Campo da invenção

[001] A presente invenção refere-se, em geral, à votação eletrônica. Particularmente, a presente invenção refere-se à auditoria do resultado de uma eleição feita por meio votação eletrônica, sem a utilização de papel.

Fundamentos da invenção

[002] O voto direto, secreto, universal e periódico é um dos pilares da democracia. Segundo a constituição brasileira, no seu artigo 14, “a soberania popular será exercida pelo sufrágio universal e pelo voto direto e secreto, com valor igual para todos...”. A declaração universal dos direitos humanos, no seu artigo 21° estabelece: “A vontade do povo é o fundamento da autoridade dos poderes públicos: e deve exprimir-se através de eleições honestas a realizar periodicamente por sufrágio universal e igual, com voto secreto ou segundo processo equivalente que salvaguarde a liberdade de voto”. No entanto, sempre foi um desafio e bastante dispendioso a realização de eleições que preservem o caráter secreto do voto e ao mesmo tempo sejam transparentes e auditáveis, garantindo um resultado livre de fraudes ou erros não intencionais.

[003] Por muitos anos o voto em cédula de papel foi e ainda continua sendo o principal meio de votação em muitos países. No entanto, além de ser um processo caro e demorado, ele traz consigo uma série de vulnerabilidades que podem facilitar a ocorrência de fraudes ou de erros não intencionais nos pleitos eleitorais. Como exemplos de fraudes ocorridas no Brasil, no tempo do voto em papel, podemos citar o “voto formiguinha”, no qual um dos primeiros eleitores que se apresentava na seção eleitoral recebia a cédula do mesário, entrava na cabina de votação e, em vez de preenchê-la e depositá-la, guardava a cédula em branco e colocava um papel qualquer na urna de lona. Outra pessoa que estava fora da seção recebia a cédula oficial, assinalava os candidatos desejados e a entregava para um próximo eleitor. Esse tinha a incumbência de depositar a cédula já preenchida, pegar outra em branco e devolver novamente para a pessoa que organizava o esquema (fonte: https://www.tse.ius.br/imprensa/noticias- tse/2018/Maio/urna-eletronica-i iu-ocorrencias-de-fraudes-em-eleicoes visto em outubro de 2021). Como outros exemplos de fraude podemos citar a tática das “urnas emprenhadas”, na qual as urnas, que eram de lona, por serem frágeis, sem requisito de segurança, possibilitavam a inserção de cédulas preenchidas antes de iniciar a votação; e, ainda, o preenchimento de cédulas depositadas em branco em favor de algum candidato durante o processo de contagem dos votos.

[004] Além das fraudes, no processo de votação utilizando-se somente o voto em papel, existe um risco maior de erros humanos não intencionais durante a apuração dos resultados. Numa contagem de milhões de votos feita manualmente tem-se um grande risco de alguns votos serem atribuídos a candidatos diferentes daqueles escolhidos pelos eleitores, em decorrência de falha humana. Além dos erros humanos, a contagem manual em uma eleição nacional, com milhões de eleitores, é bastante dispendiosa e demorada.

[005] Com intuito de agilizar a apuração dos resultados, baratear os custos, resolver alguns problemas de fraudes e mitigar consideravelmente os riscos de erros humanos inerentes ao processo de votação em papel, o Brasil, assim como vários outros países passaram a adotar sistemas de votação eletrônica, utilizando as Electronic Voting Machines (EVMs), conhecidas como urnas eletrônicas.

[006] A maioria dos sistemas eletrônicos de votação se encaixa em um dos seguintes tipos: 1 ) Direct recording electronic (DRE), dispositivos que registram os votos dos eleitores eletronicamente, os quais podem vir com um sistema de impressão em papel (WPAT, or voter-verified paper audit trail) para permitir a auditoria dos resultados. 2) Sistemas OMR, que são baseados em scanners que reconhecem as escolhas dos eleitores em uma cédula de papel. 3) Electronic ballot printers (EBPs), dispositivo similar ao DRE que produz uma impressão em papel do voto, a qual deve ser inserida em um scanner separado que faz a contagem dos votos. 4) Sistemas de votações por internet, onde os votos são transferidos por internet para um servidor central que faz a contagem, (fonte: INTRODUCING ELECTRONIC VOTING Essential Considerations, International Institute for Democracy and Electoral Assistance - IDEA, -electronic-votinq-essential- considerations visto em outubro de 2021 )

[007] Os sistemas de votação eletrônica resolveram vários problemas históricos do sistema em papel, porém introduziram novos problemas, como falta de transparência, riscos de erros de softwares intencionais ou não, risco de terem os seus softwares adulterados por um invasor interno ou externo, entre outros, possibilitando alteração no resultado das eleições, sem a percepção pelos observadores do processo eleitoral.

