Content uploaded by Emerson Ribeiro de Mello
Author content
All content in this area was uploaded by Emerson Ribeiro de Mello on Apr 17, 2015
Content may be subject to copyright.
O uso de um sistema de votac¸ ˜
ao on-line para escolha do
conselho universit´
ario
Shirlei Aparecida de Chaves1, Emerson Ribeiro de Mello1
1Instituto Federal de Santa Catarina – SC –Brasil
{shirlei.chaves, mello}@ifsc.edu.br
Resumo. A necessidade de uma participac¸ ˜
ao ampla e democr´
atica em pleitos
realizados pela instituic¸ ˜
ao de ensino multicampi exigia que problemas como o
deslocamento de pessoas da comiss˜
ao eleitoral e urnas para os munic´
ıpios onde
houvesse um campus ou polo de Educac¸ ˜
ao `
a Distˆ
ancia, bem como a realizac¸ ˜
ao
da apurac¸ ˜
ao, n˜
ao fossem impeditivos para a efetividade do processo. Este tra-
balho apresenta os requisitos que culminaram na escolha do sistema Helios,
a personalizac¸ ˜
ao realizada para adequ´
a-lo `
as necessidades da instituic¸ ˜
ao, os
resultados de seu uso na eleic¸˜
ao do conselho universit´
ario e os trabalhos fu-
turos para que o mesmo possa ser ofertado como um servic¸o de tecnologia da
informac¸ ˜
ao `
a comunidade.
Abstract. The need for a broader and democratic participation in elections con-
ducted by a multi-campi education institution demanded that issues like travel
of election commission members and taking voting booth to several campuses,
as well as tallying the results, did not become an obstacle to the process ef-
fectiveness. This paper presents the requirements to chose the Helios Voting
System, the customisations performed in this system, the results from using it in
an important election process. Our future work aim to deliver it as a technology
information service to the community.
1. Introduc¸ ˜
ao
No Brasil, instituic¸ ˜
oes federais de ensino s˜
ao compostas basicamente pelos segmentos dis-
cente, docente e t´
ecnico-administrativo. O reitor ´
e o cargo mais alto dentro da instituic¸ ˜
ao,
nomeado pelo Presidente da Rep´
ublica para um mandato de 4 anos, ap ´
os processo de
consulta `
a comunidade interna. Como esta consulta ´
e conduzida, depende do estatuto de
cada instituic¸ ˜
ao.
Ao reitor compete representar externamente a instituic¸ ˜
ao, bem como administrar e
superintender as atividades da mesma. Contudo, as instituic¸ ˜
oes tamb´
em definem em seus
estatutos ´
org˜
aos colegiados, como o Conselho Universit´
ario (para as Universidades) ou
Conselho Superior (para os Institutos). Este colegiado ´
e um ´
org˜
ao m´
aximo da instituic¸ ˜
ao
e possui car´
ater normativo, consultivo e deliberativo. Sua composic¸ ˜
ao varia de instituic¸ ˜
ao
para instituic¸˜
ao, por´
em ´
e comum a todas que haja pelo menos um membro de cada seg-
mento da comunidade interna (discentes, docentes, t´
ecnicos-administrativos), geralmente
escolhidos por seus pares.
Recentemente essas instituic¸ ˜
oes de ensino passaram por uma expans˜
ao e novos
campi foram criados. Se at´
ead´
ecada de 70 as instituic¸ ˜
oes federais eram criadas com
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
634 c
2014 SBC — Soc. Bras. de Computação
um ´
unico campus por instituic¸˜
ao, hoje algumas instituic¸ ˜
oes surgem com v´
arios campi, ou
seja, v´
arios enderec¸os f´
ısicos espalhados pelo estado, ou mesmo, espalhados por alguns
estados da federac¸ ˜
ao.
Em uma instituic¸˜
ao multicampi, o processo eleitoral tradicional para a escolha do
reitor ou outro pleito de grande proporc¸˜
ao, com c´
edulas em papel depositadas em urnas
lacradas, torna-se mais complexo e custoso se comparado com instituic¸ ˜
oes com ´
unico
enderec¸ o. A distribuic¸ ˜
ao das urnas, o deslocamento de pessoas da comiss˜
ao eleitoral para
cada um dos campi, o retorno das urnas e a apurac¸ ˜
ao em si, s˜
ao os principais pontos
dificultadores para a realizac¸ ˜
ao do pleito.
Em 2011, o Instituto Federal de Santa Catarina - IFSC, deflagrou o processo elei-
toral para escolha de seu reitor. Por possuir p´
olos de Educac¸˜
ao a Distˆ
ancia (EaD) em
outros estados e devido a eleic¸ ˜
ao em quest˜
ao ter tido candidato ´
unico, o pleito teve que
ser realizado com c´
edulas em papel e urnas tradicionais, pois o Tribunal Regional Eleito-
ral (TRE), imp˜
oe as seguintes regras para uso da urna eletrˆ
onica brasileira: (1) solicitar
ao TRE com uma antecedˆ
encia m´
ınima de 90 dias; (2) as urnas devem ser usadas exclusi-
vamente dentro do estado; e (3) a disputa deve ter no m´
ınimo dois candidatos. Apesar de
neste caso o uso da urna eletrˆ
onica brasileira trazer alguns benef´
ıcios, principalmente para
a apurac¸ ˜
ao, ainda assim haveria a problem´
atica de deslocamento de fiscais, servidores do
quadro permanente da instituic¸ ˜
ao, para todos os p´
olos no dia da eleic¸ ˜
ao.
No IFSC, o mandato dos membros do Conselho Superior ´
e de 2 anos e estes s˜
ao
escolhidos por seus pares atrav´
es de um processo eleitoral. No in´
ıcio de 2012 em raz˜
ao da
dificuldade dos discentes organizarem o seu processo eleitoral, conforme prevˆ
e o estatuto,
o Conselho Superior resolveu que a escolha se daria por meio de sorteio dos discentes
inscritos. Contudo, a instituic¸ ˜
ao comprometeu-se atuar para que nas pr´
oximas eleic¸ ˜
oes
os representantes discentes fossem escolhidos atrav´
es de um processo eleitoral. Sendo
assim, para 2014 a instituic¸ ˜
ao precisaria conduzir um processo eleitoral que permitisse
a toda sua comunidade interna eleger seus pares, o que inclui os alunos dos p´
olos de
Educac¸ ˜
ao a Distˆ
ancia.
Este trabalho apresenta os motivos pela instituic¸ ˜
ao ter optado pelo sistema de
votac¸ ˜
ao on-line Helios [Adida 2008] para realizar a eleic¸ ˜
ao dos representantes discentes,
docentes e t´
ecnico-administrativos do Conselho Superior, bem como a personalizac¸ ˜
ao re-
alizada para adequar com as necessidades da instituic¸ ˜
ao, quest˜
oes sobre a mudanc¸a de
paradigma e os resultados obtidos.
O artigo est´
a organizado da seguinte forma. Na Sec¸˜
ao 2 ´
e apresentado um relato
das experiˆ
encias de outras instituic¸ ˜
oes de ensino na conduc¸˜
ao de seus processos eleitorais.
A Sec¸˜
ao 3 apresenta as premissas de uma eleic¸˜
ao e diferentes tecnologias para a realizac¸˜
ao
do pleito. A Sec¸ ˜
ao 4 apresenta a arquitetura e as funcionalidades do sistema Helios. Na
Sec¸ ˜
ao 5 ´
e apresentado o relato sobre como foi realizada a primeira eleic¸˜
ao para escolha
dos membros Conselho Superior fazendo uso de um sistema de votac¸ ˜
ao on-line. Por fim,
na Sec¸ ˜
ao 6 s˜
ao apresentadas as conclus˜
oes e os trabalhos futuros.
2. Experiˆ
encias na literatura
Em 2011 a Sociedade Brasileira de Computac¸ ˜
ao (SBC) decidiu por fazer uso do software
livre para votac¸ ˜
ao on-line Helios Voting [Adida 2008], para a escolha da Diretoria e do
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
635 c
2014 SBC — Soc. Bras. de Computação
Conselho da SBC para o biˆ
enio de 2011/2013. Na ocasi˜
ao, estavam aptos a votar 1.757
s´
ocios, sendo estes pertencentes a categoria s´
ocio fundador ou efetivos, quites com a
anuidade de 2011 at´
e a data de trinta de marc¸ o de 2011. Destes somente 783 de fato
registraram seus votos, uma vez que o voto n˜
ao era obrigat´
orio [Pˆ
orto et al. 2011].
A SBC tamb´
em usou o Helios para escolha de seu estatuto em 2012 e novamente
para escolha de sua diretoria e conselho para o biˆ
enio 2013/2015. Apesar do Helios
ser oferecido na modalidade Software as a Service (SaaS), a SBC optou por fazer uma
instalac¸ ˜
ao local da soluc¸˜
ao. De acordo com observac¸ ˜
oes feitas pelos autores do pre-
sente trabalho, n˜
ao foram feitas personalizac¸ ˜
oes no c´
odigo de referˆ
encia do Helios para
adequ´
a-lo a qualquer necessidade da SBC. Segundo [Cunha et al. 2013], a atual diretoria
administrativa da SBC vislumbra comercializar o Helios como um servic¸o para outras
entidades.
O sistema Helios Voting tamb ´
em foi usado pela Defensoria P´
ublica da Uni˜
ao para
escolha do atual defensor p´
ublico-geral federal. A interface com o usu´
ario foi adaptada
pela equipe do Laborat´
orio de Tecnologias da Tomada de Decis˜
ao (Latitude) da Univer-
sidade de Bras´
ılia (UnB), permitindo que os 521 defensores p´
ublicos de todo o Brasil
pudessem registrar suas escolhas por meio de qualquer dispositivo conectado `
a Internet
[UNB 2013].
A Universidade Federal do Rio Grande do Norte (UFRN) fez uso do SIGEleic¸ ˜
ao,
um sistema desenvolvido internamente, em diversas eleic¸ ˜
oes, entre estas a escolha de che-
fes de departamentos, do diret´
orio central de estudantes e inclusive para consulta sindical
de ajustes salariais. Segundo [UFRN 2012, PortalJH 2012], a facilidade e a possibilidade
de ampliac¸˜
ao da participac¸˜
ao da comunidade foram os principais motivos para usar um
sistema on-line.
Foi realizada uma pesquisa no mecanismo de busca do Google, para se verificar
como as Universidades e os Institutos Federais realizaram a eleic¸ ˜
ao do Conselho
Universit´
ario ou Conselho Superior nos ´
ultimos dois anos. Considerando-se os
crit´
erios citados, para facilitar a pesquisa, foram montadas duas strings de busca:
(("Instituto Federal") AND ("eleic¸˜
ao"OR "eleic¸˜
oes") AND
"Conselho Superior"AND ("2013"OR "2014")) para os Institutos Fede-
rais; e (("Universidade Federal") AND ("eleic¸˜
ao"OR "eleic¸˜
oes")
AND "Conselho Universit´
ario"AND ("2013"OR "2014")) para as
Universidades Federais. Foi considerada at´
e a terceira p´
agina de resultados.
Dos resultados da busca efetuada para os Institutos Federais, constatou-se, atrav´
es
dos editais de convocac¸ ˜
ao, que os Institutos IFSP, IFF, IFAL, IFB, IFPE, IFPA, IFES,
IFBaiano, IFAM, IF Sert˜
ao-PE, IFTM, IFGoiano e IFMS realizaram eleic¸ ˜
oes com c´
edulas
de papel. O IFTO e o IFBA fireram uso da Urna Eletrˆ
onica Brasileira, cedida pelo TRE.
No caso das Universidades, daquelas que foi poss´
ıvel extrair tal informac¸ ˜
ao,
constatou-se que sete delas (UFES, Unipampa, UFPel, UFFS, Unila, UFRR e UFV) reali-
zaram a eleic¸˜
ao atrav´
es de c´
edulas de papel. Segundo [UFPA 2012], Universidade Federal
do Par´
a (UFPA) fez uso do sistema SIGEleic¸ ˜
ao. E a Universidade Federal do Rio Grande
do Sul (UFGRS) fez uso de um sistema pr´
oprio de votac¸ ˜
ao on-line.
