Detalhes técnicos das urnas eletrônicas 2020 e 2022

A urna eletrônica 2022 (UE2022) é o modelo mais novo da Justiça Eleitoral. Ela é tecnicamente igual à UE2020. Visualmente, só alguns pequenos detalhes no gabinete permitem diferenciar uma UE2020 de uma UE2022.

Essa geração de urnas possui novo design e melhorias relacionadas à capacidade de processamento das informações, à interação com o mesário por meio de um teclado sensível ao toque e a diretivas de segurança do equipamento. Abaixo, serão exibidos mais detalhes do equipamento, além de diretrizes utilizadas pela Justiça Eleitoral para especificar e construir a urna eletrônica.

Diretrizes gerais
Princípios gerais para construção do equipamento

Quando a Justiça Eleitoral inicia o projeto de desenvolvimento de uma urna eletrônica, alguns princípios devem ser respeitados, tais como:

  1. a urna deve ser fácil de usar, transportar e operar;
  2. a urna deve ser autossuficiente para funcionar em qualquer local, com qualquer infraestrutura disponível;
  3. a urna deve ser segura, sem precisar ser vigiada;
  4. a urna deve ser desconectada de qualquer tipo de rede, com ou sem fio;
  5. a urna deve ser independente de quem a estiver operando. As decisões de funcionamento e operação não devem depender do operador do equipamento;
  6. a urna deve ser integrada em um único equipamento (monobloco);
  7. na cabina de votação, o eleitor deve ter acesso apenas ao teclado e à tela da urna;
  8. todas as interfaces de conexão e os indicadores de funcionamento da urna devem ficar nas laterais ou na sua parte traseira. Essas são faces públicas do equipamento e devem ficar expostas a todos os presentes na seção eleitoral.
Urna eletrônica 2022
Acessibilidade

A urna eletrônica UE2022 e demais modelos de urna possuem os seguintes itens de acessibilidade:

  1. teclado numérico grande, com sequenciamento de números igual ao utilizado nos telefones e teclas com sensibilidade tátil (braile) e audível (clique);
  2. saída de áudio para fone de ouvido;
  3. cadastro de nome fonético dos candidatos;
  4. sintetizador de voz para leitura das teclas digitadas e dos nomes das pessoas candidatas, vices e suplentes;
  5. apresentação de um intérprete da Língua Brasileira de Sinais (Libras) na tela da urna, para indicar os cargos em votação.
Sistema Operacional Linux (Uenux)

Desde 2008, as urnas eletrônicas usadas nas eleições utilizam o sistema operacional Linux. Por ser um sistema de código aberto, o Linux é a opção ideal com vistas à promoção da auditoria do software da urna. Também é a melhor escolha quando se considera a possibilidade de serem feitas alterações que tornem o sistema operacional mais adequado ao processo eleitoral e ainda mais seguro.

A equipe técnica do TSE desenvolveu sua própria distribuição Linux, chamada de Uenux (Linux na urna eletrônica). O Uenux é configurado para suportar somente o hardware da urna – é retirado, por exemplo, todo o suporte a dispositivos de rede, teclado e mouse. No Uenux, não há terminal de comandos e nele são incluídas somente as aplicações utilizadas no processo eleitoral. Todos os modelos de urna executam a mesma versão do Uenux, existe somente uma versão.

Finalmente, o kernel do Linux foi expandido pela equipe técnica do TSE para incluir mecanismo de validação de assinatura digital de tudo aquilo que é executado no sistema. Isso significa que o Uenux executa apenas drivers, bibliotecas e aplicativos que tenham sido assinados em cerimônia pública e que possuam assinatura válida; caso contrário, o funcionamento da urna é suspenso.

Cadeia de segurança

Consiste em um sistema embarcado em hardware específico que, em conjunto com um firmware, implementa funções criptográficas, inclusive algoritmos criptográficos e geração de chaves criptográficas.

É uma solução de segurança de hardware das urnas eletrônicas, baseada em certificação digital, para garantir que as urnas eletrônicas executem apenas softwares assinados digitalmente pelo TSE, e que o sistema operacional das urnas eletrônicas (Uenux), desenvolvido pelo TSE, seja executado apenas em urnas eletrônicas da Justiça Eleitoral.

