Sind OpenSSL-Zertikate mit Exponent 3 unsicher?

Transkript

1 Sind OpenSSL-Zertikate mit Exponent 3 unsicher? Annie Yousar 2006-October-19 In OpenSSL erzeugt man Zertikate mit RSA-Schlüsseln (zum Beispiel mit 3096 Bit) mit dem Kommando openssl req -x509 -newkey rsa:3096. Dabei wird seit mehreren Versionen für den RSA-Schlüssel 65537=0x10001=F4, die vierte Fermatsche Zahl, als Standard-Exponent benutzt. Man kann aber auch erst den Schlüssel erzeugen openssl genrsa -out newkey.rsa -text 3096 und dann mit openssl req -x509 -key newkey.rsa in ein Zertikat 1 einbinden. Wenn man keine weitere Option angibt, wird bei der Schlüsselerzeugung ebenfalls der Standard-Exponent verwendet. Durch die Angabe der Option -3 kann man auch noch den Exponenten 3 erhalten, andere Exponenten sind aber für die Schlüsselerzeugung nicht vorgesehen. Nach der Sicherheitswarnung 2 werden nun OpenSSL-Zertikate mit RSA-Exponenten 3 und PKCS#1 als unsicher betrachtet. Was dieser von Daniel Bleichenbacher auf der Crypto 2006 vorgestellte Angri darstellt, wird durch diese Sicherheitswarnung nicht richtig beschrieben. Eine bessere Darstellung ist die von Thomas Ptacek (Matasano Team) im Netz 3. Natürlich könnte man für eine Verikation das PKCS#1 Padding vor der Hashwert-Berechnung entfernen. Man muss dann aber seine Länge kontrollieren. Der Angri von Bleichenbacher ist nur deshalb bei OpenSSL und anderen Produkten möglich, weil diese die Prüfung, ob Padding und DigestInfo zusammen auch wirklich alle entschlüsselten RSA-Daten ergeben, nicht implementiert hatten. Ein stark verkürztes Natürlich ist der hier von mir verwendete Name Yousar ein Pseudonym. Ich wollte schon immer im Alphabet etwas weiter hinten stehen. Man fällt so weniger auf. 1 Dies sind hier der Einfachheit halber gleich selbstsignierte Zertikate. Normalerweise würde man nicht das Zertikat, sondern erst nur einen PKCS#10-Request erzeugen. 2 Es heiÿt darin: OpenSSL before 0.9.7, before 0.9.7k, and before 0.9.8c, when using an RSA key with exponent 3, removes PKCS1 padding before generating a hash, which allows remote attackers to forge a PKCS #1 v1.5 signature that is signed by that RSA key and prevents OpenSSL from correctly verifying X.509 and other certicates that use PKCS#

