江西南昌网站建设哪家公司好php 7.0 wordpress

江西南昌网站建设哪家公司好,php 7.0 wordpress,网络营销的发展前景与趋势,字幕如何做模板下载网站引言#xff1a;内核完整性的迫切需求在现代计算环境中#xff0c;操作系统的内核无疑是整个软件栈的基石。它掌控着硬件资源、进程调度、内存管理以及文件系统等核心功能。一旦内核的完整性受到威胁#xff0c;例如被恶意代码篡改#xff0c;那么整个系统的安全性将土崩瓦…引言内核完整性的迫切需求在现代计算环境中操作系统的内核无疑是整个软件栈的基石。它掌控着硬件资源、进程调度、内存管理以及文件系统等核心功能。一旦内核的完整性受到威胁例如被恶意代码篡改那么整个系统的安全性将土崩瓦解。攻击者可以通过植入“rootkit”或“bootkit”来获得持久的、隐蔽的最高权限绕过所有的上层安全机制窃取敏感数据甚至将系统变成僵尸网络的一部分。传统的安全措施如杀毒软件、防火墙和入侵检测系统主要在操作系统加载并运行后发挥作用。然而如果恶意代码在内核加载之前或者作为内核本身的一部分被注入这些运行时安全措施将无能为力。它们无法检测到自身所依赖的基础已经被破坏。这种“先发制人”的攻击正是对系统安全最深层次的威胁。为了应对这种威胁我们需要一种更基础、更底层的机制能够从系统启动的最早期阶段就介入确保在操作系统内核加载并获得控制权之前其自身的完整性是可信的。这就引出了“硬件根信任源”的概念。硬件根信任源安全之基石硬件根信任源Hardware Root of Trust, HRoT是构建安全系统的基石。它是一个不可变的、物理上受保护的计算模块在系统启动时首先被执行并作为所有后续安全验证的起点。这个模块的代码和数据是固定的无法被软件篡改从而提供了一个“信任锚点”。HRoT 的核心理念是“信任链”Chain of Trust。系统启动时HRoT 首先验证下一阶段加载的组件例如UEFI 固件的一部分的完整性和真实性。如果验证通过被验证的组件本身就成为新的信任锚点负责验证其后续加载的组件例如UEFI 固件的其余部分或启动加载器。这个过程层层递进直到操作系统内核被加载。任何一个环节的验证失败都会中断启动流程从而阻止恶意代码的执行。这种信任链之所以强大是因为它将系统的安全性建立在一个物理上受保护的、不可篡改的组件之上。即使攻击者能够完全控制硬盘上的所有软件他们也无法修改 HRoT 或其直接验证的组件因为这些组件的验证逻辑和密钥都存储在安全的硬件中。在 PC 和服务器领域UEFI 固件与 TPM可信平台模块是构建硬件根信任源并实现信任链的两个关键技术。它们各自从不同的角度共同确保了从硬件到内核的完整性。Secure Boot (安全启动)验证启动路径的完整性Secure Boot 是什么Secure Boot安全启动是统一可扩展固件接口UEFI规范中的一项功能旨在防止恶意软件在操作系统加载之前篡改启动过程。它的核心思想是只有经过数字签名的、受信任的启动组件包括固件驱动程序、启动加载器和操作系统内核才允许执行。任何未签名或签名无效的组件都将被拒绝执行从而有效阻止启动时期的攻击。UEFI 固件与 Secure Boot传统的 BIOS 启动模式相对简单缺乏对启动组件的验证能力。而 UEFIUnified Extensible Firmware Interface作为 BIOS 的继任者提供了更强大的功能和更灵活的接口。Secure Boot 正是基于 UEFI 固件的一项关键安全特性。当 Secure Boot 启用时UEFI 固件在执行任何可执行文件如 UEFI 驱动、启动加载器之前会检查其数字签名。如果签名有效且与固件中存储的信任证书匹配则允许执行否则执行将被阻止。信任锚点PK, KEK, DB, DBXSecure Boot 的信任机制依赖于存储在 UEFI 固件中的一系列加密密钥数据库。这些数据库定义了哪些软件是可信的哪些是不可信的。平台密钥 (Platform Key, PK)这是 Secure Boot 信任链的根。它通常由 OEM原始设备制造商或系统所有者生成并写入固件。PK 用于签署 KEK 数据库。