Como o eleitor pode ter certeza da segurança das urnas?
A urna eletrônica conta com diversos mecanismos pelos quais o próprio eleitor ou entidades da sociedade civil podem verificar a segurança e o perfeito funcionamento do sistema.
A Justiça Eleitoral utiliza o que há de mais moderno em termos de segurança da informação para garantir a integridade, a autenticidade e, quando necessário, o sigilo. Esses mecanismos foram postos à prova durante os Testes Públicos de Segurança, nos quais nenhuma tentativa de adulteração dos sistemas ou dos resultados da votação obteve êxito. Além disso, há diversos mecanismos de auditoria e verificação dos resultados que podem ser efetuados por candidatos e coligações, pelo Ministério Público, pela Ordem dos Advogados do Brasil e também pelo próprio eleitor.
Um dos procedimentos de segurança que pode ser acompanhado pelo próprio eleitor é a cerimônia de votação paralela. Na véspera da eleição, em audiência pública, são sorteadas urnas para verificação. Essas urnas, que já estavam instaladas nos locais de votação, são então conduzidas ao Tribunal Regional Eleitoral e substituídas por outras urnas, preparadas com o mesmo procedimento das originais. No dia da votação, em cerimônia pública, as urnas sorteadas são submetidas à votação, nas mesmas condições em que ocorreria na seção eleitoral, mas com o registro, em paralelo, dos votos que são depositados na urna eletrônica. Cada voto é registrado numa cédula de papel e, em seguida, replicado na urna eletrônica, tudo isso registrado em vídeo. Ao final do dia, no mesmo horário em que se encerra a votação, é feita a apuração das cédulas de papel e comparado o resultado com o boletim da urna. Esse é um procedimento de fácil compreensão e cujo acompanhamento é bastante simples.
Outro mecanismo bastante simples de verificação é a conferência do boletim de urna. Ao final da votação, o boletim da urna com a apuração dos votos de uma seção é um documento público. O resultado de cada boletim de urna pode ser facilmente confrontado com aquele publicado pela Justiça Eleitoral na Internet, seja pela conferência do resultado de cada seção eleitoral, seja pela conferência do resultado da totalização final. Esse é um procedimento amplamente realizado pelos partidos políticos e coligações há muito tempo e que também pode ser feito pelo eleitor.

Como funciona a segurança da urna eletrônica? É possível executar aplicativos não autorizados na urna?
Não é possível executar aplicativos não autorizados na urna eletrônica. Da mesma forma, também não é possível modificar nenhum aplicativo da urna.
A urna eletrônica utiliza o que há de mais moderno quanto às tecnologias de criptografia, assinatura digital e resumo digital. Toda essa tecnologia é utilizada pelo hardware e pelo software da urna eletrônica para criar uma cadeia de confiança, garantindo que somente o software desenvolvido pela Justiça Eleitoral, gerado durante a cerimônia de lacração dos sistemas eleitorais, pode ser executado nas urnas eletrônicas devidamente certificadas pela Justiça Eleitoral. Qualquer tentativa de executar software não autorizado na urna eletrônica resulta no bloqueio do seu funcionamento. De igual modo, tentativas de executar o software oficial num hardware não certificado resultam no cancelamento da execução do aplicativo.
Para todo o conjunto de software produzido durante a cerimônia de lacração dos sistemas eleitorais, são geradas assinaturas digitais e resumos digitais. Caso haja qualquer suspeição quanto à autenticidade do software da urna eletrônica, as assinaturas digitais e os resumos digitais podem ser conferidos e validados, tanto por aplicativos desenvolvidos pela Justiça Eleitoral quanto por software desenvolvido por partidos políticos, pelo Ministério Público e pela Ordem dos Advogados do Brasil.
Por último, todos os dados que alimentam a urna eletrônica, assim como todos os resultados produzidos, são protegidos por assinatura digital. Não é possível modificar os dados de candidatos e eleitores presentes na urna, por exemplo. Da mesma forma, não é possível modificar o resultado da votação contido no boletim de urna, o registro das operações feitas pelo software (log) e o arquivo de Registro Digital do Voto (RDV), entre outros arquivos produzidos pela urna, uma vez que todos também estão protegidos pela assinatura digital.

A urna eletrônica é vulnerável a ataques externos?
A urna eletrônica não é vulnerável a ataques externos. A urna é um equipamento que funciona de forma isolada, ou seja, não possui qualquer mecanismo que possibilite sua conexão a redes de computadores, como a Internet. A urna não possui o hardware necessário para se conectar a uma rede ou mesmo qualquer forma de conexão com ou sem fio. Vale destacar que o sistema operacional Linux contido na urna é preparado pela Justiça Eleitoral de forma a não incluir nenhum mecanismo de software que permita a conexão com redes ou o acesso remoto.
Além disso, as mídias utilizadas pela Justiça Eleitoral para a preparação das urnas e gravação dos resultados são protegidas por técnicas modernas de assinatura digital. Não é possível a um atacante modificar qualquer arquivo presente nessas mídias.

Como o TSE controla/fiscaliza possíveis violações por pessoas que trabalham para a Justiça Eleitoral?
A Justiça Eleitoral utiliza ferramentas modernas de controle de versão do código-fonte dos sistemas eleitorais. A partir dessas ferramentas é possível acompanhar toda modificação feita sobre o código-fonte, o que foi modificado e por quem. Somente um grupo restrito de servidores e colaboradores do Tribunal Superior Eleitoral tem acesso ao repositório de código-fonte e está autorizado a fazer modificações no software. Uma consequência disso é que o software utilizado nas eleições é o mesmo em todo o Brasil e está sob controle estrito do Tribunal Superior Eleitoral.
Por outro lado, o conhecimento sobre os sistemas eleitorais é segregado dentro do Tribunal Superior Eleitoral. Isso significa que a equipe responsável pelo software da urna não é a mesma que cuida do sistema de totalização. Esse controle de acesso ocorre inclusive em nível de sistema de controle de versões. A quantidade de sistemas eleitorais envolvidos na realização de uma eleição é tão grande que se torna impraticável a um agente interno ter um grau de conhecimento do todo que o permita realizar algum tipo de ataque.
Além disso, durante o período de desenvolvimento dos sistemas eleitorais, são realizados diversos testes tanto pelo Tribunal Superior Eleitoral quanto pelos tribunais regionais, com o objetivo de averiguar o correto funcionamento de todo o conjunto de software. Os partidos políticos, o Ministério Público e a Ordem dos Advogados do Brasil podem acompanhar o desenvolvimento do software, através de inspeção do código-fonte, no próprio ambiente no qual serão gerados os aplicativos que serão utilizados nas eleições.
Além dos servidores do quadro da Justiça Eleitoral, são contratados, durante o período eleitoral, colaboradores para a prestação de apoio às atividades de transporte, preparação e manutenção das urnas eletrônicas. Também são convocados milhões de mesários para o dia da votação. Em nenhum momento, esses colaboradores ou os mesários possuem acesso ao código-fonte dos sistemas eleitorais. Embora essas pessoas tenham contato com as urnas eletrônicas, elas são incapazes de violar o software e o hardware. Isso é garantido pelos diversos mecanismos de segurança, baseados em assinatura digital e criptografia, que criam uma cadeia de confiança entre hardware e software e impedem qualquer violação da urna eletrônica.

Desde a implantação da urna eletrônica, quantos e quais são os casos de suspeita de fraude identificados pela Justiça Eleitoral?
A urna eletrônica foi implantada nas eleições brasileiras de 1996. Nestes 20 anos são frequentes os casos de suspeita de fraude. No entanto, nenhum caso até hoje foi identificado e comprovado. Essa conclusão é do TSE, dos TRE's e também de outros órgãos que, constitucionalmente, tem a prerrogativa de investigar o processo eleitoral brasileiro e que já realizaram auditorias independentes na urna eletrônica, como o Ministério Público e a Polícia Federal.
Na verdade, a informatização do processo eleitoral brasileiro conseguiu eliminar uma série de manobras e desvios responsáveis por muitas fraudes nas eleições. Desde o cadastro único computadorizado de eleitores, em 1985, até a adoção do reconhecimento biométrico do eleitor, são inúmeros os mecanismos de combate à fraude que a Justiça Eleitoral adotou e vem adotando.

Por que o modelo de urna utilizado no brasil não foi adotado em outros países?
O Brasil não trabalha com um modelo de urna eletrônica, no sentido de utilização de um produto disponível no mercado. A urna eletrônica brasileira é um projeto único, desenvolvido para atender à realidade nacional, não se trata de um produto destinado à exportação.
Desde o advento da urna eletrônica em 1996, diversos países têm consultado o Tribunal Superior Eleitoral com o objetivo de conhecer e adotar essa inovadora tecnologia brasileira. Em alguns casos, parcerias foram firmadas com o propósito de compartilhamento de conhecimento entre as nações. Desde então, o voto eletrônico tem sido adotado por muitos países e, naturalmente, cada nação tem feito as adequações tecnológicas necessárias para compatibilizar a tecnologia com a sua legislação, cultura e economia.
As parcerias firmadas no passado com outros países compreenderam o empréstimo de urnas eletrônicas e as adequações de software necessárias para atender à legislação do país parceiro. Na prática, o Tribunal Superior Eleitoral foi o responsável por todo o suporte de software e hardware das eleições desses países, tudo devidamente acompanhado e fiscalizado pelas autoridades locais. Infelizmente, restrições orçamentárias e de pessoal forçaram o Tribunal Superior Eleitoral a encerrar essas parcerias e, a partir daí, alguns países não foram capazes de desenvolver tecnologia própria e abdicaram do voto eletrônico.
Outros países, após a troca de experiências com o Tribunal Superior Eleitoral, desenvolveram sistemas informatizados próprios ou julgaram que o voto eletrônico possuía um custo muito elevado de implantação – em locais onde a incidência de fraudes eleitorais é muito baixa ou a quantidade de eleitores é reduzida, o custo de adoção do voto eletrônico pode ser proibitivo. Atualmente, diversos países utilizam o voto eletrônico com regularidade, total ou parcialmente, e outros ainda estão testando e desenvolvendo soluções próprias.

O que é o Registro Digital do Voto (RDV)?
O Registro Digital do Voto (RDV) é o arquivo no qual os votos dos eleitores são registrados na urna. É a partir desse arquivo que o relatório zerésima – relatório que indica que a urna não possui votos registrados – é emitido. Também é sobre o RDV que o boletim de urna – relatório com a apuração dos votos da seção – é gerado.
O arquivo de RDV possui duas características importantes:

• O voto é registrado exatamente como digitado pelo eleitor: o RDV registra exatamente aquilo que foi digitado pelo eleitor na urna, e somente isso, sem qualquer processamento ou informação adicional (não há como vincular um voto no RDV a um eleitor). O RDV é utilizado somente no encerramento da votação para gerar o boletim de urna e, assim, realizar o somatório dos votos de cada candidato ou legenda e o cômputo de votos nulos e brancos. Como o RDV preserva exatamente aquilo que o eleitor digitou, esse arquivo é um instrumento importante de auditoria e verificação da correta apuração de uma seção; e 
• O registro do voto garante o seu sigilo: assim como numa urna de lona tradicional, na qual as cédulas de papel ficam embaralhadas impossibilitando a vinculação de cada cédula a um eleitor, no RDV, cada voto é gravado numa posição aleatória do arquivo. Em particular, o voto, em cada cargo, é armazenado numa posição diferente, não permitindo qualquer tipo de associação entre votos, tampouco a associação desses votos com a sequência de comparecimento dos eleitores.

Aos partidos políticos e às coligações, é permitida a obtenção de cópias dos arquivos de RDV de todas as urnas que julgarem necessário. De posse do RDV e da especificação do formato do arquivo, disponibilizada pela Justiça Eleitoral, os partidos e as coligações desenvolvem aplicativos próprios para comparação da apuração oficial da urna eletrônica com aquela produzida pelo seu próprio software.