2 Padding mit zusätzlichen Daten nach der DigestInfo wurde ohne diese Kontrolle nicht als Angri erkannt, sondern als gültige Signatur bewertet. Im Quelltext von openssl/crypto/rsa/rsa_sign.c waren das die Zeilen i=rsa_public_decrypt((int)siglen,sigbuf,s,rsa,rsa_pkcs1_padding); const unsigned char *p=s; sig=d2i_x509_sig(null,&p,(long)i); Sie wurden nun durch eine zusätzliche Verikation /* Excess data can be used to create forgeries */ if(p!= s+i) { RSAerr(RSA_F_RSA_VERIFY,RSA_R_BAD_SIGNATURE); goto err; ergänzt. Man prüft nun, ob das Ende s + i der angeblichen Signatur s nach der Transformation von p in die Signatur sig auch tatsächlich erreicht wurde. Nebenbei wird jetzt auch eine Prüfung der (normalerweise mit NULL belegten) Algorithmen-Parameter gemacht, die bisher immer übergangen wurde. An dieser Stelle im DigestInfo hätte man sonst ebenfalls Daten einbringen können, die eine eigentlich ungültige Signatur als korrekte erscheinen lassen. Die von OpenSSL erzeugten Zertikate mit dem RSA-Exponenten 3 sind aber deshalb nicht unsicher, sie wurden bisher nur von OpenSSL falsch geprüft. Dieser Fehler hat bei Zertikaten mit gröÿeren Exponenten auch keine Auswirkungen. Nur beim Exponenten 3 können gefälschte Zertikate und gefälschte Signaturen konstruiert werden, die die bisherige Verikationsroutine von OpenSSL als gültig akzeptiert. Das Problem ist damit behoben. Die vage Unsicherheit bei kleinen Exponenten, die bei der RSA-Verschlüsselung in anderem Zusammenhang seit einigen Jahren schon bekannt ist, sollte uns aber dazu anregen, kleine Exponenten nicht mehr zu verwenden. Der damit verbundene Vorteil einer schnellen Verikation ist sogar im Vergleich mit einem zufälligen 32-Bit Exponenten nicht sehr groÿ. Leider lässt OpenSSL bei der Schlüsselerzeugung in der Form usage: genrsa [args] [numbits] über die Argumente nur 3 oder F4=0x1001 als RSA-Exponenten zu. Wäre es nicht an der Zeit, das zu verändern? Diese Frage stellt sich um so mehr, da in den Version der Typ des öentlichen Exponenten nicht wie vorher unsigned long sondern BIGNUM ist. Es geht erstaunlich einfach. In einer ganz normalen OpenSSL-Distribution muss man in der Datei openssl/apps/gen_rsa.c im Wesentlichen folgende Veränderungen vornehmen: 1. in der Erzeugungsroutine ist if (strcmp(*argv,"-exponent") == 0) BN_hex2bn(&bn,*(++argv)), 2

