ser feito de outra forma (certamente > mais custosa e difícil na prática, para os 400.000 equipamentos) > > ... > > Nenhum equipamento/programa pode atestar a sua própria confiabilidade técnica. > Confiabilidade só pode ser repassada de um programa previamente confiável > (aquele que o fiscal possui) para outro que será avaliado (o programa sob > análise). > > Em outras palavras, confiança (técnica) é algo que é atribuido a um agente > por outro. Não é coisa que um único agente possa atribuir a si mesmo. > > Em outras palavras mais simples ainda: > > A frase "La garantia soy Yo", tão a gosto dos técnicos do TSE/CEPESC, NÃO > VALE !!! > > (eu tentei ser polido nesta mensagem, mas não tem jeito, acabei dando um > "cutução") > :^( > > [ ]s >Amilcar Amilcar, Devemos reconhecer que voce tem se esforcado bastante em ser polido e politicamente correto no trato desta questao. Mas o que tem que ser dito, tem que ser dito. []s Benjamin Azevedo __ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __
[VotoEletronico] Re: Opiniao sobre SELA
Prezado Sr Fernando Koch, Nenhuma CAIXA PRETA poderá substituir o CRISTALINO VOTO IMPRESSO PREVIAMENTE RUBRICADOS PELOS MESÁRIOS ou, em uma LISTA CONTÍNUA E INOBLITERÁVEL. NADA DE CAIXAS PRETAS PARA ENGABELAR O POVO. Do amigo listeiro, Leamartine Pinheiro de Souzahttp://www.LeamartineP.Souza.nom.br [EMAIL PROTECTED] - Original Message - From: Fernando Koch To: [EMAIL PROTECTED] Sent: Wednesday, August 15, 2001 10:38 AM Subject: [VotoEletronico] Re: Opiniao sobre SELA Caros Leamartine e Aristoteles,>Os computadores atuais são dotados da tecnologia plug and play, ou seja, aoconectar-se>uma impressora, ou qualquer outro acessório, o computador constata estapresença,>identifica-a e busca os drivers para a perfeita interação com o novoequipamento. O programaSim, se o Sistema Operacional suportar esta caracteristica. Mas isto --busca de drivers -- eh irrelevante aqui. Deteccao de dispositivo conectado auma porta existia muito antes do PNP !?>da Urna Eletrônica, a o tomar conhecimento deste novo acessório, poderiaestar preparado>para agir de uma forma diferente das urnas normais, jogando por terra odinheiro investidoSim, concordei com esta colocacao do Aristoteles. Realmente esta eh umapossibilidade que nao havia me dado conta antes. Entao, ratificando, as MAEEdeveriam ser instaladas em TODAS as urnas, e nao em 3% como havia ditoantes. Se todas as urnas entao tiverem de se comportar de forma 'correta',menos mal.>> Aristoteles>Observe que se esta interface permite que um dispositivo requeira dados,analise os dados>das diversas posições da memória e registros do processadorSim, se o sistema operacional da urna assim estivver implementado, ehpossivel que dados provenientes da serial ou paralela sejam usados paraalterar dados internos da urna. Mas 'para que' isto? Altere-se direto damemoria e nao a partir de dados vindos de dispositivos externos (?)>Destarte aquelas máquinas só se tornarão LICITAS (elas são ilícitas postoque as leis>tratam de urnas e votos, e nenhuma destas duas coisas existem à luz dovernáculo) se forem>construídas com um mínimo de tecnologia, ou seja, se o programa for legívelao mais>simples programador; e se os programas forem - ao processo - um meroacessório de dois>objetos (voto e urna) que sintetizam o processo eleição.Concordo. Por isto que disse que as MAEE sao um paleativo para o processo deagora, ja fadado ao uso das urnas eletronicas. Como voce havia dito,Aristoteles: melhor que nada!Infelizmente, na minha opiniao, so poderia haver UMA midia -- em papel -- eo processo de contabilizacao seria automatizado. Isto bem encaixa com todasua retorica apresentada, pois eh um meio simples, que todos entendem com umprocesso complexo por traz (leitor de voto) que serve de auxilio, mas naocomo fim E nisto acho que ambos concordamos.Cordialmente-Fernando Koch_Do You Yahoo!?Get your free @yahoo.com address at http://mail.yahoo.com__Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org__
[VotoEletronico] Re: Opiniao sobre SELA
Caros Leamartine e Aristoteles, >Os computadores atuais são dotados da tecnologia plug and play, ou seja, ao conectar-se >uma impressora, ou qualquer outro acessório, o computador constata esta presença, >identifica-a e busca os drivers para a perfeita interação com o novo equipamento. O programa Sim, se o Sistema Operacional suportar esta caracteristica. Mas isto -- busca de drivers -- eh irrelevante aqui. Deteccao de dispositivo conectado a uma porta existia muito antes do PNP !? >da Urna Eletrônica, a o tomar conhecimento deste novo acessório, poderia estar preparado >para agir de uma forma diferente das urnas normais, jogando por terra o dinheiro investido Sim, concordei com esta colocacao do Aristoteles. Realmente esta eh uma possibilidade que nao havia me dado conta antes. Entao, ratificando, as MAEE deveriam ser instaladas em TODAS as urnas, e nao em 3% como havia dito antes. Se todas as urnas entao tiverem de se comportar de forma 'correta', menos mal. >> Aristoteles >Observe que se esta interface permite que um dispositivo requeira dados, analise os dados >das diversas posições da memória e registros do processador Sim, se o sistema operacional da urna assim estivver implementado, eh possivel que dados provenientes da serial ou paralela sejam usados para alterar dados internos da urna. Mas 'para que' isto? Altere-se direto da memoria e nao a partir de dados vindos de dispositivos externos (?) >Destarte aquelas máquinas só se tornarão LICITAS (elas são ilícitas posto que as leis >tratam de urnas e votos, e nenhuma destas duas coisas existem à luz do vernáculo) se forem >construídas com um mínimo de tecnologia, ou seja, se o programa for legível ao mais >simples programador; e se os programas forem - ao processo - um mero acessório de dois >objetos (voto e urna) que sintetizam o processo eleição. Concordo. Por isto que disse que as MAEE sao um paleativo para o processo de agora, ja fadado ao uso das urnas eletronicas. Como voce havia dito, Aristoteles: melhor que nada! Infelizmente, na minha opiniao, so poderia haver UMA midia -- em papel -- e o processo de contabilizacao seria automatizado. Isto bem encaixa com toda sua retorica apresentada, pois eh um meio simples, que todos entendem com um processo complexo por traz (leitor de voto) que serve de auxilio, mas nao como fim E nisto acho que ambos concordamos. Cordialmente- Fernando Koch _ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com __ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __
