  |
Za poslednú hodinu: 115 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Štvrtok, 25. apríla 2024, dnes má meniny Marek |
|
Štát pri eID nehovoril pravdu, rozhodol sa neskoro, zlyhal a zlyháva. Zmena je nevyhnutná
Po zmätkoch, nesprávnych informáciách a zavádzaní, ktorým musela čeliť slovenská verejnosť od štátnych orgánov v kauze eID, zlyhávanie štátu v tejto kauze pokračuje. Štát neposkytuje dôležité informácie, ktoré by odhalili genézu tohto zlyhania. Naopak sa v utorok ukázalo, že v dôležitej informácii o postupe štátu jeho inštitúcie nehovorili pravdu a o riešení sa rozhodol definitívne až na jeseň. Je nevyhnutné, aby niekto zo štátu prebral za túto oblasť zodpovednosť, analyzovali sa príčiny tohto zlyhania a uskutočnili zmeny zabraňujúce podobnému zlyhaniu v budúcnosti. kauza zraniteľných eID
Štát neposkytuje dôležité informácie, ktoré by odhalili genézu tohto zlyhania. Naopak sa v utorok ukázalo, že v dôležitej informácii o postupe štátu jeho inštitúcie nehovorili pravdu. V súlade so spochybňovaním informácií štátu serverom DSL.sk sa totiž ukázalo, že informácia štátu o tom, že zvolené riešenie bolo vybrané v júli, je nepravdivá. Vyplýva to z informácií jedného zo zapojených subjektov, certifikačnej autority Disig vydávajúcej certifikáty na eID a implementujúcej vybrané riešenie čo sa týka vydávania certifikátov. Zároveň podľa týchto informácií sa o definitívnom riešení rozhodlo až na jeseň, hoci štát o probléme vedel už pred prázdninami. ProblémV dobre známej kauze už takmer pred mesiacom slovensko-český tím výskumníkov z Masarykovej univerzity zverejnil informácie o vážnom bezpečnostnom probléme v softvéri na kryptografických čipoch Infineon použitých aj v našich eID, kvôli ktorému sú 2048-bitové RSA kľúče generované týmito čipmi pomerne ľahko a lacno zlomiteľné.Najväčší problém to predstavuje u kľúča a certifikátu pre kvalifikovaný elektronický podpis, ktorý je ekvivalentný vlastnoručnému podpisu a s časovou pečiatkou notársky overenému podpisu. Takéto zlomenie kľúča následne umožňuje totiž falšovať podpisy občana a napríklad uzatvárať v jeho mene rozličné zmluvy. Reálne prevádzkové náklady na zlomenie jedného kľúča sa odhadovali na menej ako tisíc dolárov, so započítaním investičných nákladov na cca 7600 dolárov. Následne ešte pred zverejnením technických detailov na odbornej konferencii ACM iní experti nezávisle útok zlepšili o 5% až 25%. Výskumníci zistili, že knižnica Infineonu pre rýchlejšie generovanie RSA kľúčov generuje potrebné veľké prvočísla v špecifickom tvare. Vďaka tomu je možné oveľa ľahšie rozložiť verejný RSA kľúč na súčin prvočísiel ako by to malo byť možné a tým vypočítať privátny kľúč. Okrem tohto zistenia výskumníci našli aj konkrétny efektívny algoritmus a útok ROCA a reálne ho implementovali. Bezpečnostnému problému a jeho aplikovaní na slovenské eID sa venujeme tejto sérii článkov. Optimálny postupeID, certifikáty a ich bezpečnosť majú na starosti respektívne nad nimi dohliadajú tri hlavné subjekty, Ministerstvo vnútra SR, MV, zabezpečujúce eID, súkromná certifikačná autorita Disig poskytujúca certifikáty na eID na základe zákazky od štátu a Národný bezpečnostný úrad, NBÚ, robiaci dohľad celkovo nad všetkými kvalifikovanými certifikátmi.