O TSE organizou dois Testes Públicos de Segurança, em 2010 e 2012. O teste de 2010 foi sem conhecimento do código-fonte da urna (caixa preta), mas ainda assim montaram um ataque físico contra o sigilo do voto (o teclado da urna vazava frequências de que tecla era digitada). O teste de 2012 foi com acesso ao código-fonte (caixa cinza, pois não podíamos manipular o código-fonte), e novamente foi montado um ataque contra o sigilo do voto que recuperou em ordem um volume de até 950 votos. Isso permite revelar os votos de todos os eleitores de uma seção eleitoral, caso a lista ordenada de votos seja associada à lista ordenada de eleitores (mantida por um mesário ou fiscal malicioso). Além disso, permite recuperar um voto inserido em um instante de tempo específico, pois a urna armazena a hora que cada voto foi depositado, o que pode ser arma política se montado contra eleitores ilustres. Não precisamos de nada além de informação pública para montar nosso ataque. Logo, o sigilo do voto já não é grande coisa no sistema atual.
Há várias implementações de voto impresso no mundo, com características diferentes. A que se pretende utilizar no Brasil (por ser mais barata, apesar de haver soluções mais interessantes) determinava que o voto deve ser impresso durante a interação do eleitor com a máquina de votar, sem permitir que o eleitor leve o papel de volta consigo e prove suas escolhas para uma terceira parte. Em 2002, quando o voto impresso foi testado em caráter experimental, o papel ficava dentro de um visor blindado de acrílico e, caso o eleitor aprovasse o registro físico do voto, ele era cortado e depositado em uma urna convencional. Em caso de disputa ou por amostragem, deve-se fazer uma apuração rápida na própria seção eleitoral para verificar se a contagem eletrônica do Boletim de Urna reflete os votos impressos conferidos pelos eleitores. Se a contagem bate, isso indica que o software contou os votos de maneira honesta. Pode-se impugnar o resultado da eleição em caso de divergência ou tolerar uma pequena margem de diferença (desde que menor do que a vantagem entre os dois primeiros candidatos). Pode-se também dar precedência para o registro físico, por ter sido conferido diretamente pelo eleitor. Cada país constrói legislação adequada à sua cultura para resolver essa ambiguidade. Novamente, existem soluções de voto verificável pelo eleitor que não introduzem ambiguidade (Argentina), mas sempre que são sugeridas, o TSE argumenta que há escondido um interesse comercial de vender equipamento eleitoral, como se a tecnologia não pudesse ser replicada no Brasil. Na ausência de verificação independente de resultados, votamos com confiança incondicional implícita na autoridade eleitoral, pois a integridade dos resultados depende unicamente do software.
Há dezenas de relatórios que apontam desvios sérios de conduta na preparação e execução de urnas eletrônicas (instalação de software fora de hora, updates misteriosos de software, votos depositados durante a totalização, indícios de mesários votando por eleitores faltosos, etc.). Como não há transparència suficiente no processo, o TSE sempre argumenta que foi erro operacional ou da máquina, exigindo milhões para se realizar uma auditoria. Logo, pode-se concluir que o sistema atual é opaco, na medida que não fornece evidências inquestionáveis de fraude para nenhum fiscal externo, deixando claro o conflito de interesses do TSE em resolver disputas.
Fui citado na matéria original. Sou professor de Computação na Unicamp, com doutorado em Criptografia e Segurança Computacional, e coordenei a equipe que venceu os Testes Públicos de Segurança organizados pelo TSE, enquanto professor da UnB. Durante os Testes, produzimos o relatório a seguir, já publicado tanto em Inglês quanto Português em veículos acadêmicos apropriados, sob processo de revisão por pares:
https://sites.google.com/site/dfaranha/projects/relatorio-urna.pdf
Por fim, a área de segurança não trabalha mais com "até prova em contrário imagino que seja seguro" há algumas décadas. Atualmente, só pode ser considerado seguro o que foi auditado em detalhes e obedece projeto técnico minucioso. Caso contrário, instala-se uma falsa sensação de segurança que permite ataques sorrateiros (vide NSA e afins).