只有 PK 的所有者才能更新 KEK 数据库。密钥交换密钥数据库 (Key Exchange Key database, KEK)KEK 包含了一组公钥这些公钥用于签署 DB 和 DBX 数据库。通常由操作系统供应商如 Microsoft、Red Hat和硬件制造商持有。例如Microsoft Windows KEK 允许 Microsoft 签署的启动加载器被信任。允许数据库 (Allowed DB, DB)DB 包含了一系列公钥和证书或二进制文件的 SHA256 哈希值这些公钥和证书用于签署允许执行的 UEFI 驱动程序、启动加载器和操作系统内核。例如Microsoft Windows Boot Manager 的证书、Linux 发行版使用的 MOKMachine Owner Key证书等。禁止数据库 (Forbidden DB, DBX)DBX 包含了一系列公钥、证书或二进制文件的哈希值这些被明确禁止执行。这主要用于吊销已知存在安全漏洞的启动组件防止它们被恶意利用。这些密钥和数据库都存储在 UEFI 固件的“认证变量”Authenticated Variables中。这些变量受到保护只能通过特定的认证机制例如使用 PK 或 KEK 对应的私钥进行签名进行修改。下表总结了 Secure Boot 的密钥数据库数据库名称作用签署者/管理者内容示例PK (Platform Key)根密钥用于签署 KEK。控制 Secure Boot 的整体状态。OEM 或系统所有者一个公钥证书KEK (Key Exchange Key)用于签署 DB 和 DBX。定义了谁可以更新允许/禁止列表。操作系统供应商如 Microsoft、硬件制造商多个公钥证书如 Microsoft KEK CA 2011DB (Allowed DB)允许启动的二进制文件的证书或哈希列表。操作系统供应商、硬件制造商、系统所有者通过 MOKLinux 发行版签名证书、Windows Boot Manager 证书、自定义内核模块证书的哈希等DBX (Forbidden DB)禁止启动的二进制文件的证书或哈希列表。用于吊销已知恶意或有漏洞的组件。操作系统供应商、硬件制造商已知恶意启动组件的证书或哈希、有漏洞的驱动程序签名等签名与验证机制Secure Boot 的验证流程通常涉及以下步骤组件签名操作系统供应商或开发者使用其私钥对启动加载器、内核或其他 UEFI 驱动程序进行数字签名。这个签名通常包含在 PE/COFFPortable Executable / Common Object File Format二进制文件的特定部分。固件验证当 UEFI 固件尝试加载一个组件时它会提取该组件的数字签名。证书链验证固件使用其内置的信任链从 DB 中的证书开始来验证签名。这通常涉及到验证组件的签名证书是否由 DB 中的某个证书签署或者该证书是否直接存在于 DB 中。如果需要它会沿着证书链向上追溯直到达到一个信任锚点如 KEK 签署的证书。哈希比对在验证证书有效性之后固件会计算被加载组件的哈希值并与签名中包含的哈希值进行比对。如果哈希值不匹配说明文件内容在签名后被篡改。DBX 检查最后固件还会检查组件的签名证书或哈希值是否在 DBX 中被列为禁止。执行决策如果所有验证都通过签名有效证书可信不在 DBX 中则允许组件执行。否则启动过程将被停止并显示错误信息。Secure Boot 启动流程详解当 Secure Boot 启用时典型的启动流程如下上电自检 (POST)系统启动执行基本的硬件初始化。UEFI 固件初始化UEFI 固件加载并进入 DXEDriver eXecution Environment阶段。Secure Boot 策略加载UEFI 固件从 NVRAM 中加载 PK, KEK, DB, DBX 等安全变量。固件驱动程序验证UEFI 固件加载任何必要的固件驱动程序如文件系统驱动、网络驱动等。在加载每个驱动之前都会使用 DB 和 DBX 进行签名验证。启动加载器验证固件找到 EFI 系统分区ESP上的启动加载器例如shim.efi或grubx64.efi。在执行启动加载器之前固件会验证其数字签名。如果shim.efi被使用它通常由 Microsoft 签名并被 DB 信任。shim.efi的作用是加载并验证grubx64.efi而grubx64.efi可能由 Linux 发行版自己的证书签名或由 MOK 列表中的密钥签名。如果验证失败启动停止。启动加载器执行如果验证通过启动加载器如 GRUB开始执行。内核验证启动加载器读取内核镜像通常是vmlinuz和initramfs。在将控制权交给内核之前启动加载器会验证内核镜像的数字签名如果内核被签名。对于 Linux 系统这通常需要内核被打包为 UEFI PE/COFF 可执行文件并由 DB 或 MOK 列表中的密钥签名。如果验证失败启动停止。内核启动如果内核验证通过启动加载器将控制权交给内核内核开始启动操作系统。代码示例检查 Secure Boot 状态和管理密钥检查 Secure Boot 状态在 Linux 系统上你可以使用bootctl或mokutil命令来检查 Secure Boot 的状态。# 使用 bootctl 检查 Secure Boot 状态 bootctl status # 示例输出 (如果 Secure Boot 启用): # System: # Firmware: UEFI 2.70 (VendorName v2.00) # Secure Boot: enabled # TPM2 Support: yes # ... # 使用 mokutil 检查 Secure Boot 状态 # 需要安装 mokutil 工具通常在 shim-signed 或 grub-efi-amd64-signed 包中 sudo mokutil --sb-state # 示例输出 (如果 Secure Boot 启用): # This system is running in Secure Boot mode.管理 Secure Boot 密钥在某些情况下你可能需要使用自定义的内核或 UEFI 驱动而这些组件没有被默认的 Secure Boot 密钥签名。这时你需要生成自己的密钥并将其注册到 UEFI 固件的 DB 或 MOKMachine Owner Key列表中。sbctl是一个方便的工具用于管理 Secure Boot 密钥和签名文件。首先安装sbctl可能需要从源代码编译或查找你的发行版仓库# 例如在 Arch Linux 上 sudo pacman -S sbctl # 在 Debian/Ubuntu 上可能需要手动安装或从 PPA 获取生成密钥对# 创建一个新的 Secure Boot 密钥目录 mkdir -p ~/secureboot_keys cd ~/secureboot_keys # 生成 PK 密钥对 (PEM 格式) sbctl generate-pk # 生成 KEK 密钥对 sbctl generate-kek # 生成 DB 密钥对 sbctl generate-db # 这将生成 .key (私钥) 和 .crt (公钥证书) 文件例如: # PK.key, PK.crt # KEK.key, KEK.crt # DB.key, DB.crt签署内核或 UEFI 模块假设你有一个未签名的内核vmlinuz-custom或一个 UEFI 模块my_uefi_driver.efi。你可以使用sbctl和你的 DB 密钥对其进行签名。# 假设你的内核位于 /boot/vmlinuz-custom sudo sbctl sign -s /boot/vmlinuz-custom # 或者对一个 UEFI 驱动签名 sudo sbctl sign -s /path/to/my_uefi_driver.efisbctl默认会使用DB.key和DB.crt来签名。它会将签名添加到 PE/COFF 文件的末尾。注册密钥到 UEFI 固件这是最关键的一步需要谨慎操作。通常你需要将你的 DB 公钥.crt文件注册到 UEFI 固件的 DB 中或者将其添加到 MOK 列表中。MOK 列表通常通过shim.efi启动加载器进行管理。注意直接修改 UEFI 变量如 PK, KEK, DB存在风险不当操作可能导致系统无法启动。