Ďalšími subjektami sú samozrejme rozliční dodávatelia vrátane predovšetkým dodávateľov samotných eID a spoločnosti Infineon, ktorej problematické čipy sú v eID použité. NBÚ a Disig sa podľa informácií pre DSL.sk o probléme dozvedeli už 20. júna, MV 26. júna. Čo je zvláštne, MV sa o ňom nedozvedelo od NBÚ, ktorý to v čom čase vedel už takmer týždeň, ale podľa stanoviska pre DSL.sk od dodávateľa čistých eID. Aké presne informácie ktoré subjekty kedy mali zatiaľ nie je jasné, keď tieto informácie jednoducho na opakované otázky neposkytujú. Už základná informácia, ktorú NBÚ avizuje že dostal 20. júna, bola v každom prípade vážna, keď NBÚ mal od rakúskeho orgánu dohľadu dostať informáciu o zraniteľnosti asymetrickej krypto knižnice, ktorá slúži aj na generovanie na Slovensku používaných 2048-bitových RSA kľúčoch. Už tieto informácie tak mali znamenať, že zodpovedné subjekty okamžite získajú všetky potrebné informácie pre rozhodovanie o ďalšom postupe. Nie je jasné kto aké informácie komunikoval, nepochybne by ale Infineon oboznámený o probléme plne od skorej jari neodmietol tak veľkému zákazníkovi ako je Slovensko používajúcemu už 2.5 milióna eID s jeho čipom aspoň informácie postačujúce pre kvalifikované rozhodovanie. Podobne by konzultáciu zrejme neodmietli ani samotní výskumníci, pričom zhodou okolností podstatná časť tímu je zo Slovenska. Takéto informácie by tak malo byť možné získať v rádoch dní. Kedy tak zodpovedné subjekty spravili nie je jasné, keď o svojom postupe nekomunikujú. V každom prípade už na základe základných informácií o povahe problému a zložitosti útoku, ktorý mali výskumníci implementovaný v tom čase, musel každý odborník okamžite vedieť, že výmena 2048-bitových kľúčov je nutná. Potrebné tak bolo zistiť do úvahy prichádzajúce riešenia, zvážiť aké kroky budú potrebné pri jednotlivých riešeniach a aké dopady budú mať, následne z nich vybrať vhodné riešenie, naplánovať ho, implementovať a nasadiť ho. Do úvahy prichádza niekoľko riešení. RSA kľúče všetkých dĺžok generovaných na eID sú podľa dostupných informácií generované rovnakým zraniteľným spôsobom, na iné a primárne väčšie dĺžky ale minimálne ROCA útok nie je efektívny. Okrem netypických ešte vhodnejších dĺžok je zo štandardných dĺžok jednou z najvhodnejších 3072-bitová dĺžka, 3K. Toto riešenie je ale len dočasné, keďže generované kľúče majú oveľa nižšiu bezpečnosť ako by mali mať kvalitné RSA kľúče a nie je vylúčené, že bude na ne nájdený efektívny praktický útok. Ďalším riešením je prechod na kľúče eliptických kriviek s algoritmom ECDSA, ktoré sú evidentne podľa štátu podporované aj na našich eID a v implementácii ktorých na tomto čipe podľa verejne dostupných informácií nie sú známe verejné problémy. Nevýhodou ECDSA je väčšia náročnosť prechodu na takéto certifikáty. V prípade 3K RSA totiž veľmi pravdepodobne mnohé softvérové riešenia prichádzajúce do styku s eID a vytváranými podpismi priamo s týmito certifikátmi a kľúčmi fungujú bez zmeny alebo s minimálnymi zmenami a potrebné je len zrealizovať výmenu certifikátov. U ECDSA vysoko pravdepodobne softvérové riešenia používané štátou správou pre overovanie podpisov z eID nemusia používať knižnice podporujúce ECDSA a potrebný bude pravdepodobne zásah vo viacerých systémoch, podobne v softvérovom vybavení pre občanov ale upgradnuteľnom pomerne ľahko. Časová náročnosť prechodu na 3K RSA sa dá odhadnúť rádovo na niekoľko týždňov, v prípade ECDSA zrejme ide o mesiace. Koľko mesiacov je potrebných na prechod na ECDSA na Slovensku nie je jasné, keď takúto informáciu subjekty tiež zatiaľ neposkytli. Estónsko to zvládlo za dva mesiace odkedy sa o probléme dozvedelo, Disig ale upozorňuje, že ECDSA malo v