Aos membros no Conselho Universitário – UFRGS
Venho, por meio desta, solicitar apreciação desse conselho ao PARECER Nº 1/2020/NCC/SIN,
PROCESSO Nº 23112.017921/2020-00 (3289891), sobre propriedades de segurança do sistema
SAELE, objetivando a discussão sobre a mudança no sistema de votação operado pelo CPDUFRGS.
Apresento, a seguir, as justificativas:
Durante o processo eleitoral para a reitoria da UFRGS em 2020, a comissão responsável pela
condução do processo foi reiteradamente questionada sobre o sistema de votação usado,
SAELE, suas propriedades para garantia da lisura do processo e possíveis procedimentos para
se garantir amplo acesso às equipes dos candidatos ao sistema para acompanhamento do
processo de votação e apuração dos votos.
Tais questionamentos foram apresentados no processo SEI 23078.515359/2020-31, referente a
consulta para reitor/vice à comunidade acadêmica da UFRGS para a gestão 2020-2024, porém
questionamentos dessa natureza não foram exclusivos do último processo eleitoral, tendo ocorrido
em processos anteriores.
Os diversos questionamentos apresentados no processo SEI supracitado abordaram quesitos
específicos, como vulnerabilidades do sistema de votação a ataques que poderiam comprometer
o sigilo e a integridade dos votos, com possibilidade não apenas de revelação dos votos, mas
também de possível alteração. Além disso, houve questionamento sobre a segurança do ambiente
computacional sobre o qual o sistema eleitoral é executado e ainda, sobre possível
acompanhamento local (físico) para fins de garantia da lisura e possível auditoria do sistema.
Os questionamentos realizados detalham operações (comandos específicos) que poderiam ser
executadas no servidor que hospeda o sistema de votação de forma a dar uma mínima garantia
de que algumas das muitas vulnerabilidades do sistema não seriam exploradas para a
manipulação do resultado da votação. Além das operações específicas, foi também solicitado
acesso físico ao local de forma a se garantir a inviolabilidade física do servidor onde o sistema de
votação está hospedado.
As respostas apresentadas pela comissão de consulta foram todas no sentido de negar o acesso
ao sistema, e de não atendimento dos pedidos para execução de comandos que dessem
garantias mínimas, contra possíveis ataques às vulnerabilidades do sistema, sob alegação de não
homologação das mesmas, mesmo elas sendo operações triviais que não interferem de forma
alguma na operação do sistema votação, sendo apenas operações de monitoramento e
acompanhamento da execução do sistema.
Considerando que:
1) Não há motivo para um sistema tão antigo e obsoleto continuar sendo utilizado até o presente
momento para o sistema eleitoral na UFRGS, uma vez que existem alternativas de código aberto
mais modernas que empregam tecnologias no estado da arte disponíveis.
Despacho GABVICE 3289648 SEI 23078.560143/2021-19 / pg. 1
2) Apesar da autonomia universitária, de acordo com o Art. 207 da CF88, os princípios
da isonomia da administração pública devem sempre nortear todos os atos administrativos,
inclusive os relacionados aos processos consultivos/eletivos no meio acadêmico.
Invocando tais princípios basilares da administração pública, há de se observar, portanto,
procedimentos de cunho consultivo ou eleitoral no âmbito acadêmico que por analogia tenham
características semelhantes aos processos eleitorais ordinários.
De acordo com o Código Eleitoral - Lei nº 4.737, de 15 de julho de 1965 com Legislação
complementar, Lei nº 13.877, de 27 de setembro de 2019, deve-se observar principalmente o que
há previsto nos Artigos 14, 20, 28, 36 e 120. Particularmente, no impedimento da participação de
parentes ou pessoas que tenham afinidade com os candidatos e sejam de mesmos
departamentos ou tenham relação de subordinação, nas comissões organizadoras de tais
processos eleitorais ou de consulta, como é o caso de parentes, pró-reitores ou assessores que
não poderiam ser presidentes, vice presidentes ou membros de tais comissões.
A lei também ressalta que qualquer interessado poderá arguir a suspeição ou impedimento dos
seus membros, do procurador-geral ou de funcionários de sua Secretaria, nos casos previstos na
Lei Processual Civil ou Penal e por motivo de parcialidade partidária, mediante o processo
previsto em regimento.
Em nome da imparcialidade, não deveriam fazer parte da comissão de consulta, membros
ocupantes de cargos de direção ou cargos de confiança, que tenham sido diretamente nomeados
pelos candidatos ao cargo de reitor/vice; bem como parentes de seus antecessores.
Os documentos 3289909 e 3289921
(https://andesufrgs.files.wordpress.com/2016/07/relatocc81rio_comissacc83o_de_consulta.pdf)
referem-se às portarias de nomeação da comissão de consulta para cargo de reitor/vice para as
gestões 2016 a 2020 e 2020 a 2024, onde pró-reitor e assessor do reitor, que também era o
candidato, atuaram como presidente e vice-presidente das comissões de consultas.
3) entre os questionamentos realizados para a comissão de consulta, para cargo de reitor/vice,
para a gestão 2020 a 2024, encontra-se o documento 3289932, onde consta, no item 5,
claramente a pergunta sobre se o processo de votação é auditável.
Em outro questionamento realizado conforme documento 3289960, obteve-se a seguinte
resposta:
“- Adicionalmente, todas as operações nos servidores do CPD são auditáveis, mediante
solicitação devidamente instruída com os indícios das irregularidades ou discrepâncias que
devam ser verificadas e auditadas, encaminhadas através dos órgãos competentes da
Universidade;”
Assim como essas, a maioria das perguntas restaram sem respostas adequadas, bem como as
solicitações não atendidas.