对于大多数用户而言推荐使用MOKManager通常在shim.efi启动时按特定键进入来添加自定义的 DB 证书到 MOK 列表。# 使用 sbctl 注册你生成的 DB 证书到 UEFI DB (需要管理员权限和小心操作) # 这会将你的 DB.crt 证书添加到 UEFI 的 DB 变量中 sudo sbctl enroll-keys -m DB.crt # 或者如果你想完全替换 OEM 的密钥这通常不推荐除非你非常清楚自己在做什么 # sudo sbctl enroll-keys -p PK.crt -k KEK.crt -d DB.crt -D DBX.crt对于 Linux 用户更常见的做法是使用MOKManager。当你尝试启动一个由 MOK 列表中的密钥签名的内核时如果该密钥尚未注册shim.efi会提示你进入MOKManager界面你可以在那里手动注册.cer文件。Secure Boot 的局限性尽管 Secure Boot 提供了强大的启动完整性保护但它并非万能只能验证签名的二进制文件Secure Boot 关注的是在启动时执行的二进制文件的签名。它无法检测到在运行时内核内存中发生的篡改也无法检测到固件加载后但内核启动前的配置参数被篡改。信任链的根是 OEM默认情况下信任的根是 OEM 预装的 PK以及由 Microsoft 等大型厂商签名的 KEK 和 DB。这对于希望完全控制其系统信任链的用户来说可能不够灵活。虽然用户可以替换这些密钥但这需要专业的知识和谨慎的操作。对自定义内核的挑战对于需要编译和运行自定义内核或加载未签名模块的用户例如某些驱动程序Secure Boot 会带来不便。他们必须自己对这些组件进行签名并注册相应的密钥。无法检测运行时状态Secure Boot 只能确保启动加载器和内核在被加载时的静态完整性。它无法度量和记录系统启动过程中各种配置参数、内存加载顺序等动态状态也无法在操作系统运行后提供持续的完整性验证。这些局限性正是 TPM可信平台模块发挥作用的地方。TPM (可信平台模块)度量系统状态的硬件安全芯片TPM 是什么TPMTrusted Platform Module可信平台模块是一个专门设计的微控制器用于提供基于硬件的安全功能。它通常以单独的芯片形式集成在主板上或者作为 CPU 的一个功能模块如 Intel PTT 或 AMD fTPM。TPM 的核心特性包括生成、存储和管理加密密钥以及安全地报告系统启动时的配置状态。TPM 的关键之处在于其防篡改设计。它具有独立的处理器、加密引擎、内存和非易失性存储NVRAM能够抵御各种物理和软件攻击确保其内部密钥和度量数据的安全性。TPM 的发展1.2 到 2.0TPM 规范经历了多个版本迭代。其中TPM 1.2 和 TPM 2.0 是最主要的两个版本。TPM 1.2较早的版本主要关注加密密钥管理、平台认证和密封Sealing功能。它支持 RSA-2048 等加密算法但功能相对固定对算法的扩展性有限。TPM 2.0当前主流版本是 TPM 规范的重大升级。它提供了更大的灵活性和更强大的功能算法灵活性支持多种加密算法包括 RSA、ECC、AES、SHA-256、SHA-384 等并且可以根据需要添加新的算法。分层密钥管理引入了更复杂的密钥层次结构更好地管理不同用途的密钥。授权策略支持更精细的授权策略例如基于 PCRs 的授权。更强大的认证功能增强了远程认证的能力。多用户支持更好地支持多个用户或应用程序安全地使用 TPM 资源。本文将主要围绕 TPM 2.0 进行讨论因为它代表了当前和未来的主流趋势。TPM 2.0 核心概念PCRs (Platform Configuration Registers平台配置寄存器)PCRs 是 TPM 内部的一组特殊寄存器用于存储对系统启动过程各个阶段的加密哈希值通常是 SHA-256 或 SHA-384。它们是只进extend-only寄存器这意味着你不能直接写入一个 PCR 的值只能通过“扩展”Extend操作来更新它。每次执行“扩展”操作时TPM 会将当前 PCR 的值与新输入的度量值进行连接然后计算一个新的哈希值并将结果存储回 PCR。