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
636 c
2014 SBC — Soc. Bras. de Computação
3. Sistemas de votac¸ ˜
ao eletrˆ
onica
Em 2012 a escolha dos membros docentes e t´
ecnico-administrativo do Conselho Superior
(CONSUP) do IFSC foi realizada por meio de c´
edulas de papel e urnas de lona, por´
em os
membros discentes foram escolhidos por meio de sorteio dos candidatos inscritos, como
apresentado na Sec¸ ˜
ao 1.
Para 2014 a instituic¸ ˜
ao precisaria oferecer uma soluc¸˜
ao que permitisse aos discen-
tes escolherem seus representantes no CONSUP atrav´
es de uma eleic¸˜
ao direta. Diante da
dificuldade de realizar o certame da maneira convencional, com c´
edulas de papel e urnas
de lona, foram realizados estudos para identificar um sistema de votac¸ ˜
ao eletrˆ
onica que
atendesse os seguintes requisitos:
R.1 S´
o poder˜
ao votar os eleitores que forem considerados aptos pela comiss˜
ao
eleitoral;
R.2 Cada eleitor s ´
o ter´
a direito a um ´
unico voto por segmento que este estiver
apto a votar (docente, discente e t´
ecnico-administrativo);
R.3 A escolha do eleitor deve ser mantida em sigilo. Ningu´
em poder´
a saber em
quem o eleitor votou, mesmo se este quiser revelar (p.e. apresentando um
recibo de votac¸ ˜
ao);
R.4 A soluc¸ ˜
ao e o resultado da eleic¸ ˜
ao devem ser audit´
aveis. A integridade dos
votos deve ser garantida, ningu´
em poder´
a alterar, incluir ou remover votos;
R.5 A soluc¸ ˜
ao deve ser economicamente vi´
avel, tanto para sua aquisic¸ ˜
ao ou
implantac¸ ˜
ao, quanto para realizac¸ ˜
ao do pleito;
R.6 A soluc¸ ˜
ao deve ser de f´
acil uso por eleitores e pela comiss˜
ao eleitoral;
R.7 N˜
ao permitir a realizac¸˜
ao de apurac¸ ˜
oes parciais antes do t´
ermino da eleic¸˜
ao,
visando assim garantir as mesmas chances para todos os candidatos e evi-
tando a possibilidade de revelar escolhas de eleitores individuais.
Segundo [POST 2001], existem trˆ
es tipos principais de sistemas de votac¸ ˜
ao
eletrˆ
onica:
M´
aquina de votar de gravac¸ ˜
ao eletrˆ
onica direta do voto
Eleitor faz uso de teclado ou monitor sens´
ıvel ao toque para fazer suas escolhas e
estas s˜
ao registradas diretamente na m´
aquina;
Contagem de c´
edulas realizada por m´
aquina
Eleitores marcam suas escolhas em c´
edulas de papel e as mesmas s˜
ao digitalizadas
para fazer a leitura ´
otica;
Sistemas on-line
Eleitores poder˜
ao ir a um local f´
ısico para votar ou poder˜
ao fazer uso de qual-
quer computador conectado `
a Internet. As escolhas dos eleitores s˜
ao transmitidas
diretamente pela Internet para um sistema central da eleic¸ ˜
ao.
A urna eletrˆ
onica brasileira ´
e um tipo de m´
aquina de votar de gravac¸ ˜
ao eletrˆ
onica
direta do voto (Direct Record Electronic – DRE). Seu uso na referida eleic¸ ˜
ao te-
ria como benef´
ıcios a facilidade de uso, agilidade na apurac¸ ˜
ao e o fato que a mai-
oria dos eleitores j´
a estarem habituados com a mesma. Ou seja, muitos confiam na
integridade deste equipamento, apesar de estudos apontarem fragilidades na soluc¸ ˜
ao
[Kohno et al. 2004, Dill et al. 2003]. De qualquer forma, esta opc¸ ˜
ao foi desconsiderada,
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
637 c
2014 SBC — Soc. Bras. de Computação
uma vez que o Tribunal Regional Eleitoral de Santa Catarina, em resposta ao of´
ıcio envi-
ado pelo IFSC, indicou que as urnas s´
o poderiam ser usadas dentro do estado, o que n˜
ao
permitiria lev´
a-las para os p´
olos EaD fora do estado.
A contagem de c´
edulas realizada por m´
aquina, como ´
e visto no sistema de votac¸ ˜
ao
Scantegrity [Chaum et al. 2008], apesar de impor uma maior confianc¸a ao eleitor, uma
vez que atende o “princ´
ıpio da independˆ
encia do software em sistemas de votac¸ ˜
ao”
[Rivest 2008], n˜
ao apresentou ser economicamente vi´
avel (requisito R.5) para a eleic¸ ˜
ao
em quest˜
ao, pois seria necess´
ario adquirir ou alugar equipamentos digitalizadores es-
pec´
ıficos e estes teriam que ser enviados para todos os campus e p´
olos EaD.
A possibilidade dos eleitores fazerem suas escolhas por meio de qualquer com-
putador conectado `
a Internet, tornam os sistemas de votac¸ ˜
ao on-line atrativos para a
realizac¸ ˜
ao de eleic¸ ˜
oes n˜
ao-pol´
ıticas [Qadah and Taha 2007]. Em buscas por soluc¸ ˜
oes que
atendessem o requisito R.5, chegou-se `
as seguintes opc¸ ˜
oes:
Sistema Aberto de Eleic¸ ˜
oes Eletrˆ
onicas (SAELE)
Desenvolvido pela Universidade Federal do Rio Grande do Sul, trata-se de um
software livre dispon´
ıvel no portal de software p´
ublico brasileiro;
SIGEleic¸ ˜
ao
Desenvolvido pela Universidade Federal do Rio Grande do Norte, o SIGEleic¸ ˜
ao1
faz parte do Sistema Integrado de Gest˜
ao, tamb´
em desenvolvido pela UFRN. Ape-
sar de n˜
ao estar sob uma licenc¸ a de software livre, todo o c´
odigo fonte ´
e fornecido
para instituic¸ ˜
oes que firmarem acordo de cooperac¸ ˜
ao com a UFRN;
Helios vers˜
ao 3
Segundo seu autor [Adida 2008], trata-se do primeiro sistema de votac¸ ˜
ao on-line
baseado na web e com auditoria aberta ao p´
ublico (End-to-End voter verifiable –
E2E), permitindo que:
•Alice verifique que seu voto foi capturado;
•Todos os votos capturados sejam exibidos publicamente em sua forma
criptografada;
•Qualquer um possa verificar que os votos capturados foram corretamente
apurados.