[008] Os sistemas de votação eletrônica que não geram uma trilha de auditoria dos votos e não permitem ao eleitor confirmar o registro/comprovante do seu voto, de forma independente dos softwares das urnas eletrônicas, como o DRE sem WPAT, tem recebido fortes críticas da comunidade científica e de organismos internacionais. Na última versão do Voluntary Voting System Guidelines (WSG 2.0), de fevereiro de 2021 , publicado pela Election Assistance Commission (EAC), instituto responsável pelas diretivas e padrões a serem adotados em sistemas de votação eletrônica nos Estados Unidos, foram estabelecidas, entre outras diretivas, a obrigatoriedade dos sistemas de auditoria serem independentes dos softwares utilizados para a realização da votação eletrônica, isto é, um erro ou falha não detectável no software do sistema de votação eletrônica não pode causar uma alterarão não detectável no resultado do pleito eleitoral. Adicionalmente, estabeleceu-se que o sistema de auditoria deve permitir ao eleitor confirmar o comprovante do seu voto durante a realização da votação.

[009] Todos os sistemas de votação eletrônica conhecidos atualmente que geram um comprovante individual do voto, de forma independente do software utilizado na votação eletrônica e que permitem ao eleitor verificá-lo no processo de votação, utilizam de alguma forma o papel. Como exemplo temos os sistemas do tipo DRE com WPAT, que imprimem os votos em papel, os sistemas do tipo OMR, onde o voto marcado em uma cédula de papel é lido e processado por um scanner e os sistemas EBPs, que como o DRE com WPAT também imprimem o voto em papel. Estes sistemas apresentam uma evolução em relação a votação feita somente em cédulas de papel e adicionam uma camada extra de segurança em relação aos sistemas eletrônicos que não geram comprovantes verificáveis pelo eleitor, como o DRE sem WPAT, porém eles não resolvem alguns dos problemas inerentes ao uso de papel, como o alto custo com manuseio, transporte e armazenamento dos comprovantes em papéis, o risco de fraudes ou erros no processo de contagem dos votos, o risco de adulteração, adição ou subtração de alguns dos comprovantes em papel e o impacto ambiental, entre outros. Além dos problemas citados acima, adiciona-se o risco de falhas no processo eletromecânico para a impressão dos comprovantes, nos sistemas que fazem a impressão durante o processo de votação, o que pode resultar, inclusive, na quebra do sigilo do voto e da validade do processo eleitoral. Em 2020, de forma unânime, a suprema corte brasileira (STF) barrou a impressão do registro do voto realizado na urna eletrônica, por colocar em risco o sigilo e a liberdade do voto (AÇÃO DIRETA DE INCONSTITUCIONALIDADE N. 5.889/ DISTRITO FEDERAL).

[0010] O dispositivo e método para auditoria de votação eletrônica a que se refere esta invenção tem por objetivo possibilitar a auditaria do resultado de uma eleição feita por meio de votação eletrônica, sem a utilização de papel e de forma independente dos softwares utilizados nos sistemas votação eletrônica, solucionando, assim, os problemas citados acima, em relação aos comprovantes impressos em papéis, mantendo os benefícios de uma eleição realizada por meio de votação eletrônica. A presente invenção vai possibilitar a geração de um comprovante do voto ou dos votos de cada eleitor, por meio de fotografia ou vídeo da tela da urna eletrônica (TU) ou de uma tela auxiliar (TA) contendo o voto ou votos realizados pelo eleitor na urna eletrônica (U), juntamente com identificadores e cartões dados fixados no entorno da tela, como exemplo, código de barras, número de série da urna eletrônica (U) e cartão de assinaturas (6), dentre outros. O registro fotográfico ou em vídeo do voto ou votos é gerado por um sistema, preferencialmente embarcado no dispositivo (1), que funciona de forma independente dos softwares utilizados nos sistemas de votação eletrônica e de apuração dos votos. O dispositivo (1 ) permite ao eleitor confirmar o registro fotográfico ou em vídeo do seu voto ou votos durante o processo de votação, garantindo assim um comprovante legítimo que foi confirmado pelo eleitor, de forma independente dos softwares utilizando no sistema de votação eletrônica, o qual poderá ser utilizado para realizar a verificação da contagem de votos, em uma auditoria do resultado da eleição, de forma segura, independente e transparente, após o pleito eleitoral. Breve descrição dos desenhos