即PCR_new HASH(PCR_old || new_measurement)。这个机制确保了 PCR 中记录的哈希值代表了从启动开始到当前时刻所有度量值的累积哈希形成了一个不可伪造的启动历史记录。TPM 2.0 通常有 24 个 PCRs编号从 0 到 23。不同的 PCRs 被设计用来度量系统启动过程的不同方面。EK (Endorsement Key背书密钥)EK 是 TPM 内部生成的一对唯一的 RSA 或 ECC 密钥对在 TPM 生产时被烧录并且永远不会离开 TPM。EK 的公钥EKpub是 TPM 的唯一标识符可以用于验证 TPM 的真实性。EK 是 TPM 信任链的根用于派生其他密钥如 SRK。SRK (Storage Root Key存储根密钥)SRK 是 TPM 内部生成的另一个密钥对用于保护存储在 TPM 外部的密钥。所有用户或应用程序生成的密钥在存储到外部介质之前都会使用 SRK 进行加密。当需要使用这些密钥时它们会被加载回 TPM并由 SRK 解密。SRK 本身由 EK 保护。AIK (Attestation Identity Key认证身份密钥)AIK 是由 TPM 动态生成的一对密钥用于执行远程认证。AIK 的作用是保护 TPM 在远程认证时生成的“引用”Quote确保该引用来自一个真实的 TPM并且其内容未被篡改。AIK 不直接暴露 TPM 的 EK从而保护用户的隐私。NVRAM (Non-Volatile Random-Access Memory)TPM 内部的一小块非易失性存储区域可以用于安全地存储用户数据、授权值或配置信息。NVRAM 中的数据可以被保护例如只能在特定 PCR 状态下才能读取或写入。Measured Boot (度量启动)构建信任链的核心Measured Boot度量启动是 TPM 最核心的功能之一它与 Secure Boot 共同构建了从硬件到内核的完整信任链。Measured Boot 的目标是记录系统启动过程中每个关键组件的哈希值并将这些哈希值累积到 TPM 的 PCRs 中。度量启动流程详解当 Measured Boot 启用时系统启动流程会增加以下步骤CRTM (Core Root of Trust for Measurement度量核心信任根)这是系统启动时执行的第一段代码通常是 UEFI 固件的极小部分。CRTM 是硬件根信任源的一部分其代码是固定的无法被篡改。CRTM 的主要职责是初始化 TPM。度量下一阶段的代码通常是 UEFI 固件的其余部分。将度量结果扩展到 PCR0。将控制权移交给被度量的代码。这个过程确保了 PCR0 始终记录了整个启动过程的起点。UEFI 固件度量被 CRTM 信任并执行的 UEFI 固件DXE 阶段会继续度量其加载的每一个组件。例如UEFI 固件会度量所有加载的固件驱动、变量、配置数据等并将这些度量值扩展到不同的 PCRs例如PCR1 用于固件配置、PCR2 用于 UEFI 驱动等。这个过程与 Secure Boot 并行进行Secure Boot 负责验证组件的签名而 Measured Boot 负责记录组件的哈希值。启动加载器度量UEFI 固件在执行启动加载器如shim.efi或grubx64.efi之前会度量其哈希值并扩展到相应的 PCRs例如PCR4 用于启动管理器。内核和initramfs度量启动加载器在加载操作系统内核和initramfs之前会计算它们的哈希值并将这些哈希值扩展到相应的 PCRs例如PCR4 或 PCR8 通常用于内核和initramfs。对于 Linux 系统这通常通过 GRUB2 的linuxefi或initrdefi命令完成这些命令被修改以在加载前将内核和initramfs的哈希值扩展到 PCRs。操作系统启动内核启动后可以继续度量加载的内核模块、文件系统等并将它们扩展到 PCRs通常是 PCR9-15。Linux 内核的 IMA (Integrity Measurement Architecture) 子系统可以与 TPM 协同工作实现运行时完整性度量。