systémoch už podporované. ECDSA sa totiž v Estónsku už doteraz používalo na mobilnom ekvivalente eID na SIM v smartfónoch. V každom prípade do úvahy tak prichádzali na základe známych informácií o stave dve základné finálne riešenia, buď priamy prechod na ECDSA alebo rýchly prechod na síce rizikové ale zatiaľ len teoreticky 3K RSA aby sa eliminovalo akútne riziko útoku na 2K kľúče a následný prechod na ECDSA. Druhé riešenie má samozrejme nevýhody, keď bude potrebné zrealizovať výmenu certifikátov dvakrát a budú používané kľúče, ktoré z kryptografického hľadiska tiež nie sú plne bezpečné. Medzi týmito riešeniami bolo potrebné vybrať na základe v zásade najmä toho, aká doba je potrebná na prechod na ECDSA s cieľom aby sa dali eID podľa možnosti bez dlhšieho prerušenia využívať na elektronický podpis. Od dozvedenia sa informácií o probléme malo Slovensko štyri mesiace do známeho termínu zverejnenia problému. Pre niektoré možné odhadované dĺžky prechodu na ECDSA je pomerne jasné ktoré riešenie je výhodnejšie, pre niektoré dĺžky môže byť rozhodovanie náročnejšie a napríklad pre hraničné dĺžky bolo možné zvažovať či radšej niektoré služby nestíhajúce sa pripraviť nebudú dočasne pomocou eID nevyužiteľné. Zvažovať zrejme tak malo zmysel aj celkové riešenie, pri ktorom by boli sprístupnené pred zneplatnením 2K RSA certifikátov 3K RSA aj ECDSA certifikáty a občania by si mohli vybrať ECDSA a vyhnúť sa tak budúcemu ďalšiemu prechodu na ECDSA ak by im nechýbali služby zatiaľ nefungujúce s ECDSA. V každom prípade ak sa vyberie dvojkrokové riešenie s prechodom najskôr na 3K RSA a potom na ECDSA, aké vybralo Slovensko, prechod na 3K RSA mal byť optimálne zrealizovaný následne po rozhodnutí bez časového tlaku dávno pred zverejnením informácií o probléme, s dostupným riešením získania nových certifikátov na diaľku namiesto nezvládnutého preťaženia pracovísk. Pri včasnom rozhodnutí o zvolenom riešení uskutočniť prechod na 3K RSA po štyroch mesiacoch v časovom strese pod tlakom úplne verejných informácií o zraniteľnosti nemá žiadne výhody oproti optimálnemu riešeniu a nedáva žiadny racionálny zmysel. Do úvahy prichádzajú aj niektoré ďalšie technické riešenia, ktoré sa ale javia podľa súčasných informácií ako jasne nevýhodnejšie a nepraktické, ako napríklad nákladná fyzická výmena eID za kusy generujúce RSA bezpečne a bez potreby prechodu na ECDSA. Technicky možné riešenie s generovaním bezpečných RSA kľúčov mimo eID zase zrejme nevyhovuje požiadavkám na prísnu bezpečnosť, keď u súčasných riešení privátne kľúče neopúšťajú kryptografický čip na eID. Verme, že štát a jeho dodávatelia preverili ďalšie iné možnosti, a na eID jednoducho nebolo možné upgradovať firmvér s cieľom umožniť generovanie plne bezpečných RSA kľúčov priamo na eID a bez potreby väčších zmien v ďalšej infraštruktúre. Ak je tomu tak, vzniká ale otázka či sú používané eID ideálne a prečo Slovensko nemá eID u ktorých sa dá samozrejme bezpečne upgradovať firmvér a tým riešiť podobné bezpečnostné incidenty. Reálny postupMnoho informácií už doteraz jasne svedčilo o tom, že na Slovensku evidentne neprišlo k optimálnemu postupu. Hoci nakoniec zvolené riešenie od optimálneho v závislosti na informáciách, ktoré nie sú k dispozícii, nemusí byť ďaleko.O neoptimálnom riešení jasne svedčí aj vybrané riešenie respektíve jeho načasovanie. Ak by takéto dvojkrokové riešenie bolo nutné vzhľadom na potrebnú dĺžku prechodu na ECDSA, nedáva zmysel 3K RSA nasadiť až o štyri mesiace