[0011] Segue uma breve descrição das figuras, diagramas e gráficos utilizados para auxiliar na compreensão da invenção a que se refere este pedido de patente:

A Figura 1 mostra uma visão da parte frontal e lateral direita do dispositivo (1).

A Figura 2 mostra uma visão da parte traseira e lateral esquerda do dispositivo (1).

A Figura 3 mostra uma visão aproximada da parte traseira e lateral direita do dispositivo (1).

A Figura 4 apresenta os detalhes do sistema de encaixe (7) utilizado para acoplar o dispositivo (1) à urna eletrônica (U) ou a uma tela auxiliar (TA).

A Figura 5 mostra o dispositivo (1) acoplado a uma urna eletrônica (U), visto pela frente e lateral direita.

A Figura 6 apresenta o dispositivo (1) acoplado a uma urna eletrônica (U), visto pela parte traseira e lateral direita.

A Figura 7 mostra o dispositivo (1) acoplado a uma tela auxiliar (TA), visto pela frente e lateral direita.

Figura 8 apresenta uma sugestão de modelo para um cartão de assinaturas.

A Figura 9 mostra uma representação gráfica dos componentes macros e interfaces do dispositivo (1)

A Figura 10 apresenta um diagrama de estados do software embarcado no dispositivo (1).

Descrição da invenção

[0012] O dispositivo e método para auditoria de votação eletrônica ao qual se refere a presente invenção consiste em um dispositivo (1) e método para registrar o voto ou os votos de cada eleitor, por meio da captura de fotografias ou vídeos da tela da urna eletrônica (TU) ou de uma tela auxiliar (TA) contento o voto ou votos realizados pelo eleitor, juntamente com identificadores e cartões de dados, como por exemplo, código de barras, número de série da urna eletrônica e cartão de assinaturas (6), dentre outros, fixados no entorno da tela da urna eletrônica (TU) ou de uma tela auxiliar (TA).

[0013] O dispositivo (1 ) possui uma cabine de isolamento (2), com uma ou mais câmeras internas (5), a qual isola o entorno da tela da urna eletrônica (TU) ou da tela auxiliar (TA), permitindo a visualização do seu interior, mas impedindo a inserção de quaisquer objetos estranhos no campo de visão da câmera (5) ou das câmeras, se houver mais de uma, bem como impedindo a captura da imagem de quaisquer objetos externos à cabine de isolamento (2). O dispositivo (1 ) possui ainda uma tela (3) com botões (24) ou, alternativamente, uma tela “touch-screen” que permite ao eleitor confirmar o registro fotográfico ou em vídeo do seu voto ou votos de forma independente da urna eletrônica (U). Os registros fotográficos ou em vídeo do voto ou dos votos de cada eleitor, após confirmados, são assinados digitalmente utilizando-se criptografia assimétrica ou outra forma de assinatura digital e gravados na memória interna de dados (22), bem como, opcionalmente, em uma memória de backup (19), que pode ser um cartão SD ou outro tipo de memória, como um pen-drive. O dispositivo possibilita ainda a gravação de todos os registros fotográficos ou em vídeos dos votos em uma mídia não regravável do tipo BD-R, DVD-R, CD-R, SD WORM “write once read many” ou outra, adicionando, dessa forma, uma camada extra de proteção.