Assim que a urna eletrônica é ligada, apenas o hardware de segurança e a BIOS são energizados. O hardware de segurança inicia um processo de verificação de assinatura da BIOS, do bootloader e do sistema operacional (Uenux). Por último, o Uenux faz um desafio criptográfico ao hardware de segurança. Se a resposta for a esperada, o Uenux sabe que está sendo executado em uma urna eletrônica da Justiça Eleitoral e permite que ela seja completamente ligada. Caso alguma das verificações não seja satisfatória, a urna eletrônica trava e se desliga automaticamente.

A cadeia de segurança é suportada pela Autoridade Certificadora da Justiça Eleitoral, localizada em sala-cofre do TSE, que possui mais de 4 milhões de certificados digitais emitidos para as urnas eletrônicas. A estrutura dos certificados armazenados no hardware de segurança garante a segregação de função entre as equipes e as fases de produção do equipamento e de desenvolvimento dos sistemas, bem como a realização de simulados e das eleições em si.

Mais detalhes podem ser obtidos no artigo científico que aborda a solução, bem como no mais recente artigo publicado no Simpósio Brasileiro de Segurança da Informação (SBSeg) de 2019 com as evoluções desenvolvidas a partir do TPS anterior.

Módulo de Segurança Embarcado (MSE)

Consiste em um sistema embarcado em hardware específico que, em conjunto com um firmware, implementa funções criptográficas, inclusive algoritmos criptográficos e geração de chaves criptográficas. É o principal componente da cadeia de segurança.

As principais características do MSE são:

  1. funciona como única raiz de confiança, implementada em hardware, de uma pilha de inicialização segura que não poderá ser desabilitada;
  2. dedicado às funções criptográficas de: 1) assinatura e verificação com primitivas de chaves assimétricas; 2) cifração e decifração com primitivas de chaves simétricas e assimétricas; 3) resumo digital; e 4) autenticação com chaves assimétricas;
  3. possui funções para geração, armazenamento e uso seguro de chaves criptográficas;
  4. possibilita a autenticação de dispositivos seguros conectados à urna;
  5. provê método seguro e auditável de atualização de seu próprio firmware;
  6. provê método seguro para provar o conteúdo completo de seu próprio firmware;
  7. Permite o bloqueio das funcionalidades do hardware da urna;
  8. possui gerador de números aleatórios (True Random Number Generator - TRNG); e
  9. garante que o número de identificação único de cada urna eletrônica não pode ser alterado.

A partir da UE2020, o MSE passou a ser certificado com base nos requisitos da ICPBrasil.

Teclado do Terminal do Eleitor
Teclado do terminal da Urna

Possui chip criptográfico resinado com epóxi para garantir que apenas teclados reconhecidos pela Justiça Eleitoral sejam utilizados nas urnas eletrônicas e para cifrar o conteúdo de cada tecla digitada: a cada pressionamento de tecla, é gerado um criptograma diferente.

Leitor biométrico
Leitor Biometrico da Urna

De tecnologia óptica, possui chip criptográfico para garantir que apenas leitores biométricos conhecidos da Justiça Eleitoral sejam utilizados nas urnas eletrônicas e para cifrar a impressão digital coletada.

Impressora e papel térmicos
Imagem da Impressora e papel

A urna eletrônica utiliza impressora térmica com papel especial resistente para manter as informações impressas por mais tempo. Ela possui sensores para indicar ao software de votação seu comportamento durante o uso na eleição. Além de possuir guilhotina para corte do papel, a impressora da urna eletrônica tem um chip criptográfico para garantir que apenas equipamentos de impressão conhecidos da Justiça Eleitoral sejam utilizados nas urnas eletrônicas. Ademais, esse chip provê o serviço de cifrar os dados enviados para impressão.

Fonte de energia inteligente
Fonte de Energia da Urna

A fonte de energia garante o funcionamento da urna eletrônica sem interrupção, por possuir inteligência para suportar alimentação por energia elétrica ou bateria. A fonte da urna eletrônica possui capacidade suficiente para suportar os picos de energia demandados pela impressora térmica.

Bateria
Bateria interna da urna

A bateria garante o funcionamento da urna eletrônica sem depender da existência de energia elétrica disponível.

A UE2020 é o primeiro modelo de urna com bateria de lítio-ferro-fosfato. Até então, as urnas eletrônicas continham baterias de chumbo-ácido.

Terminal do mesário
Terminal do mesário

Com tela sensível ao toque, a partir da UE2020, permite melhor interação com o mesário ao exibir informações gráficas