3 2. entsprechend in der Hilferoutine ist als Erläuterung -exponent x use x (odd hex number) for the E value 3. und in der Ausgaberoutine ist für gröÿere Exponenten BN_print(bio_err,rsa->e); zu ergänzen und zugleich die Option -3 zu streichen. Die vollständige diff-ausgabe ndet man am Ende. Sicher lassen sich noch einige Fehlerfälle besser behandeln. Für den Anfang reicht das jedoch aus. Es gibt damit nun eine neue Option -exponent, mit der man RSA-Schlüssel zum Beispiel für den Exponenten 0x4159="AY" oder auch 0x erzeugen kann. Man beachte dabei, dass der Exponent nicht gerade sein darf, der RSA funktioniert dann nämlich nicht, aber nicht unbedingt eine Primzahl sein muss. Zwar könnte sich daraus eine Verlängerung bei der Schlüsselerzeugung ergeben, man wird das aber normalerweise nicht bemerken. So sind meine eigentlichen Favoriten für die Exponenten 0x416E6E6965="Annie" oder 0x416E6E2059="Ann Y" beides keine Primzahlen. Leider kann ich diese schönen 39-Bit- Exponenten aber nicht in einem Zertikat unter Windows verwenden, da RSA-Schlüssel mit Exponenten, die länger als 32 Bit sind, angeblich 0-Bit-Schlüssel sind. Übrigens ein bekannter Darstellungsfehler, zu dem mir von so genannten Experten mit der Gegenfrage Wer braucht denn eigentlich solche Schlüssel? geantwortet wurde. Ein so erzeugter 1024-Bit-Schlüssel ist -----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQCyfM4hCs9JwwzvAQ+W7gAhNZEVXqQOXuiDgXJc891kkio7VXQ0 IajfNLgxTAr4zGHkcZ75uUXfmuVH6j8nC99Efpj3N2epwRI/iUourXNYY+L9guJp L6fwUbgMpddoRg04FRQn5ExscF6gBiZWxpoGPL8w/8oLq/roB1zIkz/OnwIFQW5u awucgybiht+9psxir36dqswgycb+dzngseh02bb05tn0neafry1zracedcybnwxp WiVJLMzzOsRbcFKCNJnJsSN6edtxN407gdRJdYwMnYeoCat7InPnhH1GzrrlzyLD TXEfymR1Dtx9/g3/GAzCx+BckMlkxGOOjWw9SEanZyBnCY6PZQJBANbsLnYsb3ve 3ObPj2445P/tVRUvgHj7barTK/WHtr8xModWGbjEKnKYSGztHPSPdG8zGHnQsZQV imalz3+k2sucqqdumeonuun5m7roxt0v8t+krksgm5c3jscv23tjecd3rswtre8u oeo/uddqetvlwsdisjwvjry0l1yac6oilmotakbccv1z26nyatjza2j5j5u72yqs cv+qizn5e6+aqlttwejjjohb6slefj/wmhqvqj1b9noyt+rvcuhmacecft9jakbg ZzaXn0Tg7HogvXjP6PnJweNhVYkMo2L9d+xmD8wmMWI01EbnnMKfvt2bG09/kd1b aladqx2zgpy6+lvgofexakbnqkukxj+6dlnycwbjysvswoncjwbhkyy5dvo8giqc JQIa4yP4wpkNj7LX3D8jB26n8u/Fxa9pgzfSijUJnZUq -----END RSA PRIVATE KEY----- Er wird unter OpenSSL auch völlig korrekt angezeigt 4. Den Exponenten "Annie" erhält man aus einem solchen 2048-Bit-Schlüssel durch openssl rsa -outform DER tail -c+142 head -c+5 Die hier verwendete Zahl 142 ergibt sich aus der Header-Länge der Schlüssel-Sequence (4 Byte), der Versionsangabe (3 Byte), der Header-Länge des Moduls (3 Byte), der Modul- Länge selbst (129 Byte) und der Länge des Exponenten-Headers (2 Byte). 4 Das Kommando dafür ist openssl rsa -text -noout. 3