a takým spôsobom ako to štát realizoval. Či nutné bolo sa zatiaľ nedá zvonku posúdiť. Disig tvrdí, že áno. "Prechod zo zraniteľných 2048 bitových kľúčov na 3072 bitové kľúče bolo jediné legislatívne a technicky možné riešenie, ktoré umožnilo kontinuálne pokračovať vo využívaní eID aj na účely vyhotovovania kvalifikovaného elektronického podpisu," uviedla spoločnosť pre DSL.sk. Zatiaľ ale konkrétne po opakovaných otázkach neuviedla aký dlhý čas je teda potrebný na prechod na ECDSA. Je možné, že stav a vývoj boli spôsobené zlým vyhodnotením situácie zapojenými subjektami. Tým sa samozrejme nemyslí úplne zlé a neprimerané hodnotenie vo výstupoch pre médiá a verejnosť, ktoré predvádzalo najmä ministerstvo vnútra, ale pri reálnom vyhodnocovaní a riešení situácie. To potvrdzujú aj náhle zmeny postojov a v postupe uskutočnené v októbri. Z technického hľadiska sa medzi júnom respektíve júlom a októbrom prakticky ale nič nezmenilo. Už v júni respektíve viacero mesiacov predtým bolo na základe zistení výskumníkov potrebné považovať 2K kľúče za kryptograficky absolútne prelomené, prakticky reálne prelomené, bolo známe kedy sa zverejnia informácie a v júli bola upravená aj formálna certifikácia čipov, ktorá síce na bezpečnosti reálne nič nemení. Do októbra prišlo len k jednej zmene, výskumníci znížili potrebný výpočtový výkon útoku na 2K kľúče ešte na konci augusta menej ako 5-krát. Kým v októbri sú prevádzkové náklady na elektriku pri disponovaní potrebným hardvérom pod tisíckou, v polovici roka to bolo do päť tisícok. Čo je samozrejme potrebné považovať tiež za reálne prelomenie. S akými informáciami zapojené subjekty a kedy pracovali a ako mohli byť prípadne zavedené neprimeranými informáciami nie je jasné, keď opäť žiadny zo subjektov neposkytol tieto informácie. V každom prípade subjekty mali možnosť získať relevantné informácie od výskumníkov, do času verejného zverejnenia informácií ministerstvo vnútra ale výskumníkov podľa ich informácií pre DSL.sk nekontaktovalo. Problematický bol ale evidentne aj prístup k riešeniu. Veľmi zarážajúce je, že ako sa ukázalo 31. októbra, NBÚ ešte 18. októbra nevedel, že vybrané riešenie v podobe 3K RSA kľúčov generuje kľúče rovnakým nie plne bezpečným spôsobom ako doterajšie 2K kľúče. Dokonca NBÚ ako fakt informoval vo svojom stanovisku 18. októbra verejnosť, že 3K kľúče nie sú generované takýmto spôsobom. 31. októbra po otestovaní prvých 3K kľúčov sa ukázalo a následne to Disig potvrdil, že to tak nie je. "Na generovanie 3K RSA sa používa iná knižnica než spomínaná zrýchlená chybná "asymetrická krypto knižnica" použitá pre 2K a 4 K RSA," uvádzal NBÚ v stanovisku ešte 18. októbra. V stanovisku pre DSL.sk 20. októbra NBÚ avizoval, že túto informáciu posunul ministerstvu vnútra v júli. "Národný bezpečnostný úrad v júli 2017 informoval listom Ministerstvo vnútra Slovenskej republiky, že na generovanie 3K RSA sa používa iná knižnica ako v prípade 2K RSA a 4K RSA a jej používanie je bezpečné," uviedol NBÚ. Ako je to možné, že NBÚ mal ešte 18. októbra úplne opačnú a nesprávnu dôležitú informáciu o vybranom riešení 3K kľúčov, NBÚ na viackrát opakované otázky nevysvetlil. Zarážajúce to bolo taktiež špeciálne preto, že NBÚ tvrdil, že o zvolenom riešení sa rozhodlo už mesiace predtým v júli. V stanovisku pre DSL.sk 20. októbra NBÚ uviedol "O nasadení 3K RSA a ECDSA bolo rozhodnuté v júli 2017." v odpovedi na otázku kedy sa rozhodlo o nasadení 3K RSA a ECDSA, oznámeného riešenia v