4) o parecer de um dos principais especialistas nacionais, referente ao documento 3289891
destaca:
“...desde a década de 1980, a comunidade internacional de pesquisa em segurança da
informação tem se debruçado sobre o problema das votações eletrônicas [1], levantando
uma série de requisitos de segurança e desenvolvendo protocolos capazes de prover
diversas garantias. Há mais de 10 anos, são ativamente mantidos projetos de software livre
implementando essas ideias [2], com elevado nível de maturidade de código. Apesar disso,
soluções como o SAELE e o SIGEleição não são embasadas nessas pesquisas.”
Despacho GABVICE 3289648 SEI 23078.560143/2021-19 / pg. 2
“O principal objetivo deste parecer é enumerar propriedades de segurança que não são
providas pelo SAELE, mas poderiam ser obtidas ao adotar-se uma solução mais alinhada
ao estado da arte”
“Propriedades de segurança:
Chaves e Mello [3] destacaram três propriedades de segurança que não são satisfeitas
pelos sistemas SAELE e SIGEleição, que aqui denominamos:
1. Sigilo: um adversário com acesso ao sistema não deve ser capaz de saber em quem
cada eleitor votou.
2. Apuração atômica: um adversário com acesso ao sistema não deve ser capaz de realizar
apuração parcial, por exemplo contabilizando os votos somente até certo momento antes do
término da votação.
3. Integridade: um adversário com acesso ao sistema não deve ser capaz de incluir, excluir
ou alterar votos”
“Modelos de ataque:
Descrevem-se, a seguir, ataques ao SAELE capazes de quebrar cada uma” DESSAS
“propriedades de segurança destacadas.”
“Esta lista NÃO pretende ser exaustiva, ou seja, não descreve TODO e QUALQUER ataque
possível. Essa lista apenas demonstra que as propriedades de segurança descritas na
seção 2 não são satisfeitas. As análises foram realizadas com base no código fonte do
SAELE disponível no Portal do Software Público Brasileiro,
em https://softwarepublico.gov.br/social/saele.”
“3.1. Ataques passivos ao sigilo”
“3.1.1. Ataque ao gerador de números aleatórios”
“3.1.2. Análise forense do banco de dados”
“3.2. Ataques ativos ao sigilo”
“3.3. Ataques à apuração atômica”
“3.4. Ataques à integridade (no servidor)”
“3.5. Ataques à integridade (no cliente)”
“O comportamento do navegador web do eleitor pode ser alterado por um software
malicioso para submeter voto em um candidato diferente do escolhido. Nem SAELE nem
SIGEleição disponibilizam mecanismo que permita ao eleitor auditar o voto a partir de um
outro computador.”
E o mesmo conclui recomendando “à UFRGS que adote um sistema que implemente
protocolos com propriedades de segurança discutidas em trabalhos revisados por pares,
como o Helios, para votações realizadas pela internet.”
5) ser importante discutir proposta de composição das comissões de consulta, em obediência ao
Código Eleitoral;
6) que até o momento, mesmo havendo alerta que o sistema está sob suspeição, nenhuma
sugestão de mudança foi realizada
Despacho GABVICE 3289648 SEI 23078.560143/2021-19 / pg. 3
7) entendendo não haver motivo para a UFRGS continuar usando um sistema de votação
obsoleto, não auditável, de fácil risco de ocorrência de fraude, o qual deixou os últimos processos
eleitorais para reitor e vice-reitor/reitora sob suspeição;
8) entendendo que existem alternativas muito mais modernas e seguras;
Solicito, a análise dos membros desse conselho, objetivando a discussão sobre a mudança no
sistema de votação operado pelo CPD-UFRGS, para promover a modernização para um sistema
confiável e seguro, para garantir eleições verdadeiramente democráticas.
Atenciosamente,
Documento assinado eletronicamente por PATRICIA HELENA LUCAS PRANKE, ViceReitora do Gabinete da Vice-Reitora, em 26/11/2021, às 12:31, conforme art. 7º, I, da Portaria
nº 6954 de 11 de setembro de 2015.
A autenticidade do documento pode ser conferida no site https://sei.ufrgs.br/sei/verifica.php
informando o código verificador 3289648 e o código CRC 4EB4A120.
23078.560143/2021-19 3289648v16
Despacho GABVICE 3289648 SEI 23078.560143/2021-19 / pg. 4
04/10/2020 SEI/UFRGS - 2402573 - Ofício
https://sei.ufrgs.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=2560903&infra_sistema… 1/1
UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
Av. Paulo Gama, 110 - Bairro Farroupilha - CEP 90046900 - Porto Alegre - RS
OFÍCIO Nº 1/2020/UNIDADE
Porto Alegre, 04 de outubro de 2020.
Destinatário: Magnífica reitora Prof.ª Dr.ª Wanda Aparecida Machado Hoffmann
Assunto: Consulta.
Gostaria primeiramente de transmitir nossos cumprimentos.
Essa mensagem visa solicitar o apoio da UFSCar, tendo em vista a cooperação e o bom relacionamento entre
nossas instituições.
Dada a grande experiência que a UFSCar tem na área de sistemas de votação eletrônicos, com pesquisadores
altamente especializados na área, participando inclusive da auditoria das urnas eletrônicas usadas nas
eleições brasileiras, viemos através desta solicitar seu apoio para a realização de uma avaliação sobre o
sistema de votação eletrônico adotado aqui na UFRGS, o sistema SAELE.
Essa solicitação motiva-se para que tenhamos uma avaliação externa especializada sobre o nosso sistema de
votações eletrônicas, suas características e pontos que possam ser melhorados.
As informações sobre o sistema SAELE se encontram nos seguintes endereços eletrônicos:
https://www1.ufrgs.br/catalogoti/servicos/servico?servico=75
https://softwarepublico.gov.br/social/saele
Desde já agradecemos a atenção em receber nossa solicitação, assim como nos colocamos à disposição para
o que pudermos ajudar.
Documento assinado eletronicamente por PATRICIA HELENA LUCAS PRANKE, Vice-Reitora
do Gabinete da Vice-Reitora, em 04/10/2020, às 16:10, conforme art. 7º, I, da Portaria nº 6954 de 11
de setembro de 2015.
A autenticidade do documento pode ser conferida no site https://sei.ufrgs.br/sei/verifica.php
informando o código verificador 2402573 e o código CRC B726528D.
23078.537201/2020-11 2402573v2
Parecer (3289891) SEI 23078.560143/2021-19 / pg. 5
10/11/2020 SEI/FUFSCar - 0262850 - Ofício
file:///C:/Users/PC/Downloads/Oficio_0262850.html 1/2
FUNDAÇÃO UNIVERSIDADE FEDERAL DE SÃO CARLOS
GABINETE DA REITORIA - GR
Rod. Washington Luís km 235 - SP-310, s/n - Bairro Monjolinho, São Carlos/SP, CEP 13565-905
Telefone: (16) 33518024 - hp://www.ufscar.br
Ocio nº 278/2020/GR
São Carlos, 20 de outubro de 2020
Ref.: Consulta
À Sra.
Profa. Dra. PATRICIA HELENA LUCAS PRANKE
Vice-Reitora da Universidade Federal do Rio Grande do Sul
Prezada Vice-Reitora
Com nossos cordiais cumprimentos, e em atendimento à solicitação de V.Exa. conda no
OFÍCIO Nº 1/2020/UNIDADE, de 04 de outubro de 2020, vimos encaminhar o Parecer 1/2020/NCC/SIn,
emido pelo Núcleo de Computação Cienfica, da Secretaria Geral de Informáca desta Universidade,
em relação às propriedades de segurança do sistema SAELE.
Na oportunidade, colocamo-nos à disposição para quaisquer outras informações que se
fizerem necessárias.
Atenciosamente,
Profa. Dra. Wanda Aparecida Machado Hoffmann
Reitora
Documento assinado eletronicamente por Wanda Aparecida Machado Hoffmann, Reitora, em
20/10/2020, às 15:27, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do
Decreto nº 8.539, de 8 de outubro de 2015.
A autencidade deste documento pode ser conferida no site hps://sei.ufscar.br/autencacao,
informando o código verificador 0262850 e o código CRC 9891DCE0.
Referência: Caso responda a este documento, indicar expressamente o Processo nº
23112.017921/2020-00
SEI nº 0262850
Parecer (3289891) SEI 23078.560143/2021-19 / pg. 6
10/11/2020 SEI/FUFSCar - 0262850 - Ofício
file:///C:/Users/PC/Downloads/Oficio_0262850.html 2/2
Modelo de Documento: Ocio, versão de 02/Agosto/2019
Parecer (3289891) SEI 23078.560143/2021-19 / pg. 7
10/11/2020 SEI/FUFSCar - 0262564 - Parecer
file:///C:/Users/PC/Downloads/Parecer_0262564.html 1/4
FUNDAÇÃO UNIVERSIDADE FEDERAL DE SÃO CARLOS
NÚCLEO DE COMPUTAÇÃO CIENTÍFICA - NCC/SIn
Rod. Washington Luís km 235 - SP-310, s/n - Bairro Monjolinho, São Carlos/SP, CEP 13565-905
Telefone: (16) 3351-8111 - hp://www.ufscar.br
PARECER Nº 1/2020/NCC/SIN
PROCESSO Nº 23112.017921/2020-00
INTERESSADO: SECRETARIA GERAL DE INFORMÁTICA
ASSUNTO: Parecer sobre propriedades de segurança do sistema SAELE
1. Introdução
As universidades brasileiras, enquanto instituições autônomas e democráticas, necessitam frequentemente
realizar votações para a escolha de representantes ou para embasar a tomada de decisões. Devido à
dificuldade logística em se realizar votações pelos meios convencionais (urnas e cédulas de papel), surgiu em
diversas instituições o desejo de se agregar automação a esse processo, realizando-o de forma eletrônica.
Algumas instituições optaram por desenvolver seus próprios sistemas de votação, dando origem a soluções
como o SAELE, desenvolvido na UFRGS, e o SIGEleição, desenvolvido na UFRN.
O ímpeto por desenvolver soluções próprias de Tecnologia da Informação é natural em instituições que
possuem uma equipe experiente de desenvolvedores. Pressupõe-se, é claro, que essas equipes estejam cientes
da importância da segurança desses sistemas — por exemplo, seria considerado um incidente grave caso um
invasor externo fosse capaz de comprometer o sistema acadêmico e alterar registros de matrículas em cursos,
ou inscrições e resultados finais em disciplinas. Assume-se, também, que os envolvidos no desenvolvimento,
manutenção e operação desses sistemas sejam cumpridores da legislação vigente e do código de ética do
servidor público, jamais adulterando esses registros, apesar de possuírem acesso para modificá-los. Portanto,
é compreensível que as equipes sintam-se, a princípio, habilitadas a desenvolver um sistema de votação.
Por outro lado, desde a década de 1980, a comunidade internacional de pesquisa em segurança da
informação tem se debruçado sobre o problema das votações eletrônicas [1], levantando uma série de
requisitos de segurança e desenvolvendo protocolos capazes de prover diversas garantias. Há mais de 10
anos, são ativamente mantidos projetos de software livre implementando essas ideias [2], com elevado nível
de maturidade de código. Apesar disso, soluções como o SAELE e o SIGEleição não são embasadas nessas
pesquisas.
O principal objetivo deste parecer é enumerar propriedades de segurança que não são providas pelo SAELE,
mas poderiam ser obtidas ao adotar-se uma solução mais alinhada ao estado da arte. Os resultados vem a
reforçar fatos já conhecidos pela comunidade de segurança, como os reportados no trabalho de Chaves e
Mello [3], que fizeram uma comparação entre os sistemas SAELE, SIGEleição e Helios Voting.
2. Propriedades de segurança
Chaves e Mello [3] destacaram três propriedades de segurança que não são satisfeitas pelos sistemas SAELE
e SIGEleição, que aqui denominamos:
1. Sigilo: um adversário com acesso ao sistema não deve ser capaz de saber em quem cada eleitor votou.
2. Apuração atômica: um adversário com acesso ao sistema não deve ser capaz de realizar apuração
parcial, por exemplo contabilizando os votos somente até certo momento antes do término da votação.
3. Integridade: um adversário com acesso ao sistema não deve ser capaz de incluir, excluir ou alterar
votos.
Parecer (3289891) SEI 23078.560143/2021-19 / pg. 8
10/11/2020 SEI/FUFSCar - 0262564 - Parecer
file:///C:/Users/PC/Downloads/Parecer_0262564.html 2/4
Por “adversário com acesso ao sistema”, entende-se (a) um invasor externo, que tenha obtido acesso ao
sistema por meio de uma falha de segurança do sistema de votação, ou de outros aplicativos, serviços ou
sistemas instalados no mesmo servidor; ou (b) um atacante interno, que participe do desenvolvimento do
sistema ou operação da infraestrutura.
3. Modelos de ataque
Descrevem-se, a seguir, ataques ao SAELE capazes de quebrar cada uma das propriedades de segurança
destacadas. Esta lista não pretende ser exaustiva, ou seja, não descreve todo e qualquer ataque possível.
Pretende-se apenas demonstrar que as propriedades de segurança descritas na seção 2 não são satisfeitas.
As análises foram realizadas com base no código fonte do SAELE disponível no Portal do Software Público
Brasileiro, em https://softwarepublico.gov.br/social/saele.
3.1. Ataques passivos ao sigilo
Classifica-se como ataque passivo aquele que pode ser conduzido mesmo sem modificar o comportamento
do sistema com relação à sua operação normal. Nesta modalidade, descrevem-se dois ataques distintos.
3.1.1. Ataque ao gerador de números aleatórios
Na linha 92 do arquivo “PUBLIC/Voto.class.php” ocorre a geração de um número aleatório associado a um
voto:
$Rand = rand(1, 999999);
Ao inserir esse número como parte da chave primária da tabela, entende-se como provável intenção do
desenvolvedor embaralhar os votos, fazendo com que uma consulta do tipo “select * from eleicoes.voto”
retorne os votos em ordem distinta da que foram depositados. No entanto, o efeito acaba sendo inverso ao
pretendido.
A função rand do PHP não gera números aleatórios com qualidade criptográfica. Existem diversas técnicas
capazes de prever a sequência de números, algumas baseadas em força bruta da semente (que é construída
com base no PID do processo e na data e horário) e outras que utilizam um trecho da sequência (que pode ser
tão pequeno como apenas dois valores) para prever os restantes [4].
Um adversário capaz de ler os registros da tabela “eleicoes.voto” pode, portanto, desembaralhar os votos,
colocando-os na ordem em que foram depositados. Correlacionando essa informação com os registros da
tabela “eleicoes.eleitor”, pode-se identificar o eleitor que depositou cada voto.
3.1.2. Análise forense do banco de dados
Outra forma de desembaralhar os votos é por meio de análise forense do banco de dados. Wagner, Rasin e
Grier [5] demonstraram que, de posse apenas dos dados armazenados em disco em um momento posterior às
inserções, é possível recuperar a ordem de inserção de registros em um banco de dados PostgreSQL.
Assim, pode-se conduzir um ataque análogo ao anterior, mas que funcionaria mesmo se a função rand fosse
trocada por um gerador com qualidade criptográfica.
3.2. Ataques ativos ao sigilo
O comportamento do sistema pode ser modificado para monitorar ou interceptar escritas na base de dados e
registrar deliberadamente a ordem dos votos. Essa modificação pode ser realizada em diversos níveis: em
hardware, no hipervisor (caso utilizada tecnologia de virtualização), no kernel, em um serviço persistente
disfarçado de serviço legítimo do sistema operacional, ou no próprio processo do serviço web.
3.3. Ataques à apuração atômica
Os votos são armazenados às claras na tabela “eleicoes.voto” e podem ser lidos e contabilizados a qualquer
momento, mesmo antes do término da votação, por qualquer adversário que tenha acesso aos registros da
Parecer (3289891) SEI 23078.560143/2021-19 / pg. 9
10/11/2020 SEI/FUFSCar - 0262564 - Parecer
file:///C:/Users/PC/Downloads/Parecer_0262564.html 3/4
tabela. Os métodos que podem ser utilizados para obter acesso a esses registros são os mesmos descritos na
seção 3.2.
3.4. Ataques à integridade (no servidor)
Os votos armazenados na tabela “eleicoes.voto” podem ser alterados. Caso a tabela “eleicoes.eleitor” seja
manipulada conjuntamente, também podem ser incluídos ou excluídos votos.
Versões recentes do SIGEleição, sistema que funciona de maneira similar ao SAELE, acrescentam à tabela
de votos uma espécie de HMAC para autenticar cada voto com uma chave secreta armazenada em memória
[6]. No entanto, essa chave secreta pode ser facilmente interceptada a partir de outro processo utilizando a
chamada de sistema ptrace ou a partir das interfaces para despejo de memória disponibilizadas pelo kernel.
Essa funcionalidade, portanto, não dificulta significativamente um ataque [7].
Outra forma de tentar dificultar a manipulação de votos após o depósito seria coletar todo o registro de
inserções na tabela “eleicoes.voto” em um sistema separado. No entanto, essa prática pode entrar em conflito
com os requisitos de sigilo e de apuração atômica. Além disso, é incapaz de prover qualquer proteção contra
alteração dos votos no mesmo momento do depósito (gravação em base de dados).
Da mesma forma que a interceptação de dados (para fins de violação de sigilo), a manipulação de dados no
momento do depósito (para fins de violação da integridade) pode ser realizada em diversos níveis (os
mesmos descritos na seção 3.2).
Nem SAELE nem SIGEleição disponibilizam mecanismo de segurança fim-a-fim, ou seja, não permitem ao
eleitor verificar que o voto depositado permanece armazenado no servidor.
3.5. Ataques à integridade (no cliente)
O comportamento do navegador web do eleitor pode ser alterado por um software malicioso para submeter
voto em um candidato diferente do escolhido.
Nem SAELE nem SIGEleição disponibilizam mecanismo que permita ao eleitor auditar o voto a partir de um
outro computador.
4. Conclusão
Recomenda-se à UFRGS que adote um sistema que implemente protocolos com propriedades de segurança
discutidas em trabalhos revisados por pares, como o Helios, para votações realizadas pela internet. Apesar de
não representar o último estado da arte da pesquisa em sistemas de votação, o Helios é atualmente a solução
mais madura, com melhor usabilidade e mais amplamente adotada. Existe uma versão traduzida para o
Português mantida pelo Instituto Federal de Santa Catarina que é utilizada por várias instituições brasileiras
(https://github.com/shirlei/helios-server), inclusive pela UFSCar.
Para votações presenciais a situação é mais complicada. O Helios parte do pressuposto de que o computador
ou dispositivo móvel utilizado para depositar um voto é de domínio do eleitor e que, sempre que necessário,
o eleitor pode verificar o correto funcionamento do sistema auditando a cédula em outro dispositivo.
Portanto, ele não pode ser adaptado diretamente ao modelo de cabine, em que o eleitor não consegue validar
que o software executado no terminal é original e não sofreu alterações.
Referências
[1] CHAUM, David. Elections with unconditionally-secret ballots and disruption equivalent to breaking
RSA. In: Workshop on the Theory and Application of Cryptographic Techniques. Springer, Berlin,
Heidelberg, 1988. p. 177-182.
[2] ADIDA, Ben. Helios: Web-based Open-Audit Voting. In: USENIX security symposium. 2008. p. 335-
348.
Parecer (3289891) SEI 23078.560143/2021-19 / pg. 10
10/11/2020 SEI/FUFSCar - 0262564 - Parecer
file:///C:/Users/PC/Downloads/Parecer_0262564.html 4/4
[3] DE CHAVES, Shirlei Aparecida; DE MELLO, Emerson Ribeiro. O uso de um sistema de votação on-line
para escolha do conselho universitário. In: Workshop de Tecnologia Eleitoral. SBC, 2014. p. 634-645.
[4] ARGYROS, George; KIAYIAS, Aggelos. PRNG: Pwning Random Number Generators. BlackHat, 2012.
[5] WAGNER, James; RASIN, Alexander; GRIER, Jonathan. Database forensic analysis through internal
structure carving. Digital Investigation, v. 14, p. S106-S115, 2015.
[6] SANTOS, Jadson; LINS, Clarissa; MADRUGA, Marcos. SIGEleição–Um Novo Jeito Seguro de Votar.
In: Workshop de Tecnologia da Informaçao e Comunicaçao das Instituiçoes Federais de Ensino Superior do
Brasil (WTICIFES). 2017.
[7] ARAUJO, Roberto; NETO, André; TRAORÉ, Jacques. CIVIS-A Coercion-Resistant Election System.
In: Anais Principais do XVIII Simpósio Brasileiro em Segurança da Informação e de Sistemas
Computacionais. SBC, 2018. p. 29-42.
Documento assinado eletronicamente por Paulo Maas, Chefe de Núcleo, em 19/10/2020, às 18:20,
conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de
outubro de 2015.
A autencidade deste documento pode ser conferida no site hps://sei.ufscar.br/autencacao,
informando o código verificador 0262564 e o código CRC 1B019C8D.
Referência: Caso responda a este documento, indicar expressamente o Processo nº
23112.017921/2020-00
SEI nº 0262564
Modelo de Documento: Parecer, versão de 02/Agosto/2019
Parecer (3289891) SEI 23078.560143/2021-19 / pg. 11
Relatório (3289909) SEI 23078.560143/2021-19 / pg. 12
Relatório (3289909) SEI 23078.560143/2021-19 / pg. 13
Relatório (3289909) SEI 23078.560143/2021-19 / pg. 14
Relatório (3289909) SEI 23078.560143/2021-19 / pg. 15
Relatório (3289909) SEI 23078.560143/2021-19 / pg. 16
Relatório (3289909) SEI 23078.560143/2021-19 / pg. 17
Relatório (3289909) SEI 23078.560143/2021-19 / pg. 18
Documento gerado sob autenticação Nº YEI.150.719.PCU, disponível no endereço
http://www.ufrgs.br/autenticacao
Documento certificado eletronicamente, conforme Portaria nº
3362/2016, que institui o Sistema de Documentos Eletrônicos da UFRGS.
1/1
PORTARIA Nº 3315 de 18/06/2020
O REITOR DA UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais e
estatutárias, de acordo com a Resolução n° 051 de 16 de Junho de 2020 - CONSUN e a eleição realizada em
17 de junho de 2020,
RESOLVE
designar
PANTELIS VARVAKI RADOS - Presidente,
CELSO GIANNETTI LOUREIRO CHAVES - Vice-Presidente,
ELISIANE DA SILVA SZUBERT - 1º Secretária,
VICTÓRIA MACIEL FARIAS - 2º Secretária,
JOÃO CESAR NETTO,
ANGÉLICA ELISA GIACOMEL SCHAEFER,
CAROLINE LUCINI,
LUIS FILIPE EICH,
MAURICIO SOCCOL LORENZATTO,
LUIS MAURO GONÇALVES ROSA e
DENISE GRUNE EWALD
para compor a Comissão de Consulta (CC) que coordenará o processo de consulta à comunidade com vistas
à nomeação do(a) Reitor(a) e do(a) Vice-Reitor(a) da UFRGS.
RUI VICENTE OPPERMANN
Reitor.
Portaria (3289921) SEI 23078.560143/2021-19 / pg. 19
COMISSÃO DE CONSULTA
Of. 03/2020-CC Porto Alegre, 25 de junho de 2020.
Prezados Coordenadores,
A Comissão de Consulta designada pela Portaria nº 3315, de 18/06/2020,
para coordenar o processo de consulta à comunidade com vistas à nomeação do(a)
Reitor(a) e do(a) Vice-Reitor(a) da UFRGS apresenta as respostas dos seus
questionamentos, a partir de manifestação do CPD, órgão técnico responsável pela
segurança do sistema de eleições da UFRGS. As demais respostas, que não se
configuram em questionamentos técnicos, também foram respondidas, como segue:
Questionamentos sobre segurança do sistema de eleições e processo – Consulta para
Reitor 2020
1. Como será a composição desta cédula digital? Qual o sistema a ser utilizado?
R.: A célula digital é a mesma usada tradicionalmente no Sistema de Eleições. Veja tutorial
do sistema no catálogo de TI (https://www.ufrgs.br/documentacaoti/sistema-devotacao/).
A Comissão de Consulta irá configurar os dados de acordo com as chapas dos candidatos.
(Ver incluir chapa em https://www.ufrgs.br/documentacaoti/gerencia-de-um-concursoeleitoral/ )
2. Será feita a votação através de qualquer computador ligado à rede mundial de
computadores?
R.: Sim. Qualquer computador conectado à internet poderá ser utilizado para a votação. O
Portal de Serviços da Universidade irá garantir o acesso seguro (HTTPS), restrito pelo uso
das credenciais do Cartão UFRGS e senha pessoal.
3. No início da votação, como será esta emissão de zerésima? Em que local? Contará com
algum fiscal das chapas? Se não, gostaríamos que fosse explicado a negativa.
R.: A zerésima é um procedimento tradicional do sistema que zera os votos no início do
pleito. É realizado pela Comissão de Consulta conforme consta no tutorial (ver zerésima
em https://www.ufrgs.br/documentacaoti/gerencia-de-um-concurso-eleitoral/)
A Comissão de Consulta realizará a zerésima a partir da sala virtual MCONF
https://mconf.ufrgs.br/webconf/consulta-reitor-2020, garantindo a presença dos
Coordenadores de Campanha identificados no processo de inscrição de cada candidatura. O
procedimento de zerésima será transmitido por streaming.
4. Quais medidas de segurança da informação que conferem confidencialidade e integridade
dos votos serão adotadas?
R.: A integridade é implementada com a criação de uma função hash criptográfica tipo MD5
aplicada sobre o conteúdo de cada voto. A confidencialidade é garantida no canal de
comunicação através do protocolo de acesso, citado na resposta ao segundo
questionamento. O conteúdo do voto é passível de validação a partir da função de hash
aplicada. Além disso, informações de auditoria são fornecidas em tempo real para o
“Gerente da Eleição”, papel dentro do sistema que permite acompanhar, visualizar a
apuração e emitir as atas de votação de um concurso eleitoral.
Para o acompanhamento das eleições são disponibilizados 4 tipos de relatórios:
Número de votos logados: Verifica se o número de votos registrados nas operações é igual
ao número de eleitores que já votaram.
Informação (3289932) SEI 23078.560143/2021-19 / pg. 20 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 1
Número de votos registrados: Verifica se a quantidade de votos registrados na eleição,
dividido pelo número de possibilidades de voto, é igual ao número de eleitores que já
votaram.
Criptografia de Votos: Verifica a coerência das chaves criptografadas dos votos
registrados.
Log de Votos: Verifica a existência de operações não permitidas sobre os votos.
O “Gerente da Eleição” definido no processo de configuração da eleição, tem acesso aos dois
primeiros relatórios. Os 4 relatórios são disponibilizados ao suporte realizado pelo CPD para
cada eleição.
Cabe reforçar que o Sistema de Eleições da UFRGS realiza a execução dos pleitos eleitorais
de forma eletrônica desde 2004 em todos os níveis da Universidade e inclusive disponibiliza,
através do Portal de Software Público Brasileiro, uma versão de software livre, o SAELE
(https://softwarepublico.gov.br/social/saele), liberado para toda instituição interessada
em utilizar o sistema. As questões de segurança do sistema estão também discutidas no
catálogo de TI em https://www1.ufrgs.br/catalogoti/servicos/servico?servico=75.
Tutoriais de gerência do sistema podem ser conferidos no mesmo site.
5. O processo de votação é auditável?
R.: Tanto o código-fonte do sistema quanto o banco de dados ficam disponíveis para
consulta em caso de uma auditoria. Uma eventual alteração dos votos recebidos pode ser
detectada através dos controles em tempo real disponibilizados pelos relatórios
mencionados na resposta 4.
O eleitor tem a garantia de que seu voto foi contabilizado consultando, através do Portal, a
informação se votou e o horário da votação. No processo de validação da eleição existem
informações do número de votos e lista dos votantes. O voto, por questão de segurança
(princípio de anonimidade universal da votação), não é possível resgatar.
6. Como se dá o processo de armazenamento dos votos antes da apuração dos resultados?
R.: Os votos são inseridos em uma estrutura de dados específica do banco de dados de
eleições. O hash aplicado sobre o conteúdo do voto para conferir a integridade de cada voto
fica armazenado no próprio banco de dados, mas com acesso restrito aos Administradores
do Banco de Dados da UFRGS. Cabe ressaltar que as funções de hash são irreversíveis, ou
seja, a partir do seu resultado não é possível retroceder ao valor que o originou.
7. Os dados são armazenados de forma criptografada? Se sim, que criptografia é usada?
R.: Conforme comentado na resposta 4, é gerado um hash criptográfico adicional ao
conteúdo do voto para detectar modificações indevidas nos dados.
Nenhum relatório do sistema exibe o conteúdo dos votos de eleitores. Mesmo em um acesso
direto ao conteúdo do banco de dados, não existe a possibilidade de associar um voto com o
respectivo eleitor. O sistema privilegia o anonimato de forma que nem o administrador do
sistema consiga correlacionar voto e eleitor. É impossível relacionar um votante ao seu voto,
pois essa informação não é registrada e não existe na base de dados. Qualquer tentativa de
adulteração de voto é automaticamente detectada pelo confronto do conteúdo do voto com o
correspondente hash aplicado sobre o seu conteúdo.
8. Os votos são armazenados de forma individualizada ou em somatórios dirigidos a cada
um dos candidatos?
R.: Durante a votação, os votos são individualizados, na forma de registros em uma
estrutura de dados. Na apuração, os totais são armazenados em colunas de estruturas
separadas.
9. Há cópias redundantes (backup) dos votos armazenados?
R.: As informações sobre votos são replicadas também em estrutura paralela para fins de
segurança e auditoria. O acesso do eleitor à urna e o registro da finalização do voto também
são registrados em locais separados, o que permite o sistema detectar discrepâncias entre o
número de votos e o número de eleitores votantes.
Informação (3289932) SEI 23078.560143/2021-19 / pg. 21 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 2
Os backups têm processo contínuo de salvamento. Em um primeiro momento os arquivos
ficam armazenados na infraestrutura de armazenamento, e acessíveis por quem administra
o banco de dados da UFRGS (Administração de Dados do CPD). Depois são salvos no
Backup da UFRGS e gerenciados pelo Departamento de Sustentação do CPD.
10. Foi considerada a possibilidade de um ataque de man-in-the-middle (MIM) durante a
votação? Se sim, que medidas foram tomadas para mitigar essa ameaça?
R.: As medidas contra esse tipo de ataque são implementadas na própria infraestrutura de
rede e servidores do CPD. Além dessas medidas de proteção, os usuários se autenticam e
fazem o acesso de forma criptografada à aplicação, via HTTPS. Os servidores envolvidos
utilizam certificados digitais fornecidos pela ICPEdu da RNP e GlobalSign.
11. Foi considerada a possibilidade de ataques através de sequestro de seção do usuário
(eleitor)? Se sim, que medidas foram tomadas para mitigar essa ameaça?
R.: As medidas contra esse tipo de ataque são implementadas na própria infraestrutura de
rede e servidores do CPD. Além dessas medidas de proteção, os usuários se autenticam e
fazem o acesso de forma criptografada à aplicação, via HTTPS. O estabelecimento de um
canal seguro com HTTPS utiliza criptografia de chave pública, baseada em certificados
digitais, o que garante a segurança no estabelecimento da conexão. Todas as mensagens do
canal HTTPS são criptografadas com chave de sessão estabelecida de forma única para cada
comunicação e possuem numeração única, o que confere proteção adicional ao tipo de
ataque questionado. Os servidores envolvidos utilizam certificados digitais fornecido pela
ICPEdu da RNP e GlobalSign.
12. Qual a nominata dos servidores responsáveis assim como todos os envolvidos no
processo de preparação, operação do sistema durante o período de votação e apuração dos
votos.
R.: A equipe do CPD, através da Central de Serviços (CSTI) fornece o suporte inicial de
configuração do pleito no sistema e carga inicial de eleitores. Toda gestão da eleição é
realizada pela Comissão de Consulta e Gerentes da Eleição. O sistema permite que todo
processo de configuração, execução e apuração dos resultados seja realizado através dele,
incluindo a verificação e eventual atualização da lista de eleitores, inserção dos dados das
chapas, realização da zerésima, acompanhamento, pelos Gerentes da Eleição. Detalhes
sobre esse processo podem ser vistos nos tutoriais e perguntas frequentes disponíveis no
catálogo de serviços (https://www1.ufrgs.br/catalogoti/servicos/servico?servico=75).
13. Quanto aos debates, conforme consta do artigo 14 do Edital de Convocação de 17 de
junho de 2020, solicito que seja realizado pelo menos os dois debates presenciais no Salão
de Atos da UFRGS, conforme consta do Edital, respeitando-se o decreto municipal e
estadual em relação ao COVID-19. Solicito a gentileza que, a negativa aos debates
presenciais com até 40 pessoas no Salão de Atos da UFRGS, deve ser embasada do
ponto de vista técnico, no que tange a informática e sanitário, com parecer
consubstanciado.
R.: Esta matéria será discutida na reunião da Comissão de Consulta com as Coordenações
de Campanha a ser realizada no dia 26/06/2020.
14. Quais as datas definidas para o debate e até quantos dias antes deveremos encaminhar
a nominata dos 10 (dez) participantes indicados por chapa para assistir pessoalmente no
Salão de Atos da Ufrgs, conforme consta do art. 14 do Edital de Convocação? Quais serão as
normas dos debates? Quais os direitos dos candidatos (réplica, tréplica, ...)? Qual o
calendário de todos os debates desta Consulta a Comunidade?
R.: Esta matéria será discutida na reunião da Comissão de Consulta com as Coordenações
de Campanha a ser realizada no dia 26/06/2020.
15. Uma vez finda a votação e concluída a apuração, pergunto: como é realizada a
transferência desses dados finais da apuração para o meio de divulgação dos resultados?
R.: O sistema disponibiliza dois relatórios de apuração. Um ordenado pelo número da chapa
e outro ordenado por votos. Para o pleito estão previstas votação de três categorias
diferenciadas, logo, cada uma terá seus respectivos relatórios.
Informação (3289932) SEI 23078.560143/2021-19 / pg. 22 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 3
Uma vez apurados os votos das três categorias, estes dados serão contabilizados de acordo
com a fórmula do Art. 24 do Edital de Convocação, em uma planilha consolidada pelo CPD.
Esta apuração final do processo de consulta ocorrerá na sala virtual MCONF
https://mconf.ufrgs.br/webconf/consulta-reitor-2020 com a presença da Comissão de
Consulta, da equipe técnica do CPD e dos Coordenadores de Campanha, sendo transmitida
por streaming.
16. Solicitamos que seja encaminhado aos órgãos de controle como Ministério Público
Federal, Polícia Federal e Controladoria Geral da União - RS o convite para
acompanhamento do Processo de Consulta em todo o pleito e principalmente, pessoalmente
no dia 13/07/2020 das 7:00 horas até a publicização dos resultados.
R.: Os princípios da autonomia universitária garantidos pelo Art. 207 da Constituição
Federal determinam que o processo de consulta à comunidade universitária seja um
procedimento acadêmico e interno à Universidade, dispensando o concurso de atores
externos à Instituição.
17. Solicitamos que seja encaminhado as chapas as comprovações de envio dos e-mails
encaminhados, sendo estas plenamente auditáveis.
R.: A seguir são reproduzidos os registros referentes a data/hora de envio das mensagens
pela Comissão de Consulta ao servidor de listas, extraídos da ferramenta de correio
eletrônico.
Informação (3289932) SEI 23078.560143/2021-19 / pg. 23 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 4
Informação (3289932) SEI 23078.560143/2021-19 / pg. 24 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 5
18. Solicitamos que a Comissão de Consulta possa fornecer as chapas a nominata dos
votantes, para controle e auditoria.
R.: A nominata dos votantes habilitados, em cada categoria, está publicada no hotsite da
Comissão de Consulta na página principal da UFRGS, para amplo acesso e informação:
https://www.ufrgs.br/eleicoesreitor2020/lista-de-eleitores/
19. A Coordenação de Campanha da CHAPA 1 solicita que, em consonância ao art. 21 do
Edital de Convocação de Consulta a Comunidade Universitária da UFRGS de 17 de junho de
2020, no dia da votação (13/07/2020), desde a abertura dos trabalhos as 7:00 horas até o
término da votação as 22:00 horas, no Setor de Informática aonde estão sendo computados
os votos, o direito para que cada chapa tenha os três fiscais (em revezamento – 01 membro
de cada chapa) junto a parte eletrônica dos votos, com acesso a sala dos computadores e
dos bancos de dados aos quais estarão ligados a recepção dos votos.
R.: Acesso ao datacenter: Por questões de segurança, a sala do datacenter é uma área
restrita, permitindo o acesso somente a pessoas autorizadas que compõem a equipe do
Informação (3289932) SEI 23078.560143/2021-19 / pg. 25 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 6
Departamento de Sustentação e do Núcleo de Operações e Controle, São equipes do CPD
que monitoram os equipamentos e prestam suporte ao parque computacional que atende a
todos os serviços da UFRGS.
Sobre os computadores (Estações de trabalho - desktop) credenciados para executar a
gestão do sistema de eleições cabe a Comissão definir os critérios de acompanhamento da
configuração, execução e apuração do pleito.
A permissão da indicação de fiscais das chapas foi prevista para o acompanhamento, junto
à Comissão de Consulta (Art. 21 do Edital de Convocação) da evolução de participação dos
votantes, por categoria, no dia da Consulta. Esta fiscalização ocorrerá na Sala Virtual
MCONF https://mconf.ufrgs.br/webconf/consulta-reitor-2020 com a presença da Comissão
de Consulta e dos Fiscais indicados.
Justificamos a demora na resposta de seu requerimento, tendo em vista a
necessidade de aguardar a resposta técnica do CPD.
Atenciosamente,
Comissão de Consulta.
Informação (3289932) SEI 23078.560143/2021-19 / pg. 26 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 7
UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
Av. Paulo Gama, 110 - Bairro Farroupilha - CEP 90046900 - Porto Alegre - RS
OFÍCIO Nº 016/2020 - COMISSÃO DE CONSULTA
Porto Alegre, 13 de julho de 2020.
Destinatário:Coordenadores de Campanha da Chapa 1
Assunto:Resposta às solicitações DEMORF 2202672 e DEMORF 2204272
À Coordenação de Campanha Chapa 1,
Em resposta às solicitações DEMORF (SEI 2202672) e DEMORF (SEI 2204272), a Comissão de Consulta
remeteu os questionamentos à Direção do Centro de Processamento de Dados (CPD) da UFRGS, cujas
informações e esclarecimentos encontram-se no Despacho CPD-DCPD (SEI 2203763), para cuja leitura
direcionamos a atenção da Coordenação de Campanha Chapa 1.
Adicionalmente, em atenção às demandas apresentadas pela Coordenação de Campanha Chapa 1, cabe-nos
esclarecer que:
- O Sistema de Eleições da UFRGS é um tipo de sistema que possui acesso somente através de navegadores,
diferindo de um sistema que possui interface de acesso local e que também permite acesso WEB. Toda a
configuração, gerência e apuração é realizada somente através da Interface WEB, sem a possibilidade de
acesso via console. Tal informação já era de conhecimento das Chapas, quando das primeiras explicações
relativas ao sistema de eleições utilizado e da indicação dos links de acesso à documentação ao software
informados aos coordenadores de campanha;
- Tendo em vista os esclarecimentos supracitados, uma vez que não há acesso através de console diretamente
conectada a qualquer servidor, não se apresenta lógica a demanda de ter acesso físico ao data center para
qualquer tipo de verificação, posto que, repetimos, o sistema não possui interface de acesso local, fato ao qual
se acresce a atual situação de emergência em saúde (COVID-19) que não pode ser levianamente tratada ou
desprezada;
- Para o caso da execução de comandos de auditoria e verificação durante a execução do processo, para
além do previamente estabelecido, tal solicitação deveria ter sido realizada na reunião das coordenações de
campanha, na qual foram apresentadas as etapas de acompanhamento junto ao sistema de votação. A
execução de comandos que interagem diretamente com as estruturas internas do sistema operacional, sem
homologação prévia do setor de suporte e segurança do CPD, colocam em risco o funcionamento do pleito.
- Adicionalmente, todas as operações nos servidores do CPD são auditáveis, mediante solicitação
devidamente instruída com os indícios das irregularidades ou discrepâncias que devam ser verificadas e
auditadas, encaminhadas através dos órgãos competentes da Universidade;
- Lembre-se que a atuação dos fiscais, determinada pelo Art. 21 do Edital de Convocação, tem os limites ali
estabelecidos de atuação junto à Comissão de Consulta.