4 Anhang $ diff -U2 -b openssl-0.9.8c/apps/genrsa.c openssl-0.9.8c.neu/apps/genrsa.c --- openssl-0.9.8c/apps/genrsa.c :42: openssl-0.9.8c.neu/apps/genrsa.c ,7 int ret=1; int i,num=defbits; - long l; + unsigned long l; const EVP_CIPHER *enc=null; - unsigned long f4=rsa_f4; char *outfile=null; char *passargout = NULL, *passout = -135,8 outfile= *(++argv); - else if (strcmp(*argv,"-3") == 0) - f4=3; else if (strcmp(*argv,"-f4") == 0 strcmp(*argv,"-f4") == 0) - f4=rsa_f4; + if(!bn_set_word(bn, RSA_F4)) goto err; + + else if (strcmp(*argv,"-exponent") == 0) + if (--argc < 1) goto bad; else ++argv; + if(bn_hex2bn(&bn,*argv)!= strlen(*argv)) + BIO_printf(bio_err,"Wrong hex value\n"); + goto bad; + + if (!BN_is_odd(bn)) + BIO_printf(bio_err,"Error, exponent must be an odd number\n"); + goto bad; + + #ifndef OPENSSL_NO_ENGINE else if (strcmp(*argv,"-engine") == -207,5 BIO_printf(bio_err," -passout arg output file pass phrase source\n"); BIO_printf(bio_err," -f4 use F4 (0x10001) for the E value\n"); - BIO_printf(bio_err," -3 use 3 for the E value\n"); + BIO_printf(bio_err," -exponent x use x (odd hex number) for the E value\n"); #ifndef OPENSSL_NO_ENGINE BIO_printf(bio_err," -engine e use engine e, possibly a hardware -259,5 num); - if(!bn_set_word(bn, f4)!rsa_generate_key_ex(rsa, num, bn, &cb)) + if(!rsa_generate_key_ex(rsa, num, bn, &cb)) goto -275,5 l+=rsa->e->d[i]; 4

5 - BIO_printf(bio_err,"e is %ld (0x%lX)\n",l,l); + BIO_printf(bio_err,"e is "); + if (BN_num_bits(rsa->e) <= BN_BITS2) + BIO_printf(bio_err,"%lu (0x%lX)\n",l,l); + + else + BIO_printf(bio_err,"0x"); + BN_print(bio_err,rsa->e); + BIO_printf(bio_err," (%d Bits)\n",BN_num_bits(rsa->e)); + + { PW_CB_DATA cb_data; -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.1 (MingW32) owglwx2mlflvzwefx0zykcryh1xm31t6xn9/zuy/t7o73dm9mz0fpt3fh9vruf11u7umq2/v3krqz20ffqgajlr8y9bionz8ousiiwommrojeomba4kfytw+4bjmveye EAbwnHur+mPmvV0ivftmpqvqnnvuOb9zzu+c+rXZ173mjY995sUPLPDEdz7+2B9Efqr6uGlRZtvGOe1ayYhDuwX3sx+taKbqtihzVEOx7eficcsJKSlLsSh/fqBwR1cN OpyduV1hZk03qD07U3FtailqU6nT5w7izw9qJnMoU4fTdwzF0Vnm+YHOLPfm7QGrU95S2LWrLjfEXhOXVBXl29cvH4Tx8rXlDWq0qbhoU8egrO40KpbC7aZuDVKWQyzD tqkcklr0jv+68azonldficzuwu1f0xztuw0wczq65jqgcbu1nlplapqta7sl8lrobue43h/i4gbv6w1nel++2jetf2uskhzrytwnjhyoa+vczoigwavronr4e3ag4gdq adtwcdoij8qhqtwsglrtdiadcsd9pmikqwven8ok7tawydwu7oqyyjrcd1ocuaptbofxbadn0iflkdqt6lupkuyjr15zdddlyb+mshyaa/v7w+ezchiq6u3fowb2hxs6 lslgauksl9m62qd8gwer12myfjbltkfk1hrthd9giq2fne1bsxguuafpe9cuajsthg4/2iydofcbcrcurmgpktkipejbvmmgpqwj1dnstnmmrmayxitciicmyxogpg2r