predchádzajúcom stanovisku NBÚ. Táto informácia ako vyplýva z informácií Disig jednoducho nie je ale pravdivá. "Určite však definitívne riešenie nebolo prijaté v lete, pretože sa ešte na jeseň pracovalo na vyhodnotení postupov a dopadov všetkých alternatív," uviedol pre DSL.sk v utorok večer Ivan Kühn, obchodný riaditeľ Disig. Vysvetlenie NBÚ zisťujeme. Technické diskusie podľa Disigu smerovali a viedli k zavedeniu 3K kľúčov skôr ako pred definitívnym rozhodnutím, preberali sa ale aj ďalšie možné alternatívy. Technické pracovné zasadania organizované ministerstvom vnútra sa začali respektíve Disig sa ich podľa svojho stanoviska zúčastňoval od augusta. Podľa Disigu práce na úpravách systému prebiehali paralelne s technickými stretnutiami a nezačali teda až s definitívnym rozhodnutím. Aký systém má na mysli a či sa to týka 3K RSA alebo aj prác na ECDSA a kedy začali reálne práce na náročnejšom ECDSA nie je známe. Nepravdivé informácie, zavádzanie a neodpovedanieZ troch subjektov majúcich do činenia s eID v doterajšej komunikácii nekomunikuje zatiaľ problematicky len certifikačná autorita Disig. Tiež síce zatiaľ neposkytuje niektoré konkrétne detailné informácie, poskytnuté odpovede ale vnášajú viac informácií do celého procesu a zatiaľ sa v nich nenachádza zrejme žiadny rozpor.Úplné nepochopiteľné sú nesprávne a nepravdivé informácie NBÚ, ktoré posúval verejnosti a podľa svojho stanoviska v júli posunul v otázke informácií o povahe generovaných 3K kľúčov aj ministerstvu vnútra. Okrem toho NBÚ na takmer desiatku otázok servera DSL.sk dlhodobo neodpovedá a nevysvetľuje napríklad odkiaľ mal nesprávnu informáciu o 3K kľúčoch. Absolútne nepochopiteľné je ako mohol NBÚ tvrdiť, že o zvolenom riešení sa rozhodlo v júli, keď podľa informácií Disig to nie je pravdivá informácia a ešte na jeseň nebolo o riešení definitívne rozhodnuté. Kapitolou samo o sebe je samozrejme spôsob, ako komunikovalo o probléme ministerstvo vnútra v komunikácii namierenej na občanov a to vrátane oficiálnych tlačových vyhlásení. V nich sa v prvých dňoch objavovali informácie o probléme, ktoré jednoducho nie sú pravdivé, vrátane zásadnej nepravdivej informácie o povahe problému zo 17. októbra "Zastávame názor, že používatelia eID kariet, ktorí si dôsledne chránia svoje prístupové kódy, v súčasnosti ohrození nie sú." Vznikajúcou otázkou, ktorou by sme sa vôbec nemali zaoberať, tak je, či problém nebol pochopený alebo pochopený bol a úmyselne sa o ňom nesprávne informovalo. Zároveň ministerstvo vnútra tiež neodpovedá na mnohé otázky, napríklad stále neodpovedalo na otázky z 23. októbra o tom na základe akých informácií a od koho konalo pri vtedy oznámenom riešení. Prečo je to problémIncident bohužial a zároveň našťastie aj vzhľadom na všetky vyššie uvedené informácie ukázal, že štát absolútne nie je pripravený na podobné incidenty v tak dôležitej záležitosti ako je bezpečnosť eID.To je vážny problém aj keď výsledné nasadzované riešenie v závislosti na informáciách, ktoré zatiaľ nie sú verejne známe, nemusí byť ďaleko od optimálneho. Riešenie za súčasných informácií sa dá označiť za optimálne maximálne, len ak by sa štát o probléme dozvedel 16. októbra. Incident bol pritom priamo modelovým ideálnym prípadom, na ktorom mohol štát demonštrovať schopnosť zvládnuť takéto incidenty. Štát sa dozvedel o probléme štyri mesiace pred zverejnením, termín zverejnenia bol známy, problém bol jasne definovaný a úplne jednoznačný s jasnými možnosťami