Ap´
os an´
alise dos c´
odigos do SAELE e SIGEleic¸˜
ao, conclui-se que ambos n˜
ao for-
necem garantias necess´
arias para atender os requisitos R.3 e R.7, e atendem parcialmente
o requisito R.4. Os votos s˜
ao registrados em claro no banco de dados e o resultado de uma
eleic¸˜
ao estaria pass´
ıvel de adulterac¸ ˜
ao, sem gerar provas necess´
arias para uma auditoria.
Por outro lado, o Helios faz uso de mecanismos criptogr´
aficos para prover uma
soluc¸˜
ao simples, baseada na web e que permite a qualquer um verificar a integridade
de uma eleic¸˜
ao, mesmo se a instalac¸ ˜
ao do Helios estiver completamente comprometida
[Adida 2008, Joaquim et al. 2013].
Com o Helios ´
e poss´
ıvel carregar a lista de eleitores de uma eleic¸ ˜
ao atrav´
es de um
arquivo CSV2no formato (login, e-mail, nome completo), contemplando o requisito R.1.
O requisito R.2 tamb´
em ´
e satisfeito, pois ´
e poss´
ıvel criar e conduzir ao mesmo tempo
quantas eleic¸ ˜
oes se desejar.
1https://www.sigeleicao.ufrn.br/sigeleicao
2Comma-separated values
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
638 c
2014 SBC — Soc. Bras. de Computação
A c´
edula de uma eleic¸ ˜
ao pode ser acessada e preenchida por qualquer um que
tiver o enderec¸o da eleic¸ ˜
ao. O eleitor pode fazer suas escolhas e o sistema cifra a c´
edula
diretamente no navegador web, fazendo uso de rotinas em javascript. A autenticac¸ ˜
ao do
eleitor s´
o´
e exigida no momento que este for depositar a c´
edula na urna. O Helios ou
mesmo um atacante, n˜
ao teria como descobrir as escolhas que o eleitor fez3. Neste ponto,
pode-se deduzir que durante a transmiss˜
ao da c´
edula pela rede, o requisito R.3 estaria
sendo atendido, pois haveria protec¸ ˜
ao contra interceptac¸ ˜
ao do tr´
afego entre o computador
usado pelo eleitor e o Helios, tendo em vista que a c´
edula estaria cifrada e sabendo ainda
que o Helios estaria sendo executado sobre o SSL/TLS.
Segundo [Jonker et al. 2013], a vers˜
ao 3 do Helios apresentou algumas melhorias
para lidar com ataques contra a privacidade das vers˜
oes anteriores. A atual vers˜
ao do
Helios faz uso de criptografia homom´
orfica [Rivest et al. 1978], o que permite apurar
todos os votos cifrados (conhecer o resultado da eleic¸ ˜
ao), sem que nenhuma parte possa
revelar as escolhas em cada voto individual. Sendo assim, depois da c´
edula depositada,
ningu´
em poderia descobrir as escolhas do eleitor, mesmo que tenha acesso a base de dados
do Helios. Isto atende o requisito R.3. Cabe frisar que o Helios foi projetado para eleic¸ ˜
oes
com baixo risco de coac¸˜
ao dos eleitores, sendo este o cen´
ario da eleic¸˜
ao em quest˜
ao, a
qual ´
e uma eleic¸ ˜
ao n˜
ao pol´
ıtica conforme descrito em [Qadah and Taha 2007].
Segundo [Adida 2008, Joaquim et al. 2013], com o Helios o eleitor pode verificar
que seu voto foi corretamente registrado; todos os votos (em sua forma cifrada) podem
ser vistos por qualquer um; e qualquer um poder´
a verificar se todos os votos registrados
foram corretamente apurados. E por ainda ser software livre e por fornecer documentac¸ ˜
ao
t´
ecnica4necess´
aria para validac¸ ˜
ao, pode-se afirmar que a soluc¸ ˜
ao atende o requisito R.4.
O Helios faz uso de criptografia de limiar [Shamir 1979] no processo de apurac¸ ˜
ao.
Assim, v´
arios pessoas podem ser cadastradas como apuradores e todas precisam atuar em
conjunto para realizar a apurac¸˜
ao. Isto imp ˜
oe um dificultador para a quebra do sigilo do
voto dos eleitores, o que contempla o requisito R.7.
Os trabalhos [Karayumak et al. 2011, Weber and Hengartner 2009] avaliaram a
usabilidade do Helios, sendo este ponto o menos favor´
avel para a soluc¸ ˜
ao. As cr´
ıticas
est˜
ao voltadas para a interface que apresenta termos t´
ecnicos ligados a criptografia e o
uso de rotinas em javascript, que dependendo do computador e do navegador web do
eleitor, podem dificultar o processo para depositar a c´
edula na urna.
De todos os requisitos apresentados nesta sec¸ ˜
ao (R.1 a R.7), pode-se afirmar que
o Helios n˜
ao atende plenamente o R.6 e precisaria de melhorias em sua interface com o
usu´
ario, seja este um eleitor ou o administrador de uma eleic¸ ˜
ao. Desta forma, optou-se
pelo Helios como o sistema de votac¸ ˜
ao on-line a ser usado na eleic¸˜
ao para escolha dos
membros do Conselho Superior no IFSC. A Sec¸ ˜
ao 4 apresenta o trabalho desenvolvido
para melhorar a usabilidade do sistema, al´
em de outras personalizac¸ ˜
oes.