[0014] Ao final do processo de votação, a chave privada utilizada para assinar digitalmente os registros fotográficos ou vídeos dos votos poderá ser destruída, impossibilitando a adulteração dos mesmos ou a adição de uma fotografia ou vídeo que não tenha sido gerado pelo processo de votação e confirmado pelo eleitor. Dessa forma, os registros gerados no processo de votação são dotados de elevado nível de segurança e inviolabilidade, permitindo a realização de auditoria do resultado das eleições, de forma independente dos softwares utilizados na urna eletrônica (U) e sem a necessidade de utilização de papel.

[0015] A tela (3) do dispositivo (1 ) pode ser utilizada para a visualização, após o encerramento do pleito eleitoral, de todos os registros fotográficos ou em vídeo dos votos armazenados na memória de dados interna (22) ou na memória de backup (19), permitindo assim às autoridades responsáveis realizarem uma contagem pública dos votos. Adicionalmente, um software que utiliza a tecnologia OCR poderá ser disponibilizado e utilizado, tanto pelas autoridades responsáveis quanto por outros interessados, para realizar a contagem dos votos, de forma automática e independente dos softwares utilizados na urna eletrônica (U) e dos softwares utilizados no sistema de totalização de votos. Sugere-se que o software seja de código aberto, conferindo maior transparência ao processo. A contagem automatizada garante agilidade em um eventual processo de recontagem de votos.

[0016] Sugere-se que seja adicionado algum tipo de identificador, como por exemplo um QR Code, na tela da urna eletrônica (TU) ou na tela auxiliar (TA), no momento da captura do registro fotográfico ou em vídeo do voto ou dos votos do eleitor pelo dispositivo (1), que permita a correlação entre o registro fotográfico ou em vídeo do voto ou dos votos do eleitor capturado pelo dispositivo (1 ) e o registro eletrônico do voto ou dos votos armazenado na urna eletrônica (U), sem, contudo, identificar o eleitor, de forma que não apareça nenhum dado relativo ao eleitor na tela da urna eletrônica (TU) ou na tela auxiliar (TA).

Descrição detalhada do dispositivo (1 )

[0017] O dispositivo (1) é preferencialmente composto pelos seguintes módulos vistos pela parte frontal: cabine de isolamento (2), tela (3) com botões (24) ou alternativamente uma tela “touch-screen”, vidro transparente (4), pelo menos uma câmera fotográfica (5), suporte para fixação do cartão de assinaturas (6) e identificadores, teclado externo (8) e sistema de encaixe (7) e pelos seguintes módulos vistos pela parte traseira: tampas de proteção (9, 11 e 15), entrada USB para token de assinatura digital (10), gravador de Blu-Ray/DVD/CD (12), cabo de dados (13), cabo de energia (14), menu de operações (16), saída HDMI (17), porta USB (18) para o teclado externo (8) e saída SD (19). Internamente, o dispositivo (1 ) contém uma central de processamento com sistema embarcado (21 ), envolta em uma caixa protetora (20) selada e inviolável “tamper- resistant” e “tamper-evident” e uma memória interna de dados (22). Configurações diferentes da preferencialmente proposta acima podem serem implementadas, como por exemplo, se uma autoridade administradora do processo de votação decidir usar somente o SD WORM “write once read many” como mídia permanente para o registro dos votos, pode não precisar do gravador de Blu-Ray/DVD/CD (12), ou se decidir por usar somente DVD, pode não precisar que o gravador (12) grave também em Blu-Ray.

[0018] A cabine de isolamento (2) em conjunto com o sistema de encaixe (7) e o vidro ou outro material transparente (4) isolam a tela da urna eletrônica (TU) ou a tela auxiliar (TA) e os espaços no seu entorno utilizados para a fixação de identificadores e cartões de dados, permitindo a visualização dos mesmos pelo eleitor, mas impedindo a inserção de qualquer objeto estranho no campo de visão da câmera (5) ou câmeras, se houver mais de uma, e impedindo a captura da imagem de objetos externos a cabine de isolamento (2), o que poderia gerar alguma forma de marcação nos registros fotográficos ou em vídeos dos votos ou até mesmo bloquear parcial ou total o ângulo de visão da câmera (5) ou das câmeras, se houver mais de uma. O sistema de encaixe (7) possui uma forma de encaixe (25) que possibilita acoplar e desacoplar o dispositivo (1 ) à urna eletrônica (U) ou a tela auxiliar (TA) e quando acoplado veda a parte interna, não permitindo que qualquer objeto estranho seja inserido no interior da cabine de isolamento (2). Outras formas de encaixe diferente da sugerida podem serem implementadas.

