Verificabilidade e Sigilo do Voto
Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE
Ninguém duvida de que o sufrágio universal é um elemento fundamental de uma democracia,
e, naturalmente, a medida de sua precisão, sua legitimidade e sua incorruptibilidade
determina a saúde do regime democrático que lhe dá acolhida. Nesse sentido, as intenções do
eleitor devem ser coletadas e agregadas de modo absolutamente transparente para a
obtenção do resultado de uma eleição. Por outro lado, em razão do fato de que o
conhecimento público do voto do indivíduo pode levar à coação e à compra de voto, o
processo que registra a intenção do eleitor e calcula o resultado final deve também manter o
sigilo da cédula eleitoral. Eis que se apresenta um conjunto contraditório de requisitos:
transparência e sigilo. Com efeito, o sigilo da cédula conflita com a auditabilidade, e ainda
assim a privacidade é do interesse não apenas do indivíduo mas da própria instituição do voto
secreto.
O ideal é que cada votante seja capaz de verificar que os votos foram computados
corretamente. No caso do voto aberto, é claro, tudo se resolve trivialmente: todos sabem
quem votou em quem, e em caso de erro na contagem a contestação é inquestionável. Por
outro lado, o voto secreto tem um valor essencial para garantir que o voto expresse a vontade
do eleitor de modo fidedigno. (Ao que tudo indica, um dos exemplos mais bem documentados
do uso de votação secreta é a eleição do Papa, que tem sido conduzida através do voto secreto
desde 1288. O artigo 31 da Constituição francesa de 1795 diz que todas as eleições devem ser
realizadas através do voto secreto, embora o portal da Assembléia Nacional registre que o
sigilo do voto somente foi adotado de forma permanente em 1914. Restou à Austrália o papel
de país pioneiro na adoção de cédula de votação secreta em 1865.)
Historicamente, a votação que em tempos idos era centralizada num único local passou a ser
distribuída em diversos locais de votação remotamente distanciados. Com uma grande
quantidade de sessões eleitorais, cada uma coletando e registrando pelo menos algumas
centenas de votos durante muitas horas, torna-se praticamente impossível ao eleitor a
fiscalização direta da contagem dos votos, ou mesmo a presença de um representante de cada
uma das organizações interessadas em todas as sessões, ao mesmo tempo que se preserva a
confiança e a convivialidade do processo de votação. Como se não fora bastante, com a
introdução das máquinas de votação do tipo “Direct Recording Electronic” (DRE) sem a
produção de “Voto Impresso Conferível pelo Eleitor” (em inglês “Voter Verified Paper Audit
Trails”, abrev. VVPAT), nem os próprios eleitores nem os presidentes e agentes da sessão
eleitoral podem contar os votos: transfere-se o processo a uma empresa privada que fabrica a
máquina de votação eletrônica.
Diante de todo esse contexto, não é difícil concluir que garantir a integridade de uma eleição é
um grande desafio. Além da necessidade de autenticação de milhões de eleitores, e do
imperativo de coletar, registrar, contar e armazenar milhões de votos, hoje existem milhões de
máquinas de votação contendo milhões de linhas de código a serem avaliadas quanto a
vulnerabilidades de segurança. Como se isso não fosse bastante, os sistemas de votação têm

um requisito um tanto peculiar: apesar do desideratum de prover um “comprovante” de que
seu voto será computado corretamente (pois, assim uma possível recontagem teria maior
credibilidade), o eleitor não deve sair da cabine com um “recibo” que o permitiria provar a
alguém qual foi seu voto, pois dessa forma poderia ser coagido ou mesmo se vender a votar de
uma certa maneira. Essa ausência de recibo torna o desenho de um sistema seguro de votação
ainda mais desafiador do que um sistema seguro de transações bancárias, onde o recibo é uma
norma. É como se, ao recusar o recibo em nome da garantia da privacidade, destruímos a
evidência da corretude (ou não) do resultado da eleição.
O uso de técnicas da criptografia moderna propicia uma solução para a reconciliação do
aparentemente irreconciliável, permitindo a construção de um sistema de votação
transparente que permite que a votação seja realizada em diversas localizações
geograficamente distanciadas, ao mesmo tempo em que garante o sigilo da cédula eleitoral.