通过这个过程从系统上电到操作系统完全启动的每个关键阶段其配置和加载的组件都被加密哈希并累积到了 TPM 的 PCRs 中。由于 PCRs 的只进特性任何对启动组件的篡改都会导致相应的 PCR 值发生变化从而留下不可磨灭的记录。PCR 的扩展机制PCR 的扩展是一个非常简单的加密操作但其安全性基于哈希函数的单向性和碰撞抗性。假设一个 PCRP的当前值为P_current。当一个新的度量值M到来时TPM 会执行以下操作P_new HASH(P_current || M)其中||表示连接操作。新的哈希值P_new会覆盖P_current。这意味着如果你知道一个 PCR 的最终值但不知道中间的任何一个度量值M你将无法倒推出M。同样如果任何一个M被篡改最终的P_new也会不同。代码示例读取 PCR 值在 Linux 系统上你可以使用tpm2-tools工具集来与 TPM 2.0 芯片进行交互。首先确保你的系统已经安装了tpm2-tools# 在 Debian/Ubuntu 上 sudo apt update sudo apt install tpm2-tools # 在 Fedora/CentOS/RHEL 上 sudo dnf install tpm2-tools # 在 Arch Linux 上 sudo pacman -S tpm2-tools读取所有 PCR 的当前值tpm2_pcrread这将输出所有 PCR 的当前值通常以十六进制表示。示例输出可能如下实际输出会因系统配置和启动历史而异pcrs: - pcr: 0 hash-alg: sha256 digest: 0x0000000000000000000000000000000000000000000000000000000000000000 - pcr: 1 hash-alg: sha256 digest: 0x4f4945444e45444e45444e45444e45444e45444e45444e45444e45444e45444e - pcr: 2 hash-alg: sha256 digest: 0x6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e6e - pcr: 3 hash-alg: sha256 digest: 0x0000000000000000000000000000000000000000000000000000000000000000 - pcr: 4 hash-alg: sha256 digest: 0x7b6d1f0e4b2d5a8c9f0d1e2c3b4a5d6e7f8c9d0a1b2c3d4e5f6a7b8c9d0e1f2a # ... 更多 PCRs理解 PCR 值PCR 的值本身是一串哈希值通常难以直接理解。为了理解这些值代表了什么我们需要查看“度量日志”Measurement Log或“事件日志”Event Log。度量日志记录了每个 PCR 是如何被扩展的包括每次扩展操作的度量值和对应的事件描述。在 Linux 系统上度量日志通常由 UEFI 固件和启动加载器存储在 EFI 系统分区ESP上的一个特定文件 (/sys/kernel/security/tpm0/binary_bios_measurements或/sys/kernel/security/tpm/tpm0/binary_bios_measurements等中。你可以使用tpm2_eventlog工具解析这个日志# 读取并解析度量日志 sudo tpm2_eventlog /sys/kernel/security/tpm0/binary_bios_measurements这将输出一个详细的事件列表显示每个 PCR 是如何被扩展的以及每个扩展操作对应的事件类型和数据。通过比对tpm2_pcrread的输出和tpm2_eventlog的解析结果你可以验证系统启动过程的完整性。下表列出了 TPM 2.0 中常用 PCRs 及其典型的度量内容| PCR 编号 | 典型度量内容 JjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxHjKxH