.
Um projecto de votação electrónica apoiado pela DARPA – o centro nevrálgico do Tio Sam – para melhorar o processo de votação por correspondência para militares americanos estacionados no estrangeiro foi criticado por investigadores de segurança.
Em fevereiro, a VotingWorks, uma desenvolvedora de tecnologia eleitoral sem fins lucrativos, exibiu um protótipo de sistema de votação criptografado. Com o apoio financeiro da DARPA, o projeto visa facilitar o voto do pessoal de serviço nas eleições dos EUA quando estacionado fora dos Estados Unidos.
De acordo com o Programa Federal de Assistência ao Voto, cerca de três quartos dos 1,3 milhões de militares em serviço activo são elegíveis para votar ausentes, mas muitos enfrentam barreiras que dificultam a participação nas eleições. A taxa de participação eleitoral entre os militares foi significativamente inferior à taxa dos civis em 2022 (26 por cento versus 42 por cento) – daí a DARPA e a VotingWorks quererem ajudar o pessoal de serviço a participar no processo democrático.
O sistema proposto – apelidado de CACvote em referência aos cartões de identificação militares inteligentes denominados “Cartões de Acesso Comum” – consiste em quatro elementos: quiosques de votação em bases militares para militares; um sistema de computador que recebe cédulas desses quiosques; um protocolo criptográfico para codificação e transmissão de cédulas, que também são impressas e enviadas pelo correio; e um protocolo de auditoria de limitação de risco (RLA) destinado a detectar violações de integridade (por exemplo, hacking) que alterem o resultado de uma eleição e a corrigir o resultado.
Os dois últimos elementos – o protocolo criptográfico e o RLA – são conhecidos coletivamente como MERGE, que significa Matching Electronic Results with Genuine Evidence. As cédulas de papel representam essa evidência.
De acordo com um artigo de análise de Andrew Appel, professor de ciência da computação na Universidade de Princeton, e Philip Stark, professor de estatística na UC Berkeley, MERGE “contém ideias interessantes que não são inerentemente doentias”, mas não é realista dados os aspectos legais, institucionais, e mudanças práticas necessárias para fazê-lo funcionar.
A MERGE, argumentam eles, oferece cédulas de papel como uma forma de verificar votos eletrônicos – se e quando determinantes para o resultado eleitoral – sem necessariamente expor a identidade do eleitor. Assim, no caso de uma auditoria, as discrepâncias entre o registo da votação electrónica e o registo da votação em papel poderiam ser identificadas sem ter de comparar todas as cédulas electrónicas e em papel.
O CACvote e o MERGE, segundo os autores, pretendem permitir a contagem imediata dos votos electrónicos, sem ter de esperar cerca de cinco dias para que os boletins de papel cheguem ao gabinete eleitoral local do eleitor por correio.
Mas o esquema, insistem, não é necessário nem viável.
“Enviar um voto eletrônico não confiável para ser contado, respaldado por uma cédula de papel que é a prova genuína – mas que não será contado a menos que haja uma recontagem vinculativa com regras adequadas – é uma solução em busca de um problema; é desnecessário, “afirmam Appel e Stark.
A MERGE, observam, faz exigências irrealistas aos eleitores para que verifiquem as assinaturas criptográficas, procurem essas assinaturas num quadro de avisos público vários dias depois de votarem e depois verifiquem se o seu boletim de voto impresso reflecte as suas vozes de voto no ecrã táctil.
“Na análise de segurança do documento MERGE, a fração de eleitores que não ‘seguem as instruções’ não é quantificada; esta é uma omissão grave, pois certamente se o número for extremo, deve minar a segurança do protocolo”, argumentam Appel e Totalmente.
A percentagem de eleitores que não “seguem as instruções” não é quantificada; isso é uma omissão grave
Os autores prosseguem argumentando que a proposta está tão desalinhada com as leis eleitorais e as práticas reais dos EUA que é inimplementável. Especificamente, observam que apenas cinco por cento dos eleitores vivem em três estados dos EUA – Colorado, Rhode Island e Virgínia – que têm requisitos vinculativos de RLA para as eleições.
“Mesmo nesses estados, a segurança do CACvote dependeria de mudanças na legislação estadual para integrar o seu protocolo complexo e exigir um RLA para cada disputa em cada eleição, independentemente da margem reportada e da carga de trabalho prevista”, observam. “Em qualquer outro estado, o CACvote não pode ser mais seguro do que qualquer outra forma de votação pela Internet.”
E a votação pela Internet, afirmam, simplesmente não é segura. “O consenso dos especialistas em segurança eleitoral é que as cédulas devolvidas eletronicamente são vulneráveis a ataques e manipulação remota em grande escala”, afirmam os autores.
Para ilustrar este ponto, citam vários sistemas de votação electrónica que foram considerados inseguros em Washington, DC, na Estónia, na Austrália e na Suíça, bem como os sistemas Voatz e Democracy Live.
Ben Adida, diretor executivo da VotingWorks e líder técnico do projeto, contesta as afirmações do pesquisador.
Não concordamos com a premissa deles
“Acolhemos com satisfação todos os comentários sobre o projeto de pesquisa CACvote – é exatamente disso que se trata a pesquisa aberta e transparente”, disse ele. O Registro. “Dito isto, pensamos que as críticas ao CACvote deveriam basear-se na investigação em si, e não em alternativas imaginadas.
“Não concordamos com a premissa deles. O artigo deles implica que, se você retirar as medidas de segurança baseadas em papel que especificamos, coisas ruins podem acontecer. Bem, é claro. O mesmo pode ser dito do papel marcado à mão pessoalmente. eleições baseadas em eleições. Se você não realizar uma auditoria pós-eleitoral nessas eleições, elas também estarão vulneráveis a um ataque puro de software.
“Há, hoje, um movimento significativo em direção à votação real pela Internet para eleitores militares. Achamos que é uma tendência ruim. Estamos pesquisando o CACvote precisamente para que possamos fornecer uma alternativa prática à votação pela Internet que mantenha uma cédula de papel auditável e verificável pelo eleitor. Nós não apoiamos, sob nenhuma circunstância, a remoção da parte auditável da cédula de papel verificável pelo eleitor de nosso projeto.”
A DARPA não respondeu imediatamente a um pedido de comentário. ®
.