3Assumindo que n˜
ao exista qualquer software malicioso hospedado e em execuc¸ ˜
ao no computador do
eleitor.
4http://documentation.heliosvoting.org/verification-specs/helios-v3-verification-specs
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
639 c
2014 SBC — Soc. Bras. de Computação
4. Personalizac¸ ˜
ao e melhorias no sistema de votac¸ ˜
ao Helios
O c´
odigo fonte do Helios est´
a dispon´
ıvel no Github e pode-se observar que seu desenvol-
vimento continua ativo5. Para o desenvolvimento de qualquer melhoria no Helios deve-se
levar em considerac¸ ˜
ao este fato, pois caso contr´
ario as melhorias realizadas poderiam
inviabilizar a atualizac¸ ˜
ao para futuras vers˜
oes do projeto original do Helios.
Diante do exposto foi criada uma ramificac¸ ˜
ao6(fork) do projeto original. Como o
Git permite que se informe qual ´
e o projeto base desta ramificac¸˜
ao, ent˜
ao ´
e poss´
ıvel fazer
um realinhamento com o c´
odigo do projeto base sempre que for desejado, por exemplo,
quando s˜
ao lanc¸adas novas vers˜
oes do Helios. Durante o desenvolvimento deste traba-
lho foi necess´
ario realizar dois realinhamentos, os quais resultaram em alguns poucos
conflitos de c´
odigo, mas que puderam ser corrigidos facilmente.
A interface web do Helios, vista por eleitores e administradores de eleic¸ ˜
oes, foi
desenvolvida na linguagem Python, fazendo uso do framework Django, e combinada com
rotinas em Javascript, estas usadas para garantir que processos de criptografia sejam rea-
lizadas diretamente no navegador do usu´
ario e n˜
ao no servidor onde o Helios est´
a hospe-
dado. A arquitetura do Helios ´
e composta por quatro grande componentes [Adida 2008]:
Administrador da Eleic¸ ˜
ao – P´
agina web usada por usu´
arios para criarem e gerencia-
rem suas eleic¸ ˜
oes, informando as quest˜
oes que far˜
ao parte da eleic¸˜
ao, a lista de
eleitores, a lista de apuradores, envio de e-mail para eleitores e apuradores, etc;
Cabine de Votac¸ ˜
ao – P´
agina web pra que os eleitores possam fazer suas escolhas, se
autenticarem e por fim, depositarem sua c´
edula na urna, ou seja, submeter suas
escolhas para o servidor onde o Helios est´
a hospedado;
Servidor de dep´
osito de c´
edulas – Respons´
avel por receber e computar as c´
edulas
recebidas. Trata-se de um processo executado no servidor onde o Helios est´
a
hospedado;
Centro de auditoria – P´
agina web que permite a qualquer usu´
ario auditar todas as partes
da eleic¸ ˜
ao. Se uma eleic¸ ˜
ao j´
a estiver encerrada, o centro permite ao usu´
ario baixar
todas as c´
edulas daquela eleic¸ ˜
ao e realizar localmente a apurac¸ ˜
ao.
As subsec¸ ˜
oes a seguir apresentam os motivos e as melhorias que foram desenvol-
vidas nestes componentes.
4.1. Traduc¸ ˜
ao de interface e usabilidade
Oframework Django fornece suporte `
a internacionalizac¸ ˜
ao7, contudo os componentes
web do Helios n˜
ao foram codificados para usufruir desta funcionalidade e, por con-
sequˆ
encia, n˜
ao oferecem qualquer facilidade que permita traduzir as mensagens das inter-
faces com o usu´
ario. Outros componentes se quer possuem suporte `
a internacionalizac¸˜
ao,
como ´
e o caso da Cabine de Votac¸ ˜
ao, cujos os respectivos arquivos HTML s˜
ao servidos
estaticamente pelo servidor web e n˜
ao passam pelo processador de modelos do Django.
Embora seja poss´
ıvel fazer a marcac¸ ˜
ao de todas as strings que aparecem na in-
terface do usu´
ario (eleitor ou administrador), para depois relacion´
a-las com arquivos
5https://github.com/benadida/helios-server/graphs/contributors
6https://github.com/shirlei/helios-server
7Adaptac¸˜
ao das mensagens de um sistema para diferentes l´
ınguas.
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
640 c
2014 SBC — Soc. Bras. de Computação
de traduc¸ ˜
ao do Django, ainda assim n˜
ao atenderia todas as partes do sistema, p.e. Ca-
bine de Votac¸ ˜
ao. Sendo assim, optou-se neste primeiro momento por uma soluc¸ ˜
ao
mista. Onde era poss´
ıvel utilizar as facilidades do Django para traduc¸ ˜
ao, o mecanismo
de internacionalizac¸˜
ao do mesmo foi utilizado (maior parte do sistema). Onde n˜
ao era
poss´
ıvel (Cabine de Votac¸ ˜
ao), a traduc¸ ˜
ao foi feita diretamente nos documentos HTML e
nas rotinas Javascript dos mesmos.
Conforme apresentado na Sec¸˜
ao 3, a usabilidade ´
e o ponto menos favor´
avel do He-
lios. Para contornar essa quest˜
ao, uma das medidas tomadas foi a de, durante a traduc¸ ˜
ao,
adaptar o texto para ficar mais amig´
avel ao usu´
ario, pois o texto original tinha como prin-
cipal objetivo apresentar uma explicac¸ ˜
ao sobre como os requisitos de seguranc¸a est˜
ao
sendo garantidos pelo sistema.
A interface de gerenciamento de eleic¸ ˜
oes foi reorganizada, de modo a facilitar a
visualizac¸ ˜
ao de ac¸ ˜
oes a serem tomadas. Tamb´
em iniciou-se processo de utilizac¸˜
ao do
Bootstrap8como framework de desenvolvimento da interface. Este fornece diversas faci-
lidades para tratamento de estilos de elementos comuns como formul´
arios e bot˜
oes, al´
em
de plugins Javascript para menus e ainda, ´
e preparado para operar com layouts responsi-
vos, ou seja, que adequam a apresentac¸ ˜
ao da p´
agina web de acordo com o tamanho da tela
do dispositivo do usu´
ario.
4.2. M´
odulo super administrador
Na forma como o Helios ´
e oferecido em seu s´
ıtio web, qualquer pessoa pode usar o sis-
tema para criar e gerenciar suas pr´
oprias eleic¸ ˜
oes, para isto basta que possua uma conta
de usu´
ario em um dos servic¸ os: Google, Facebook ou Yahoo. No caso tratado por este
artigo, foi realizada uma instalac¸˜
ao local do sistema e tinha-se como necessidade garantir
que somente usu´
arios autorizados previamente pudessem criar e gerenciar suas eleic¸ ˜
oes.
Oframework Django trabalha com o conceito de aplicativos Django (django
apps), ou seja, componentes de software com regras bem definidas e auto contidos. A
instalac¸ ˜
ao padr˜
ao do Django possui diversos aplicativos, entre estes o admin app. Este
aplicativo fornece uma interface autom´
atica de administrac¸˜
ao a qual permite ler metada-
dos dos modelos de projeto, bem como inserir conte´
udo nestes modelos. Por padr˜
ao este
m´
odulo est´
a desabilitado no Helios.
Com a habilitac¸ ˜
ao deste m´
odulo e com algumas modificac¸ ˜
oes, foi poss´
ıvel criar
uma ´
area chamada de “super administrac¸˜
ao”. Voltado para a equipe de administrac¸ ˜
ao
do servic¸o Helios, este m´
odulo oferece funcionalidades para inserir, alterar e remover
usu´
arios da lista de autorizados a gerenciar eleic¸ ˜
oes no sistema.
Como informado na Sec¸ ˜
ao 3, o Helios ´
e um sistema de eleic¸ ˜
ao on-line totalmente
verific´
avel, por´
em a auditoria se resume nas informac¸ ˜
oes da pr´
opria eleic¸˜
ao e n˜
ao abrange
quest˜
oes, como por exemplo, sobre como e quando o sistema foi acessado pelo adminis-
trador de uma eleic¸ ˜
ao.
No portal do super administrador foi criada uma ´
area de auditoria para registrar as
ac¸ ˜
oes tomadas pelo administrador de uma eleic¸ ˜
ao. O c´
odigo padr˜
ao do Helios permite ao
administrador de uma eleic¸˜
ao, enquanto esta estiver aberta, adicionar ou remover eleitores
da lista de eleitores aptos a votar. Com o centro de auditoria desenvolvido neste trabalho,
8http://getbootstrap.com
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
641 c
2014 SBC — Soc. Bras. de Computação
toda ac¸˜
ao administrativa de remoc¸ ˜
ao de eleitor ´
e registrada, e cada registro cont´
em dados
sobre qual eleitor foi removido, data e hora da ac¸ ˜
ao e qual administrador fez tal ac¸ ˜
ao.
Nas modificac¸ ˜
oes realizadas incluiu-se tamb´
em caracter´
ısticas relativas ao registro
dos votos depositados pelos eleitores. No caso, o Helios registrava, al´
em do voto, a data
e a hora do mesmo. Adicionalmente passou-se a registrar tamb´
em o enderec¸o IP do
computador usado pelo eleitor. Estas informac¸ ˜
oes foram disponibilizadas na interface do
super administrador.
Cabe frisar que tais registros n˜
ao ferem a privacidade dos eleitores, pois n˜
ao ´
e
poss´
ıvel atrav´
es destes determinar em quem o eleitor votou. O objetivo desta funciona-
lidade ´
e para gerar uma ferramenta de investigac¸ ˜
ao que possa ser usada diante de uma
poss´
ıvel disputa. Por exemplo, verificar se um mesmo computador foi usado para regis-
trar v´
arios votos em um curto espac¸o de tempo, podendo assim caracterizar coac¸ ˜
ao de um
conjunto de eleitores.
4.3. Autenticac¸ ˜
ao de usu´
arios no servic¸o de diret´
orios LDAP
Primeiramente, ´
e importante destacar que o Helios n˜
ao permite o voto anˆ
onimo, ou seja,
todo eleitor deve passar por um processo de autenticac¸ ˜
ao para provar sua identidade.
Ao criar uma eleic¸ ˜
ao ´
e poss´
ıvel indicar se a mesma ´
e uma eleic¸ ˜
ao fechada, isto ´
e, s´
o
poder˜
ao votar os eleitores que foram carregados atrav´
es de um arquivo CSV, ou se ´
e uma
eleic¸ ˜
ao aberta, isto ´
e, poder´
a votar qualquer pessoa que consiga se autenticar atrav´
es dos
mecanismos que o Helios provˆ
e suporte.
Como optou-se por fazer uma instalac¸ ˜
ao local do Helios e os administradores de
eleic¸ ˜
oes deveriam ser obrigatoriamente servidores p´
ublicos da instituic¸˜
ao, a opc¸ ˜
ao de au-
tenticar atrav´
es de servic¸ os como Google, Facebook e Yahoo foi considerada inadequada.
O mesmo para as eleic¸ ˜
oes p´
ublicas, pois ´
e desejado que somente pessoas que possuam
credenciais da instituic¸ ˜
ao possam votar.
A instituic¸ ˜
ao possui um servic¸ o de diret ´
orios LDAP [Wahl et al. 1997] o qual ´
e
usado por todos os sistemas de informac¸˜
ao. Sendo assim, o Helios precisaria tamb´
em
autenticar seus usu´
arios atrav´
es do LDAP.
O Helios provˆ
e um m´
odulo de autenticac¸˜
ao que inicialmente s´
o permite
autenticac¸ ˜
ao atrav´
es de nome de usu´
ario e senha, armazenados em uma base local, e
atrav´
es do OAuth [Hammer-Lahav 2010], usado para Google, Facebook e Yahoo. Este
m´
odulo foi ent˜
ao estendido para permitir a autenticac¸˜
ao de usu´
arios, eleitores ou admi-
nistradores, presentes em uma base LDAP.
5. Conduc¸ ˜
ao e resultados da eleic¸ ˜
ao com sistema de votac¸ ˜
ao on-line
A mudanc¸ a de paradigma ´
e algo que pode gerar resistˆ
encia por parte dos envolvidos.
Visando minimizar uma poss´
ıvel resistˆ
encia ou mesmo questionamento sobre a lisura do
processo, fora apresentado para o Comitˆ
e Gestor de Tecnologia da Informac¸ ˜
ao e para
a Comiss˜
ao Eleitoral, o funcionamento do sistema, suas caracter´
ısticas e tamb´
em uma
analogia com a votac¸ ˜
ao por meio de c´
edulas de papel, sobre as fases de uma eleic¸ ˜
ao, que
s˜
ao: identificac¸ ˜
ao dos eleitores, votac¸ ˜
ao e apurac¸ ˜
ao.
O Conselho Superior possui representantes dos segmentos discente, docente e
t´
ecnico administrativos em educac¸ ˜
ao, sendo estes eleitos por seus pares. Optou-se por
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
642 c
2014 SBC — Soc. Bras. de Computação
criar uma eleic¸˜
ao para cada segmento, carregando para cada um arquivo CSV com a lista
de eleitores aptos a votar. Estas listas foram geradas a partir de extrac¸ ˜
ao dos sistemas de
informac¸ ˜
ao da instituic¸ ˜
ao e tornadas p´
ublicas no s´
ıtio web (hot site) da eleic¸ ˜
ao, de forma
que os interessados pudessem entrar em contato com a comiss˜
ao e sugerir correc¸ ˜
oes.
O trabalho de criac¸ ˜
ao das eleic¸ ˜
oes foi conduzido pela equipe de TI em conjunto
com os membros da comiss˜
ao eleitoral. O Helios permite determinar um n´
umero m´
ınimo
e m´
aximo de respostas para cada quest˜
ao. Ao inv´
es de se considerar a opc¸ ˜
ao de resposta
m´
ınima igual a zero, para englobar brancos e nulos, a comiss˜
ao optou por explicitamente
criar uma opc¸˜
ao de resposta BRANCO e uma opc¸˜
ao NULO. Desta forma, as quest˜
oes
foram configuradas para que o eleitor escolhesse no m´
ınimo uma e no m´
aximo uma res-
posta.
Para todas as eleic¸ ˜
oes foi feito uso de pseudˆ
onimos para os eleitores e foram adi-
cionados trˆ
es apuradores, estes escolhidos entre os membros da comiss˜
ao eleitoral. O par
de chaves criptogr´
aficas de cada apurador foi gerado naquela ocasi˜
ao, sendo que a chave
privada de cada apurador foi salva em um pendrive diferente e entregue ao apurador em
quest˜
ao.
Ciente que seria necess´
ario ter a chave dos trˆ
es apuradores para abrir a urna e
apurar os votos, uma c´
opia da chave privada de cada apurador tamb´
em foi salva em um
pendrive backup, o qual foi colocado dentro de um envelope que depois foi lacrado e
assinado pelos membros da comiss˜
ao. Este procedimento foi adotado como medida de
seguranc¸a, caso um dos apuradores viesse a perder seu pendrive.
Nas eleic¸ ˜
oes anteriores, com urna de lona, era dedicado um ´
unico dia para realizar
a votac¸ ˜
ao. Por esta soluc¸ ˜
ao depender da infraestrutura de TI onde est´
a hospedado o Helios,
optou-se por estender para 4 dias o per´
ıodo para votac¸ ˜
ao. Assim, mesmo que houvesse
uma indisponibilidade tempor´
aria do Helios ou mesmo perda de conectividade de algum
campus, haveria tempo h´
abil para que todos eleitores pudessem depositar seus votos.
No dia e hora de abertura do per´
ıodo de votac¸ ˜
ao, a comiss˜
ao eleitoral, atrav´
es
do Helios, fez o envio do usu´
ario e senha para o e-mail de cada eleitor cadastrado. Isto
resultou no envio de mais de 14.347 e-mails e foram necess´
arias quase quatro horas para
que todos os e-mails fossem entregues. Verificou-se que o motivo desta demora estava
relacionado com o mecanismo de fila de tarefas distribu´
ıda9, pois existia somente um
processo respons´
avel por todo o envio de e-mail. A soluc¸ ˜
ao foi iniciar cinco processos
(workers) de forma concorrente, por´
em isto s´
o foi ´
util para o envio de e-mails de lembrete
de votac¸ ˜
ao para aqueles eleitores que ainda n˜
ao haviam depositado seus votos.
O processo de apurac¸˜
ao ocorreu sem problemas, sendo feita em uma sess˜
ao
p´
ublica. Na eleic¸ ˜
ao para TAEs, 63% dos eleitores compareceram `
as urnas (568), 59%
dos docentes (572) e apenas 5% dos discentes (689). N ´
umeros bem pr´
oximos com os da
´
ultima eleic¸ ˜
ao em 2011 realizada com c´
edulas de papel, 65% de TAEs (451) e 64% de
docentes (513). Discentes n ˜
ao participaram da eleic¸ ˜
ao de 2011.
6. Conclus˜
oes
A principal facilidade de um sistema de votac¸ ˜
ao on-line ´
e a possibilidade do eleitor votar
por meio de qualquer dispositivo conectado `
a Internet. Por´
em, em eleic¸ ˜
oes com grande
9https://celery.readthedocs.org/en/latest/
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
643 c
2014 SBC — Soc. Bras. de Computação
probabilidade de coac¸˜
ao de eleitores, tal soluc¸ ˜
ao pode ser questionada pelos interessados,
principalmente sobre a garantia da pessoalidade do voto, ou seja, nenhum eleitor poderia
se passar por outro.
Para este caso, poderia-se fazer uso de mecanismos de forma que o acesso ao
servidor do Helios s´
o fosse feito atrav´
es de computadores previamente registrados, por
meio de firewall, VPNs, etc. Desta forma, cada campus teria um computador atuando
exclusivamente como urna em uma sala com controle de acesso restrito. Ou seja, para
ingressar na sala o eleitor teria que assinar uma lista de presenc¸ a e somente um eleitor por
vez. Este computador garantiria que o eleitor s ´
o pudesse depositar o voto uma ´
unica vez.
Como trabalhos futuros pretende-se disponibilizar a soluc¸˜
ao como um servic¸o de
TIC, exigindo um m´
ınimo ou nenhuma interac¸˜
ao da ´
area de TI na configurac¸˜
ao de cada
eleic¸ ˜
ao. Para isto ser´
a necess´
ario desenvolver um mecanismo para gerar automaticamente
a lista de eleitores, de acordo com a escolha do administrador da eleic¸ ˜
ao. Outra melhoria
importante ´
e a de adicionar na interface de administrac¸ ˜
ao a possibilidade de se configurar
data e hora inicial e final da eleic¸ ˜
ao, permitindo que a mesma seja aberta e fechada sem a
necessidade intervenc¸ ˜
ao manual por parte do administrador.
Todas as alterac¸ ˜
oes e personalizac¸ ˜
oes descritas neste artigo foram disponibiliza-
das publicamente no GitHub10 sob a mesma licenc¸ a de software livre usada pelo Helios.
Tamb´
em foi gerado um arquivo de instruc¸ ˜
oes que detalha todos os passos necess´
arios para
uma instalac¸ ˜
ao e configurac¸ ˜
ao funcional do sistema.
Referˆ
encias
Adida, B. (2008). Helios: Web based open audit voting. In 17th USENIX Security Sym-
posium.
Chaum, D., Essex, A., Carback, R., Clark, J., Popoveniuc, S., Sherman, A., and Vora,
P. (2008). Scantegrity: End-to-end voter-verifiable optical-scan voting. Security &
Privacy, IEEE, 6(3):40–46.
Cunha, P. R. F., Granville, L. Z., and de Matos Galante, R. (2013). Plano de gest˜
ao para
a SBC biˆ
enio 2013-2015.
Dill, D., Mercuri, R., Neumann, P., and Wallach, D. (2003). Frequently asked questions
about dre voting systems. Verified Voting.
Hammer-Lahav, E. (2010). The oauth 1.0 protocol.
Joaquim, R., Ferreira, P., and Ribeiro, C. (2013). Eviv: An end-to-end verifiable internet
voting system. computers & security, 32:170–191.
Jonker, H., Mauw, S., and Pang, J. (2013). Privacy and verifiability in voting systems:
Methods, developments and trends. Computer Science Review, 10:1–30.
Karayumak, F., Olembo, M. M., Kauer, M., and Volkamer, M. (2011). Usability analysis
of helios-an open source verifiable remote electronic voting system. In Proceedings of
the 2011 USENIX Electronic Voting Technology Workshop/Workshop on Trustworthy
Elections. USENIX.
10https://github.com/shirlei/helios-server
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
644 c
2014 SBC — Soc. Bras. de Computação
Kohno, T., Stubblefield, A., Rubin, A. D., and Wallach, D. S. (2004). Analysis of an
electronic voting system. In Security and Privacy, 2004. Proceedings. 2004 IEEE
Symposium on, pages 27–40. IEEE.
PortalJH (2012). Maioria dos docentes da ufrn aprova pro-
posta do governo federal. http://jornaldehoje.com.br/
maioria-dos-docentes-da-ufrn-aprova-proposta-do-governo-federal. Visi-
tado em agosto de 2014.
POST, U. (2001). Online voting. In POSTNOTE, number 155. UK Parliamentary Office
of Science and Technology.
Pˆ
orto, I. J., Galante, R., and Zorzo, A. (2011). Ata da sess˜
ao p´
ublica de apurac¸ ˜
ao dos
votos para eleic¸ ˜
ao do conselho e da diretoria da sociedade brasileira de computac¸ ˜
ao.
Qadah, G. Z. and Taha, R. (2007). Electronic voting systems: Requirements, design, and
implementation. Computer Standards & Interfaces, 29(3):376–386.
Rivest, R. L. (2008). On the notion of ‘software independence’in voting systems. Philo-
sophical Transactions of the Royal Society A: Mathematical, Physical and Engineering
Sciences, 366(1881):3759–3767.
Rivest, R. L., Adleman, L., and Dertouzos, M. L. (1978). On data banks and privacy
homomorphisms. Foundations of secure computation, 4(11):169–180.
Shamir, A. (1979). How to share a secret. Communications of the ACM, 22(11):612–613.
UFPA, I. (2012). Eleic¸˜
ao dos servidores t´
ecnico-administrativos
para os conselhos superiores. http://www.itec.ufpa.
br/index.php?option=com content&view=article&id=552:
eleicao-dos-servidores-tecnico-administrativos-para-os-conselhos-superiores&
catid=47:noticias&Itemid=192. Visitado em agosto de 2014.
UFRN (2012). Eleita a nova diretoria do dce com o uso do
sigeleic¸ ˜
ao. http://sistemasdaufrn.blogspot.com.br/2012/10/
eleita-nova-diretoria-do-dce-com-o-uso.html. Visitado em agosto de 2014.
UNB (2013). Unb adapta sistema de voto eletrˆ
onico para
defensoria p´
ublica da uni˜
ao. http://www.unbciencia.unb.
br/index.php?option=com content&view=article&id=605%
3Aunb-adapta-sistema-de-voto-eletronico-para-defensoria-publica-da-uniao&
catid=43%3Aeletrica&Itemid=9. Visitado em agosto de 2014.
Wahl, M., Howes, T., and Kille, S. (1997). Lightweight directory access protocol (v3).
Weber, J. and Hengartner, U. (2009). Usability study of the open audit voting system
helios. www.jannaweber.com/wp-content/uploads/2009/09/858Helios.pdf. Visi-
tado em setembro de 2014.
XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
645 c
2014 SBC — Soc. Bras. de Computação