DRCht1ogTG+RrGE1lCp1CHU6ik06FAyGWyHAZ2dshzYoi5BthZHafVhPbBOeYTpgmShuLYIWq2hw0kEiFlsI76iOWaU8HM/g9ZbSpMI+4lS6PTYqKOv0PGMXmW85Qnmf unuak2x33yp7+9nwvtowrmybgowe+m6l5cgi1akhhkjgmgskpzvzszp4fabjns0winjm4smwwdui7vdsauh0kos76vighaf1tdoj3fbuoprgbbfkwsw66ehcizzyhbro g1nakdmi3nbro6r2xwefnq0bhhaq7zidhxq6ubgc68zjsvh8etu1dbenxn0gp8khvjedooaoss6uhheiimgtfqf0vbgwhogmspnr9b3pg6bcwcuggfoffaqaoekd0e6e DdF5DzkzXIdDkrDpOkQeOiK+o8LCgEFc5gKYNdgJzfpqpkO7jSWJ5TpD/E04sFIzTYdBJA/yOrWJjcEiwIyoLuispqiNBpq4oRhwtNmZukER+HCcqu3Yep1Ji01AIkJK JpjPwCjQbUo6V1yjAjcMVoLWGoB5/HwIcAvBwpm0GHM5qgh2K2+u7FeeiMfCe/TSBXCOzBcBdMIjVZEdBR6OKVoEnYBLvUihgF0HwEAUVtersI/ACwJHw4OM3CLFuqxO KDi0phjgazz9TX+PAjtC8i4HKwBkZmeyrA5eF0u8DYVTKuFkRYBCKCYgwUxcA0fzJcKfSTgW2Bb+DAF60BB08rZwiACVADRA9CF6e3ZtmxyCWGQFNEpJEbvBQUReQy/a HYUzWIGFihuDTqcT8XATgbVRAIsdtamqaO1zzBmxTCwdcbrOcIySgk1A0EvCi1Ce7pK5d/oZokprJigfi2QiiyH5a+paE8IIDoN/L83OTNxZUsE3oDVx4bR1eAiDliB6 O7oDgTTK0SFAd8tsY9lHcMSJBXULl3jCABuUY6UHIQBYu4FyEa3gU7Nji9UOeExxHKjRADfimKSGVoPnUSIBvJF2PJImiGzFcUEo5HwH8ry4QgE/vdkZccnXEc9kcdoG De1Rtqxxs0VUk3OqOkYPgaPXeqjXSQRCUziamFCBOVFlIKgQOLbcCyiEj/3I3DsiQ4AzR9CA42ZnHlXIMM1NoQoThSdFZC+/vKHlHQ7QcADGInYgGgFXtlfA8grDrJ0T YU5ZVcFFWE8ElFZ4zwKbITh8vDlU1C6IAjgjPAXVWlzy4k3zA8UGw99EosQu4fhTR0dC0uU6BmIE0w/FK6AaxZwvBeMiUXYxXYPCBw2zBUcog0tpkwS2FUexFWaSA6q0 5rGMlqjTx+I9wnDFVrluQfLq01EYtLxlEdVsRQ2zHk0tZKIQuL0wpM7wCA12uKX0wlUaFqhRqgYN6yzsxVAYvBqmhk0BzJwOI8MIBqFPFZoPGHNkHsRQFonqCHGBTsSs gwnr91jzazaygcindl8oaaycooecifybwntg6hrktz8etfzblrvb5asbd5id2bop5jy0gz5yibk6vklzquer32doxmso171urfebm79imz64avp+qoiszu3nbslmwg/q enaqpl9delw4qcyvaqbuijhv8ilgqt7xhgkl8ljerywvwc0ckj4wjsbbxtyegdunl4rhqbhnfgp0vakfv/avci4b4iq8tokty6dibrfceccbqbqsj4u3mssbv7ypuecb G+MItr7v9A1hCiLFMi+P+spPatpxsbaZDUa9A296hqaeEhh6nplBdY71YKLi4d36lQHIh7zuYQxMjY72orPYIruuiDBgAe1RbfEQF1VFPEYBo/jvHHEaUSt4WCoBhQ44 A39MkI4oIfoyWO3ccqtw0HONCimBABDLeZAAz4bgV9WthewQSA3hsyLfnpez+XyxtDZ/L1qpjKWpJgO0YIIRGVJtKJzcsZbt6afg7rKW0M9PIAGe7xfXAqXDra3Qk1Yo YJisPq+DUFRxHxQWVhUJz0sfIlgmXDMVOKODVQiJ3oHiqVIRCI5CVAgLKM2QUTVM9SqnmC9F7HKkO3eiFTLSEZbrtYBF3r5M7KA+P31H9CbXr4BhKOcBtM/qOf48KuwV V0+FwfbOc9k8nrOUPTjcK8zfu7G6boJKsP7mnWFFdDpEJ7IlI2YNapcKlY/DQVpwPGDr4FrEIQkAiEAO1h8EikCxAG54+wq+Ki1SALDNozxbhHUWOA6gXTIDiTm8acmY H5MGeSt8wBVm15DRjbIUChQPcVp3jfuItbEkhHn9PvNpsQXRj6mEYfyPV98CE98SMkAXWvUCbizlln1rrMs1FTAMblm3CBBZQYj8wJHhCTgDfigyhwMc/j7kCl3QcU5F RApwAUfFVDHqIi6gRjgebxdp00taYvsAm+KzaGC/jUAMDwFiBq2DxcHIWaNucmAtkHfCZYVD+4c9Wx16cdhb9hhV3RYZVrR5V5Cq62gC5imGfNKvx/tY7yjWsHHOIY37 