[0019] A tela (3) com botões (24) ou alternativamente a tela “touch-screen” permite ao eleitor verificar o registro fotográfico ou em vídeo do seu voto, durante o processo de votação e de forma independente do software utilizado na urna eletrônica (U). A tela (3) também pode ser utilizada, após o término da votação, para visualizar todas as fotografias ou vídeos, em uma sequência embaralhada, possibilitando assim uma apuração pública do resultado.

[0020] A câmera (5) ou câmeras internas à cabine de isolamento (2) possuem um ângulo de abertura que possibilita a captura da tela da urna eletrônica (TU) ou da tela auxiliar (TA) contendo o voto ou os votos do eleitor, juntamente com os identificadores e cartões de dados, como exemplo, código de barras, número de série da urna eletrônica e cartão de assinaturas (6), dentre outros, sem capturar a imagem quaisquer objetos do ambiente externo à cabine de isolamento (2). A câmera (5) ou câmeras, se houver mais de uma, possuem um sensor de imagem de alta resolução que possibilita capturar a fotografia ou vídeo dos votos de forma nítida contendo todos os detalhes dos identificadores, cartões de dados e do voto apresentado na tela da urna eletrônica (TU) ou na tela auxiliar (TA). [0021] O teclado externo (8), a ser conectado ao dispositivo (1 ) preferencialmente após o encerramento da votação, auxilia em uma eventual contagem manual dos votos, seja para uma apuração pública do resultado ou para uma auditoria. O modelo sugerido possui preferencialmente três botões, dois para navegar entre os registros fotográficos ou em vídeo dos votos e um para colocar um sinal de visto nos registros, indicando quais votos já foram visualizados e ou contados. O sinal de visto não é salvo no registro fotográfico ou em vídeo do voto, mas somente utilizando durante a visualização destes, para auxiliar em uma eventual contagem manual dos votos. Outros modelos de teclados, com funcionalidades diferentes, poderão serem implementados para atender às necessidades especificas de cada processo eleitoral.

[0022] As tampas de proteção (9, 11 e 15) servem para proteger as interfaces do dispositivo (1), devendo serem preferencialmente fechadas e lacradas antes do início da votação a fim de impossibilitar que os eleitores tenham acesso às interfaces do dispositivo (1) durante o processo de votação. Caso ocorra uma tentativa de abrir as tampas de proteção (9, 11 e 15), durante o processo de votação, o dispositivo (1 ) pode opcionalmente ser configurado para disparar um alarme sonoro específico para indicar a tentativa de violação.

[0023] O dispositivo (1 ) possui uma entrada USB (10) para inserção de um token contento a chave privada a ser utilizada na assinatura digital dos registros fotográficos ou em vídeo dos votos. A chave privada poderá ser destruída no encerramento da votação. Outras formas de interfaces para a chave privada ou até mesmo outros métodos de assinatura digital poderão serem implementados.

[0024] O gravador de Blu-ray/DVD/CD (12) é preferencialmente utilizado para gravar os registros fotográficos ou em vídeos dos votos, assinados digitalmente e embaralhados, em BD-R, DVD-R ou CD-R, gerando assim uma mídia não regravável com o registro fotográfico ou em vídeo de dos votos realizados na urna eletrônica (U). A mídia não regravável se torna uma camada extra de proteção, pois uma vez que todas as fotografias ou vídeos dos votos são assinados digitalmente e a chave privada utilizada no processo de assinatura é preferencialmente destruída no encerramento da votação, não é possível adulterar ou substituir nenhuma das fotografias ou vídeos dos votos. Alternativamente, outras formas de mídias poderão serem utilizadas para gravar os registros fotográficos ou em vídeos dos votos.

[0025] O cabo de energia (14) é utilizado para a alimentação do dispositivo (1). Opcionalmente, o dispositivo (1) conta também com uma bateria interna (23) que o mantem funcionando no caso de falta de energia. Alternativamente, o cabo de energia (14) pode ser substituído por uma conexão no sistema de encaixe (7) que forneça energia para o dispositivo (1 ) a partir da urna eletrônica (U), desta forma evita-se a necessidade de um cabo extra.

[0026] O cabo de dados (13) é utilizado para a comunicação de dados entre o dispositivo (1) e a urna eletrônica (U). Ele é preferencialmente fixo no dispositivo (1) e possui um plug no formato USB padrão ou outro formato, na outra ponta para ser conectado à urna eletrônica (U). Alternativamente, o cabo de dados (13) pode ser substituído por uma conexão no sistema de encaixe (8) que possa ser utilizada para a comunicação de dados entre o dispositivo (1 ) e a urna eletrônica (U). Dessa forma, evita-se a necessidade de um cabo extra e ainda minimiza-se o risco de algum eleitor tentar remover a conexão entre o dispositivo (1 ) e a urna eletrônica (U).

[0027] O menu de operações (16) é utilizado para operações do dispositivo (1 ) como inicializar e encerrar o processo de votação, inicializar uma contagem manual dos votos, gravar os registros fotográficos ou me vídeo dos votos em uma mídia não regravável e outras operações de configurações.

[0028] A saída HDMI (17), pode ser utilizada para auxiliar em uma eventual auditoria ou apuração pública dos resultados. Por meio dela, os registros fotográficos ou em vídeos dos votos podem serem projetados em um monitor maior, uma TV ou telão para facilitar o acompanhamento da auditoria ou apuração pública do resultado por um grupo maior de interessados.

[0029] A porta USB (18) para o teclado externo (8) é uma interface para possibilitar a conexão do teclado externo (8) ao dispositivo (1 ). Ela é preferencialmente habilitada após o encerramento da votação e utilizada para auxiliar em uma contagem manual dos votos. No entanto, outras funcionalidades e uso da porta USB (18) podem serem implementadas a critério das autoridades administradoras do processo de votação. [0030] A saída SD (19) é utilizada para inserção de um cartão SD, onde serão gravados os registros fotográficos ou em vídeo dos votos, assinados digitalmente e de forma embaralhada. Este cartão é preferencialmente usado como um backup da memória de dados interna (22) do dispositivo (1 ) e pode ser mantido pela a autoridade administradora do processo de votação, após o pleito. Opcionalmente, podem ser utilizados outros tipos de portas de saída, como uma porta USB e outros tipos de memórias, como um penei ri ve.

[0031] A central de processamento com o sistema embarcado (21 ) é preferencialmente protegida por uma caixa protetora inviolável (20), selada e lacrada “tamper- resistant”/”tamper-evident” durante o processo de fabricação do dispositivo (1 ), para impossibilitar quaisquer alterações no sistema embarcado após a sua fabricação. A caixa protetora (20) é desenvolvida de forma que qualquer tentativa de violação inutilizará os seus componentes internos e deixará evidências que poderão serem facilmente identificadas em uma perícia feita por especialistas. Adicionalmente, poderá ser implementado um sistema de identificação que gerará um identificador único para cada caixa protetora (20), utilizando-se por exemplo a técnica “Unique Objects (UNOs)” no campo de “Security Based on Physical Unclonability and Disorder”, que consiste em capturar uma imagem microscópica em alta resolução da desordem natural da fibra do material de uma pequena parte do objeto, considerada uma “digital do objeto”, a qual, mesmo sendo conhecida, é praticamente impossível de se copiar em um processo de fabricação. A substituição da caixa protetora (20) contendo a central de processamento com o sistema embarcado (21 ) poderá ser facilmente detectado por especialistas, consultando o sistema de identificação. Opcionalmente, pode se optar por outras técnicas de “tamper-proofing” e de identificação.

Funcionamento do sistema embarcado

[0032] O funcionamento do sistema embarcado no dispositivo (1 ), como representado no diagrama de estado do software embarcado (Figura 10) e descrito em mais detalhes a seguir, trata-se de uma opção de funcionamento, que pode ser alterada para atender às necessidades específicas de cada processo de votação. No entanto, o software embarcado no dispositivo (1 ) deve funcionar preferencialmente de maneira integrada, porém, independente do software da urna eletrônica (U) e, preferencialmente, permitir ao eleitor confirmar ou indicar a necessidade de correção do registro fotográfico ou em vídeo do seu voto ou votos. Desta maneira, mesmo que haja uma adulteração ou erro não detectáveis no software da urna eletrônica (U), essa adulteração ou erro não impactará no registro fotográfico ou em vídeo do voto ou votos confirmados pelo eleitor no dispositivo (1 ), o qual poderá ser usado como comprovante legítimo e fidedigno dos votos em uma auditoria ou eventual recontagem dos votos.

[0033] A conexão de dados (13) permite a troca de comandos e mensagens entre a urna eletrônica (U) e o dispositivo (1 ), permitindo que funcionem de forma integrada, mas independentes. Sugere-se que sejam aceitos como válidos somente os seguintes comandos e mensagens, explicados em mais detalhes nos parágrafos subsequentes:

• Comando 01 : Iniciar votação de um novo eleitor. Enviado da urna eletrônica (U) para o dispositivo (1 ).

• Comando 02: Capturar fotografia. Enviado da urna eletrônica (U) para o dispositivo (1 )

• Comando 03: Encerrar votação do eleitor corrente. Enviado da urna eletrônica (U) para o dispositivo (1 )

• Mensagem CONFIRMADO. Enviado do dispositivo (1 ) para a urna eletrônica (U)

• Mensagem CORRIGIR. Enviado do dispositivo (1 ) para a urna eletrônica (U)

[0034] A abertura de um novo processo de votação é feita através do menu de operações (16), de forma independente da urna eletrônica (U), pela autoridade responsável pela seção de votação, preferencialmente na presença de todos os interessados, como fiscais de partidos, órgãos independentes de fiscalização e outros interessados. Ainda, na abertura de um novo processo de votação, o sistema embarcado faz uma checagem automática da memória de dados interna (22), do cartão SD (19) ou outro tipo de memória externa e da mídia não regravável para confirmar que não existe nenhuma fotografia ou vídeo previamente inserido em nenhum deles. Além disso, durante o processo de inicialização, o sistema captura uma fotografia ou vídeo inicial da tela da urna eletrônica (TU) ou da tela auxiliar (TA), juntamente com os identificadores e cartões de dados fixados no entorno da tela, permitindo as autoridades responsáveis confirmar o correto funcionamento do dispositivo (1 ). Sendo confirmado o correto funcionamento do dispositivo (1 ), as tampas de proteções (9, 11 , 15) são fechadas e lacradas para evitar o acesso ao menu de operações (16) e interfaces do dispositivo (1 ) durante o processo de votação. Concluída a abertura do processo de votação, o dispositivo estará pronto para o registro dos votos e o sistema funcionará, preferencialmente, de acordo com o diagrama de estado do software embarcado (Figura 10), descrito em detalhes a seguir. Sendo esta uma forma preferencial de funcionamento.

[0035] Após iniciada a votação, o sistema fica no estado “Aguardando eleitor” até que receba o comando 01 da urna eletrônica (U). Ao receber o comando 01 , o sistema gera um número aleatório, por meio de um algoritmo de geração de números pseudorrandômicos, utilizando-se uma semente aleatória, que pode ser gerada por um dispositivo gerador de sementes aleatórias ou até mesmo calculada através de dados imprevisíveis, como por exemplo o tempo médio em milissegundos que todos os eleitores anteriores levaram para confirmar o registro fotográfico ou em vídeo do voto. O número aleatório gerado será utilizado para embaralhar os registros fotográficos ou em vídeo dos votos nas memórias de dados. Este procedimento torna impossível determinar a sequência em que os registros fotográficos ou em vídeos foram capturados, impossibilitando assim ligar um registro do voto ou votos à um eleitor baseado na sua posição na fila de votação. Após a geração do número aleatório, o sistema passa para o estado “Aguardando comando para registro do voto ou encerramento”.