riešenia, zrejme nebola potrebná výmena eID, objavili ho zodpovední výskumníci, aspoň zatiaľ sa nevie o zneužívaní. Incident by tak mohol byť kandidátom na cvičenie, ako reagovať na prípadné incidenty za optimálnych podmienok. Na druhej strane incident bol samozrejme vážny a mohol byť reálne oveľa vážnejší ako sa vie teraz. Už v auguste 2016 boli totiž zverejnené tímom z Masarykovej univerzity informácie ukazujúce na problémy v generovaných RSA kľúčoch na Infineon čipoch a iní experti mohli následne na základe toho nájsť problém alebo ho zistiť nezávisle aj skôr. Zrejme navyše pomerne dlhú dobu poznali problematický algoritmus generovania prvočísiel viaceré osoby, ktoré s ním prichádzali do styku napríklad pri certifikácii. Ďalšie prípadné incidenty budú môcť byť a pravdepodobne budú ak nastanú vo viacerých aspektoch oveľa horšie, napríklad štát sa môže dozvedieť o incidente zároveň s verejnými informáciami alebo aj oveľa neskôr ako prípadní útočníci, problém nebude mať jednoduché riešenie a napríklad bude potrebná výmena eID a podobne. Zároveň oveľa horšie možu prebiehať takéto incidenty z pohľadu verejnosti a verejnej kontroly. Štát takto reagoval v prípade, kde sa vedelo že tieto informácie budú verejné aj kedy budú verejné. Otázkou je ako by reagoval ak by išlo o neverejne nahlásený problém, ktorý by sa nezverejňoval, alebo by sa prípadne špecificky týkal len Slovenska a nezaoberali sa ním a nerozoberali ho experti. Zároveň v hypotetickom scenári je už aj otázne, ako by vyzeralo riešenie súčasného incidentu, postup štátu a jeho harmonogram keby server DSL.sk na Slovensku nezverejnil jasné vážne informácie o dopade problému na slovenské eID hneď 16. októbra. Zmeny sú nevyhnutnéZo všetkých týchto dôvodov je potrebné detailné analyzovanie postupu jednotlivých zapojených subjektov, aby bolo možné do budúcnosti zabezpečiť zmeny vedúce k efektívnemu riešeniu prípadných podobných incidentov a to predovšetkým za oveľa menej ideálnych podmienok.Tento a aj nedávny incident a pokračujúce problémy s elektronickými schránkami ukazujú, že štát má evidentne problém zabezpečiť vážne a dôležité IT projekty dostatočne kvalifikovane a namieste je otázka či má štát vôbec šancu osadiť viacero subjektov vysoko kvalifikovaným IT personálom. V tejto súvislosti sa zdá vysoko neefektíve, aby systém ako eID technicky zabezpečovalo ministerstvo vnútra, ktoré má primárne úplne iné zameranie ako IT. Ako potenciálne vhodná môže byť tak väčšia centralizácia týchto projektov do menej úradov a možným vhodným subjektom centralizácie týchto vážnych štátnych IT projektov z pohľadu organizácie aspoň v oblasti riadenia, zodpovednosti alebo aspoň koordinácie je samozrejme úrad vicepremiéra Petra Pellegriniho pre informatizáciu prípadne agentúra NASES prípadne nejaká integrácia týchto subjektov. Úrad vicepremiéra sa do oboch týchto incidentov zapojil len veľmi okrajovo s tým, že nad subjektami realizujúcimi tieto projekty nemá žiadnu kompetenciu. O incidente s bezpečnosťou eID sa vicepremiér dozvedel až z médií, teda zrejme 16. októbra. Ak má mať takýto úrad opodstatnenie, systém musí byť nastavený tak, že ak nemá úrad pre informatizáciu takéto centrálne projekty zastrešovať, toto sú práve prípady ktoré má aspoň riešiť respektíve špeciálne v prípade zapojenia viacerých subjektov štátnej správy koordinovať a dohliadať na ich kvalitné riešenie. 
Najnovšie články: Diskusia:
Pridať komentár | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