jldgbbf3y9iqvc6pmvazfik1bxmibiticfp+wikwcjzueuybjm3onjg1qejhog5oevqchzf+3fdk7rw+kn7scrhlu05lipuock1fwmsi9pkjjmdxbvbmhywoby7zd4hz gm5gvoeuyopsxqu0ywchrdiixk0o5pvldf7gjvg1jnqstpd9q9a1sdi4adtaimjfypzpa0ibwt7qdntio6yojgvt4pzvwvrle93fxvmnbkwtjhljapwxozoz2mwo3sbq NmnxcdEgSrNPLVHfItjTUw2HS7JBtrEyAz9pSbKkoEeqtGFWhR+nnkWPYkI59Fwg+j00YNOQ7h8bwEOw30Ohe48ETmQ9FtwMGy7kBi1y5tXxBuYb0aiDPEQg2VAawiZy 4lGloi6iplgbBZ8EPHgwUfouSIRUg9tLlSY0mp2R+MERAJSIUY8GDsyL1XhwTK0uXoTKYUJtBX6CYrhQgGGQsWkuhjazzboi5jBwx+t6W/IIcLS+izMXXTTzyUQ4NzFL ol6jcycglercfekezhbvmzky922qpe6zdjltbzz1mn0q05b7jiscfdpw1v1/xpccwuv28+q55raqwkqff5xjstgnhjxldtepoykeksreix7uwk3j+ud8kcb1lvt7ruwo ILsTqJQem5E6AaHAXAYYkwa/L9jMMx6YIEWucsST7AOILbJNC8dT6CRcKA83GtfILlBC6qBnYWYgD2o1L1NNh6tUpCOyEG9MHGfEP5BOQAXwOZZ/Pwel+HB7iK4VJ4NO tk4bjpg6kc6truiopckkycracotmpvhy/0t7lqcpxk+6aiycegnc9lygevj3peyzncwy7cg47ry8hhqnchumphodswyadcstsadcocin4skzxxjydzqsjuxslaocyaen MYgnJ6AUgIA9ME7JCREjVl+tgg+tUVZBlCP1IMQnacCASACOpraswB2AVjs0F/b777l5srxMYvMkVzpv0G6iygJPVlnoTiAYxCfn56Oh8Z7I0i3sVOBMvgLrugH9ysTe CLsCN+67jjjtdV1GO5OuoEXYGHdJwNQ0AvsThDzl80jnoHGGnABZzHBpdKyEO94bUjtOaSZ3xy7MKwiTALumBBzWgmrqBKq6eQ4kAhlx+Gkq2CoOq6cs/sougmCR1AhH HaBa3/XSCoaqPzry0BpOYhsEIcRlWzZRe6HUOwAQrNz+0xq0F8Owd0ZSw8GYnNR67C/izYBmZ2QllzEpxlEyI3ulE3Oa33JjtcBEbkAmXZXDVOQmgjt6VAozwAXVUIzi 2qOo0qt+wUEGL/I1o+7NI/ruHYY8vsBRZ1lVxkPTqWGyP9WdzP/SVbFuKp7OLM9lT+eiMs+Jwu5vBrdjsdgS5LrxEBaLjlB6W7QJYiYCikNOFslNTgFHwz+ZeKBxUIC+ YnONo45aaFQICfDFJh5QFHjRh7P7LZFWxNKQLGc+26lS7DmdEd3UW32lYUjBmFAi5Ay6OH9qIPwF+4GZR5MDAzt7ETdVTDePKCOjphjhICcyildZp2mtN0SsQsvMmx7g 9k05gGxdI4/ggVWljUTXn7Tr9BE+WSjAf5mFNHgGX6b4zpl+IBETrgOTofeqWCltj5P5lhEaeTVUTFV1f6yEr00eIE1JZrAOzy1PkruxyeXoG1nJiK6BGxz03jGcEeeD I+4gatQ0DFtTFV7yIOkBSZuTCXzBIcwVGvc0JIYqTYjB+xHyz1Xkekz40mc/qMjEjMuuiYgMYRZAJi1eLJlI+rH0iwUiDHBUwEbxs4YsqSaq79w7jzGIOYYBjmtxRD5B /4FmYSM90uyZuXeAYIU5HSRIzqgbgZDWxa4+0eckHkukrh0L8umoBKFngUW1hvKdXhg/ucJasSRGpuW94lH2oEA2C6fijnxou1hcOdkt5rLZzVx9d6VX2041VuzMRqfT b2d3g8el9wyjdfy4ornc3tlx9xz9zendyssbtd1cpdrzjukprewivtqqdw+ypnvfw2+qz4tp9/ck1nkp1hculthkjloowrfjuojanb1ivd80xx5soj0nbmxq7oylpwwt 1DqH1fq2pWnmXj2WWt3bZelC11ZXF+o5/ewYQLBW3lrqRJfMrcsoN3PxfrHZj+6wTnF19zjtSinK8eFK/TRXbDjBTHm/q+8lF7RLu7N2ulIN5vtszabrsUQuF0sfsBgr KKv8NN7fy6qFvNqrlmAPKeVYP9rY2u73d+y9qrq6uVLaYBv2fmmBak63lIot1rW9De20s81OqbmiOItFVmaN9fhan3Oj39vKSykHJ4Var7UXzzvdTLSejK5l+yvdYE5t bhvn7trozsvxj7nfunhzl8dwthfkz7sbuwypam+xu7uabfmpjbltlv8kuql0oeoc7r226+sxi1wfh2xgj9cdvttdnrxjtepfyzntnu6v9z318n5zw1scr7bd+2z3serr