Por exemplo, em recente artigo científico intitulado “Scantegrity II: End-to-End Verifiability for
Optical Scan Election Systems using Invisible Ink Confirmation Codes”, apresentado no
Electronic Voting Technology Workshop (San Jose, Calif., 28-29 Jul 2008), David Chaum e
equipe propuseram o sistema “Scantegrity II: Invisible Ink”, uma evolução da segurança fim-a-
fim para sistemas de votação de leitura ótica existentes que permite que cada eleitor verifique
que seu voto é processado corretamente, sem introduzir nenhum equipamento local de
votação adicional. Informações adicionais são impressas nas cédulas de leitura ótica durante a
produção, mas o método subjacente pelo qual o eleitor marca sua cédula não é modificado, e
permanence de acordo com as propostas legislativas americanas que exigem que os registros
de auditoria em papel não estejam criptografados.
Uma abordagem “fim-a-fim” (em inglês, “end-to-end”, abrev. E2E) a sistemas de votação busca
propiciar verificabilidade dos principais passos do processo de votação. Mais especificamente,
um sistema E2E permite a verificação de que todas as cédulas depositadas são incluídas sem
adulteração na contagem de votos, uma propriedade que não é assegurada no caso do sistema
com VVPAT, tampouco no caso da recontagem manual. Em outras palavras, os chamados
sistemas de votação E2E, também conhecidos como sistemas de votação com auditoria aberta,
são aqueles que propiciam: (1) verificabilidade pelo eleitor: algum tempo após depositar seu
voto, cada eleitor pode confirmar que seu voto foi “coletado conforme depositado”
verificando informações do recibo (que preservam a privacidade) contra um registro público
de recibos disponibilizado pelos agentes oficiais da eleição; (2) verificabilidade universal:
qualquer pessoa pode verificar que os votos foram “contabilizados conforme coletados”, isto
é, a totalização disponibilizada está correta com respeito ao registro público de recibos
disponibilizados.
No Brasil, conforme indica o portal VotoSeguro.org, a Lei 12.034/09, conhecida como
Minirreforma Eleitoral, foi sancionada em 29 de setembro de 2009 e estabelece novas regras
eleitorais relativas ao uso da internet, a campanhas e prestação de contas. Também aborda a
auditoria do resultado eleitoral e reintroduz o voto em trânsito. O artigo 5º da minirreforma
traz o conceito de “Auditoria Independente do Software nas Urnas Eletrônicas” que deverá ser
realizada, a partir das eleições de 2014, por meio da recontagem do VVPAT em 2% das seções
eleitorais.

Em recente palestra intitulada “Security of Voting Systems” (“Segurança de Sistemas de
Votação”) apresentada ao Grupo de Segurança Computacional da Stanford University, Ron
Rivest, pesquisador e professor do MIT, e um dos pioneiros da criptografia moderna,
apresentou algumas das tendências e inovações recentes na tecnologia de sistemas de
votação eletrônica. Além de descrever algumas abordagens promissoras para a resolução de
conflitos inerentes aos requisitos dos sistemas de votação eletrônica (verificabilidade, ausência
de recibos), incluindo algumas técnicas baseadas em criptografia, Rivest apresentou uma
breve exposição do sistema de votação fim-a-fim chamado "Scantegrity II'", desenvolvido por
David Chaum e uma equipe de pesquisadores do MIT, da George Washington Univ, da Univ of
Maryland (Baltimore County), Univ Ottawa, e Univ Waterloo, para a eleição de Novembro
passado na cidade de Takoma Park, no estado de Maryland.
Tal qual ocorreu na solução, no final da década de 1970, do aparentemente insolúvel
“problema da distribuição de chaves” da criptografia clássica, eis que a criptografia moderna
mostra mais uma vez a força de suas técnicas de extrema engenhosidade. O resultado é que
nos últimos 25 anos, criptógrafos têm desenvolvido protocolos de votação que prometem uma
mudança radical de paradigma: os resultados de uma eleição podem ser inteiramente
verificados por observadores públicos, ao mesmo tempo em que se preserva o sigilo do voto.