O sistema da urna eletrônica mantém um registro das suas operações?
A urna eletrônica mantém um arquivo com o registro cronológico das principais operações realizadas pelo seu software – esse é o arquivo de log. Entre outras operações, ficam registrados, no arquivo de log, o início e o encerramento da votação, a emissão de relatórios, os aplicativos que foram executados, os ajustes de data e hora, a realização de procedimentos de contingência e os registros que auxiliam na avaliação da dinâmica do voto.
O arquivo de log é mais um mecanismo de transparência e auditoria disponibilizado pela Justiça Eleitoral. A partir do log é possível analisar toda a história da urna eletrônica, desde a sua preparação até o encerramento da votação no 2º turno. Assim como o arquivo de RDV, o arquivo de log também é disponibilizado aos partidos políticos e coligações, para que estes façam sua própria análise dos eventos ocorridos na urna eletrônica.
A partir dos arquivos de log de todas as urnas eletrônicas, a Justiça Eleitoral monta um poderoso banco de dados, do qual é possível extrair informações valiosas sobre a dinâmica da votação. Essas informações subsidiam a melhoria de diversos processos relacionados à urna eletrônica, tais como a preparação da urna, os componentes que estão apresentando uma maior taxa de defeitos, a velocidade da votação e a dinâmica da utilização da biometria. Tudo isso é utilizado para prover um melhor atendimento ao eleitor no dia da votação e para agilizar os trabalhos de preparação e fiscalização das urnas eletrônicas.

Com qual finalidade o sistema da urna eletrônica armazena a hora de votação?
A urna eletrônica armazena a hora em que um eleitor foi habilitado para votar, sem identificá-lo. Essa informação é útil para o cálculo de indicadores gerenciais, como o tempo médio de votação do eleitor. A partir dessa informação é possível, por exemplo, realizar uma análise sobre a quantidade de eleitores por seção, permitindo à Justiça Eleitoral ajustar esse número a fim de reduzir a ocorrência de filas, de modo que o eleitor vote com tranquilidade.

O que são os testes públicos de segurança?
Os testes públicos de segurança têm por objetivo fortalecer a confiabilidade, a transparência e a segurança da captação e da apuração dos votos, além de propiciar melhorias no processo eleitoral. Os testes públicos de segurança constituem parte integrante do processo eleitoral brasileiro e serão realizados antes de cada eleição ordinária, preferencialmente no segundo semestre dos anos que antecedem os pleitos eleitorais.
Ao abrir os sistemas para inspeção dos códigos-fonte e para exercícios diversos, a Justiça Eleitoral busca encontrar oportunidades de aprimoramento dos mecanismos de segurança do software, contando com a visão e com a experiência de outros órgãos públicos, de estudiosos e de qualquer cidadão interessado.
Os testes públicos de segurança são utilizados pelo TSE como instrumento auxiliar para a melhoria contínua dos sistemas eleitorais, não havendo interesse da Justiça Eleitoral em promover qualquer tipo de competição ou promoção individual dos participantes.

A ocorrência da não conformidade no teste público de segurança do sistema eletrônico de votação, realizado em 2012, compromete a integridade dos resultados?
A ocorrência da não conformidade no Teste Público de Segurança realizado em 2012 está relacionada ao algoritmo de embaralhamento dos votos no RDV, ou seja, à ordem de gravação dos votos de cada eleitor. De nenhuma forma a contagem dos votos é afetada, portanto o resultado é íntegro.
Para corrigir a não conformidade encontrada e inviabilizar o reordenamento dos votos, o algoritmo foi modificado e aprimorado imediatamente após a descoberta do problema. Visando certificar a qualidade do novo algoritmo, inúmeros testes foram realizados exaustivamente, todos baseados em técnicas utilizadas internacionalmente. Uma dessas técnicas é o DieHard, um teste de aleatoriedade que verifica a efetividade do embaralhamento de sequências. Também foram utilizadas regras estabelecidas pelo National Institute of Standards and Technology (NIST).