W8rWWTLYTNiHK7u7+cMWNUuuy9Lbi3yn68TaSwfBTd6017bTanJjf6WdSB5cFFa0JN/vOLywdCilmNSMHmr5S3pwZHRsrWhfHB9t7PViRvw0qy7sFI2WeZBt5lbUdvws svdqzq8u+tnerxojfbiyon3dl1ludnbx75fsdcgoxg45b53cxswf2cgt7buf2ka0s71+exr5ec9lmhl6eottfbexraiflvunswhs61lkwv85ybgd+uk6ww+fxjqxymyj Q0uNo9PmtpnYymjBbiu/1GltHxdj8UKVse3NWttJVNdimWhTi1c9vBiKdnmSOFuzegtB42htZ5V2YQ92uek2uxfBhbzBeupx7uLUPtrv7JRWNjq59c1eL60dmUv14u6K llkxw1rsvxkqyzvlf4tbj8n80kuusccw3ohqv8ly9x5tx7843gbnh5ct4vko5r8rniliteq0pamuy4jineomfitt+wg2rmsbiigs2ieum/msewqp/+yxciywdkfcvso9 eok5evezzizqnjllz093apjfe2wlgq/r7hse6/gqzmvlcowkyqmlaylltbbhndxu1raljptivrbhxicoav1iwa3guwn41qckht/sfz+sifelo3ed8puxwyeh9iixesub drikgjzthpzj+amapbe8jy86mupjievypyfoe+zca5nsrb5pdcqn7l4xaboiqxei9frt4ql3khx3ozsticcy8hlbr/gxszsxocnyb5cyke+lqlcxqyps584gk/r74cqb Fnyz8rBycIsgUSXhwwQJV/031mH5CnDUIIn+iFy7GwECOf3E7Azg81VkiA++qwrj/xkSX7ybStyNxyIx/0OCMbg/OxMMBl91RzIpMB4LxxJQCe/Gk3djS77A2ZlnnyXh TDq0SILwc4E8+6yX9YBAcuosx++Nv+sh6ByW84XVXPFgH66H4Tr2rsSAL0HsdyY7WnFVJC0x9Ssclc9XiuV1AOgdgMwyDiI9GdPLaikx619N+cvFdB4BrhvUXza+YQHv hw4o7pnliib08tr4wj15yhgyhvoiwxgyfuokruf0p758muoo700/mjs64gffmd2s70z6def4ufzagzitwh61ejxllscvvecu3aulhil6zkvgxpxb9fe9fng7tiu2dc6b LGkBaIKJXDc/P57qT68Zjr8+SuPrffar6EAC4TCsVMlTJO5tW1W0e1K8NPq9G3pfa92FZ8QLD4cDw5aqzF/b+SG74ydX3JGdcW3UGs8dc4QcNueiFa+wufl7N1eOdL15 a3jzlghq3t6hrh8m/qpovudcbdo9milak4vttpxp4urbthn+yi2r9d6h16aq1mhouvcc2nhe2jkvlid/fl4dtzrbyqrjbgckjwklotqjjhix+duzaa87jqn70qos8sh4 04JvGI0EbxGrwRVsmoD6qr6HXlliLTV1YhzDrKZIQAwPY/EbAxhPZvgVZSbJDZnJRwgKvqKg/9eMyD/29+GpR+wq/ETohPr+pRCxTNvWq0aPKARyqoYvY6GktnWVRryN hvvtgehwxcq1t4lo+iy04mnyts01j0nt7zhzodij4dn5k/boatea72trqojgk0+qvt9iund3vwak9zkzeuovpoxss0uh+mku1kzwwu7gwk9rz+npt4dks/upmyqo4sht Q0Mw3TZO5sE8ISNk+F5/5JIRLjCEwDyg/zmOvwPecI48tYyDOyysiYmMMXhlMN023EcoMhHoGLnft8RYdxrBj5olvgrIA7c1HC7YQq2HHPe6mtL2A/mrfHy+kjvPZw+y RK2ea4qj3LtJ6yuMdmomcwYVFX8NB6bKlXiM2KpiAJNIpWP4kLiH1M8wLasnOKAj31BPDTsHMQvSq86A8cbTloMrdQZJyKf3ADsrGVFsdegpopmqeE0B39//2E+87ode U3A/+9HPvPiBBZ74zscfe+OH777he/X3XX7xhXd8/RNX1h9978UPfexjn/yl+uP/5fzim1/8ufcWP/++jzX/48ff8nI3GvjqE723fvPeB1/7tZ//x9e9q//EVem9//2u b76+9bf6e970xc9f/ofrh//j9wtcb/zuvwrmxz5q2l/5+k9/sj+a+8a3v1l/9m+v/rn9q2/5xefe/at2cuty315zxh6b+fp/epdjrwvth/8c/e67b6efupqltce+kfjl nwmw/uzdn9nf/k+7vxvnf776rsecl/3phz/94s///r8/9vl+ts8/zn/p73d/40vp5l93+4e/ru//1i+hcp/+p488/dwffu5tp9j4qp/89afiw7/s+5cf/vi286/8q59s y3/6173fe8on0l+ott/wrf/94pt+z/mpl3/tz2r3/urxfve7fzfmp/3yz/7v59689h8= =o END PGP MESSAGE