[0036] No estado “Aguardando comando para registro do voto ou encerramento”, o sistema fica aguardando pelo comando 02 ou 03. Casso receba o comando 03, o sistema finaliza a votação do eleitor corrente e volta para o estado “Aguardando eleitor”. Se receber o comando 02, o sistema captura uma fotografia ou vídeo da tela da urna eletrônica (TU) ou da tela auxiliar (TA), juntamente com os identificadores e cartões de dados fixados no seu entorno e a apresenta para a conferência do eleitor na tela (3) do dispositivo (1). O eleitor pode CONFIRMAR ou selecionar CORRIGIR para refazer o voto na urna eletrônica (U), utilizando-se os botões físicos (24) ou selecionado a opção desejada em uma tela “touch-scrren”. Caso o eleitor selecione a opção CONFIRMAR, o sistema assina digitalmente a fotografia ou vídeo capturado e a salva de maneira embaralhada na memória de dados interna (22) e na memória externa de backup (19). O sistema apresenta uma mensagem na tela para informar o eleitor que o registro fotográfico ou em vídeo do seu voto foi salvo com sucesso, envia uma mensagem de confirmação para a urna eletrônica (U) e volta para o estado “Aguardando comando para registro do voto ou encerramento”. Caso o eleitor selecione a opção CORRIGIR, o sistema descarta a fotografia ou vídeo capturado, apresenta uma mensagem na tela para informar o eleitor que aquela fotografia ou vídeo foi descartado, envia uma mensagem para a urna eletrônica (U) com o pedido de correção do eleitor e volta para o estado “Aguardando comando para registro do voto ou encerramento”.

[0037] Em uma votação onde o eleitor realiza múltiplos votos, como por exemplo em uma eleição municipal no Brasil, em que os eleitores votam para prefeito e para vereador no mesmo pleito eleitoral, a autoridade administradora do processo de votação pode optar pelo registro fotográfico ou em vídeo de cada voto realizado pelo eleitor ou de um resumo contendo todos os votos do eleitor.

[0038] O sistema fica no modo “VOTAÇÃO ABERTA” até todos os eleitores votarem. Após todos os eleitores votarem, a autoridade responsável pela seção de votação faz o encerramento da votação utilizando-se o menu de operações (16). Neste momento, os registros fotográficos ou em vídeos dos votos, já assinados digitalmente e armazenados de forma embaralhada nas memórias interna e de backup, poderão ser gravados em uma mídia não regravável do tipo BD-R, DVD-R ou CD-R, garantindo, assim, uma camada extra de segurança. Alternativamente, os registros dos votos podem serem gravados em um cartão SD do tipo WORM (Write Once Read Many) ou outra mídia imutável.

[0039] No processo de encerramento, sugere-se ainda que a chave privada utilizada na assinatura digital das fotografias ou vídeos dos votos seja destruída, impossibilitando que as fotografias ou vídeos capturados possam serem adulterados, bem como não permitindo a adição de fotografias ou vídeos que não foram capturados no processo de votação e confirmados pelos eleitores.

[0040] Após encerrado o processo de votação, o dispositivo (1 ) possui funções e interfaces para que a autoridade responsável pela seção eleitoral possa ver os números totais de eleitores e fotografias ou vídeos registrados durante o pleito, a fim compará-los com os totais da urna eletrônica (U) ou até mesmo visualizar todas as fotografias ou vídeos, caso deseje fazer uma auditoria ou contagem pública dos votos. A porta HDMI (17) permite a projeção das fotografias ou vídeos em uma tela maior, facilitando a visualização por um grupo maior auditores ou de interessados numa eventual contagem pública dos votos. O teclado externo (8), que deve ser preferencialmente conectado e habilitado somente após o encerramento da votação, permite passar as fotografias ou vídeos armazenados na memória interna (22) ou na memória de backup (19) do dispositivo (1 ), um a um, para que se possa realizar a contagem dos votos manualmente. Também é possível com o auxílio do teclado externo (8), adicionar um sinal de visto nas fotografias ou nos vídeos para indicar aqueles que já foram contados e assim diminuir o risco de erro humano na contagem manual. Este sinal de visto não é salvo no arquivo do registro fotográfico ou em vídeo do voto, mas apenas mantido em memória e somente utilizado como apoio para o processo de contagem manual.

[0041] Alternativamente à contagem manual, também é possível fazer a contagem dos votos de forma automatizada, por meio de um software que utiliza a tecnologia OCR (Optical Character Recognition) para extrair das fotografias ou de frames dos vídeos, os números e nomes dos candidatos. É sugerido que este software seja fornecido como um software de código aberto para que qualquer interessado, que tenha acesso aos registros fotográficos ou em vídeo dos votos, possa fazer a contagem por conta própria, garantido transparência e agilidade ao processo.