O código-fonte do software de votação pode ser aberto à comunidade?
Atualmente, já é permitido aos representantes técnicos dos partidos políticos, ao Ministério Público e à Ordem dos Advogados do Brasil o acesso ao código-fonte do Software de Votação e de todo o conjunto de software da urna eletrônica. Portanto, já existe transparência sobre o código-fonte. Naturalmente, a Justiça Eleitoral estuda ampliar ainda mais o acesso ao código-fonte, para que mais pessoas e instituições possam verificar a correção e lisura do software.

É possível dizer que a urna brasileira é de 1ª geração? As ditas urnas de 2ª e 3ª gerações são mais seguras?
A urna eletrônica brasileira é um equipamento inovador e foi introduzido no processo eleitoral em 1996. Todo o projeto de hardware e software da urna é conduzido pelo Tribunal Superior Eleitoral, que tem contado com o apoio de membros da academia desde a sua concepção até as mais recentes evoluções realizadas. Trata-se, portanto, de um projeto desenvolvido completamente no Brasil e em constante evolução, cuja fabricação, por delegação do TSE, fica a cargo de uma empresa contratada por licitação.
A denominação de “gerações” de urnas, comumente utilizada como estratégia de mercado para a venda de equipamentos mais novos, geralmente está associada ao modo de operação do sistema – registro totalmente eletrônico, tal como feito pela urna brasileira, registro material que é digitalizado (um registro em papel é submetido a um scanner, por exemplo) ou registro digitalizado que é materializado (o equipamento imprime um registro do voto, por exemplo), sendo as duas últimas associadas à “segunda geração”. Esses diversos modos de operação foram empregados em diversos momentos, por diferentes países e com tecnologias distintas, não sendo possível traçar uma linha evolutiva entre eles, tão pouco se pode afirmar que um determinado modelo é mais ou menos seguro que o outro. Além disso, a materialização do voto em papel abre brechas para que esse instrumento de auditoria seja atacado, tal como já ocorria antes do voto eletrônico.
A chamada “terceira geração” fornece ao eleitor um mecanismo de verificação quanto à inclusão do seu voto no sistema de totalização.
Caso o mecanismo não inclua alguma forma que preserve o sigilo do voto, inclusive para o próprio eleitor, este poderá ser coagido a votar e a entregar o comprovante ao criminoso. Além disso, se ao eleitor somente é permitido verificar se o seu voto foi contabilizado com a utilização de um sistema informatizado, recai-se sobre o mesmo problema de confiança exclusiva no software, tão criticado na “primeira geração”.
A urna eletrônica brasileira é um projeto com foco em segurança de hardware e software e que conta com diversos mecanismos de auditoria. Trata-se de um produto moderno e em constante aprimoramento, com um processo evolutivo próprio. Ao longo dos últimos anos, foram incluídos leitores biométricos, mídias de armazenamento e processadores de maior capacidade e confiabilidade, bem como um hardware criptográfico. Com efeito, todos esses avanços incrementam substancialmente a confiabilidade e segurança do voto eletrônico.

O que é o aplicativo ADH? É possível utilizá-lo para fraudar os votos de uma urna?
O aplicativo Ajuste de Data e Hora (ADH) é um aplicativo que faz parte da instalação da urna eletrônica e é utilizado para efetuar ajustes no relógio da urna. O ADH é utilizado em situações em que o operador informou data e hora incorretas durante a preparação da urna para a eleição. Ele também é utilizado nos casos em que o relógio da urna apresenta algum problema de bateria e passa a apresentar uma hora incorreta. Não é possível utilizar o ADH para fraudar os votos de uma urna.
É importante que o relógio da urna esteja com a data e hora corretas, pois algumas operações são controladas em função disso, tais como:

• Liberação da emissão da zéresima, a partir das 7h do dia da votação; 
• Liberação para habilitação de eleitores, a partir das 8h do dia da votação; e 
• Liberação para encerramento da votação, a partir das 17h do dia da votação. Não é possível utilizar o ADH para realizar qualquer tipo de fraude na urna eletrônica. 

Apesar disso, tem sido alardeado recentemente que uma possível fraude envolveria o uso do ADH. O ataque ocorreria da seguinte forma:

• O atacante tem acesso a uma urna preparada para a eleição antes do dia da votação e a uma mídia de ativação do ADH.
• Utiliza-se o ADH para adiantar o relógio da urna até o dia e hora de início da votação. 
• Faz-se a inserção de votos espúrios na urna até o horário de encerramento. 
• Retira-se a mídia com o resultado espúrio e esta é guardada até o dia da votação. 
• Novamente utiliza-se o ADH para ajustar o relógio da urna com a data e hora reais, outra mídia vazia para a gravação dos resultados é inserida na urna e seu compartimento é lacrado. 
• No dia da votação, na seção eleitoral, essa urna coletaria os votos reais normalmente, porém, ao final da votação, ao invés de encaminhar para transmissão dos resultados a mídia utilizada na seção eleitoral, utiliza-se a mídia com os votos espúrios gerados com antecedência.

Em resumo, a hipótese apresentada é que o controle para início da captação de votos está sustentado somente na data e hora atuais. Ocorre que isso não é verdade.
O Software de Votação mantém o último estado de sua execução. Isso significa que, uma vez encerrada a votação, há um bloqueio no software da urna que impede a captação de votos até que esta seja preparada para o 2º turno, ou seja, preparada para uma nova eleição. Além disso, em nenhum momento o Software de Votação apaga ou reinicia os registros contidos no arquivo de RDV que contém cada voto inserido na urna. É a partir do RDV que o software emite o relatório zerésima, indicando que não há votos presentes na urna.
Por último, mesmo que houvesse uma troca de mídias e tivessem sido gerados dois resultados diferentes, o resultado impresso pelo boletim de urna na seção não coincidiria com aquele recebido pela totalização. Facilmente os fiscais de partido – e qualquer cidadão, na verdade – poderiam confrontar o resultado apurado para uma seção pela totalização oficial com aquele que foi publicado na seção eleitoral, sendo que este último se trata do resultado real e correto.

Existe mesmo uma chave única que protege todas as mídias das urnas? De posse dessa chave seria possível adulterar o conteúdo das mídias?
Parte das mídias utilizadas nas urnas utiliza um mecanismo geral para ocultação das informações, que é a criptografia do sistema de arquivos. As mídias em questão são os cartões de memória da urna (interno e externo), nos quais estão gravados o sistema operacional e os aplicativos (cartão interno) e os dados de eleitores, candidatos e os resultados da votação (duplicados nos cartões interno e externo).
O objetivo da criptografia do sistema de arquivos é impor uma barreira adicional a um atacante externo com pouco ou nenhum conhecimento sobre a organização do software da urna. Dessa forma, um possível atacante encontraria dificuldades em iniciar uma análise do conteúdo das mídias. Existe uma chave única utilizada pela criptografia do sistema de arquivos de todos os cartões de memória. Se essa chave não fosse única, seria impraticável realizar procedimentos de contingência – substituir uma urna defeituosa por outra em perfeito estado, permitindo que a votação continue do mesmo ponto em que foi interrompida. Além disso, se a chave não fosse única, qualquer auditoria sobre as urnas estaria comprometida. No entanto, afirmar que a partir da posse da chave do sistema de arquivos é possível gerar mídias “de diferente teor” é incorreto.
É importante destacar que a criptografia do sistema de arquivos não é o mecanismo no qual se sustenta toda a segurança do software da urna. Na verdade, todos os arquivos que requerem integridade e autenticidade são assinados digitalmente. Esse é o caso, por exemplo, dos aplicativos da urna e dos arquivos de dados de eleitores e candidatos, assim como do boletim de urna e do registro digital do voto, entre outros. Além disso, os arquivos que requerem sigilo são criptografados. Em todos esses casos são utilizadas chaves diversas. Esses mecanismos de assinatura e criptografia impedem que o conteúdo das mídias seja adulterado