From 5081d5137a506f4b5aeaacaf25b8926b5b4ca291 Mon Sep 17 00:00:00 2001
From: Roger Rutishauser <roger.rutishauser@uzh.ch>
Date: Mon, 21 Oct 2024 12:41:43 +0200
Subject: [PATCH] tls

---
 tls-ssl/README.md       | 188 +++++++++++++++++++++++++++++++++++-----
 tls-ssl/img/ssl_tls.png | Bin 0 -> 19245 bytes
 2 files changed, 166 insertions(+), 22 deletions(-)
 create mode 100755 tls-ssl/img/ssl_tls.png

diff --git a/tls-ssl/README.md b/tls-ssl/README.md
index 9bbc082..debf1d9 100644
--- a/tls-ssl/README.md
+++ b/tls-ssl/README.md
@@ -6,18 +6,144 @@ include_toc: true
 
 Übersicht: https://www.sslmarket.ch/ssl/formate-von-ssl-zertifikaten-und-ihre
 
-## cacerts / java
+## Windows TLS aktivieren
 
-## Neues Zertifikat in cacerts einfügen
+Unter Windows muss TLS 1.0, TLS 1.1 und TLS 1.2 aktiviert werden. Dies kann in den Internet Options vom Internet Explorer gemacht werden:
+
+![](./img/ssl_tls.png)
+
+
+## Zertifikat-Dateien umwandeln, bündeln etc.
+
+### Chained Certificate erstellen
+
+Ein Chained Certificate enthält das Server Zertifikat sowie Intermediate-/Root-Zertifikate.
+
+  - Falls nur das Server-Zertifikat vorhanden ist, muss das Root- und Intermediate-Zertifikat separat aus dem Browser herunter geladen werden. Bei der Export-Möglichkeit sollte Base-64 codiert im X.509 Standard (.cer) gewählt werden. Die 3 Teile müssen dann wie im nächsten Punkt beschrieben in einer Datei zusammengefasst werden.
+  - Falls ein "Bundle" (Root- und Intermediate-Zertifikat) und ein Server-Zertifikat separat geliefert wird, muss dies in eine Datei zusammengefügt werden:
+
+1. Position: Server-Zertifikat\
+2. Position: Intermediate Zertifikat\
+3. Position: Root-Zertifikat.
+
+Abspeichern als <FQDN>.chained.crt.
+
+### PFX erstellen aus Server-Zertifikat und Key
+
+Um das Zertifikat in das gewünschte Format zu bekommen brauch man zuerst die 2 Basis-Dateien:
+
+  - Zertifikat ("pem", "cer", "crt" oder andere Dateiendung)
+  - Der Private Key (oft mit ".key" Dateiendung), welcher mit dem CSR erstellt wird und zu diesem Zertifikat gehört.
+
+Um Intermediate und Root-Zertifikate mit in das PKCS12 aufzunehmen, bedarf es einen einfachen Tricks:
+
+  - Server-Zertifikat in PEM Format (Base64 encoded) abspeichern
+  - Private Key in PEM Format (Base64 encoded) abspeichern
+  - Server-Zertifikat in Editor öffnen
+  - Darunter Intermediate und Root Zertifikate einfügen (in dieser Reihenfolge)
+  - Wir haben nun ein Full Chained Certificate, das wir als .crt abspeichern. 
+
+Nun wir die gebündelte Datei (.crt) und der Privatekey (.key) mit openssl zu einer Datei zusammengefasst zu der .pfx (oder je nach gusto .p12) Datei.
 
 ```
-keytool -importcert -file cert.pem -alias nwvappdaing001t -keystore cacerts_tryout
+openssl pkcs12 -export -in chained.crt -inkey privateekey.key -out output.pfx
+```
+
+Die erzeugte p12 Datei enthält jetzt den privaten Schlüssel und das Zertifikat. Der Inhalt wird mit einem Passwort geschützt, das beim Absetzen des Befehls abgefragt wird.
+
+Zu einer bereits bestehenden PKCS12 Datei können die Intermediates mit folgendem Befehl hinzugefügt werden:
+
+```
+openssl pkcs12 -export -inkey (Ihr Privatekey).key -in (Ihr Zertifikat).crt -out (Zertifikats Name).p12 -chain -CApath /etc/ssl/certs
+```
+
+### Convert PKS12 (.pfx) to Base64
+
+#### Extract the private key from a PFX to a PEM file
+
+```
+openssl pkcs12 -in filename.pfx -nocerts -out key.pem   # enter any temp passphrase
+```
+
+#### Removing the password from the private key
+
+```
+openssl rsa -in key.pem -out server.key   # <- that is what we need for nginx
+```
+
+#### Extract the certificate
+
+```
+openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert_only.pem
+```
+
+As DER (binary), not PEM. Using PowerShell:
+
+``` Powershell
+Get-PfxCertificate -FilePath filename.pfx | Export-Certificate -FilePath cert_only.cer -Type CERT 
+```
+
+#### Extract the certificate chain (root and intermediate)
+
+```
+openssl pkcs12 -in 05-srvingesttst01.pfx -cacerts -nokeys -out cert.pem
+```
+
+### Convert Base64 to DER (binary)
+
+Used for cacerts, for example
+
+```
+openssl x509 -in cert.crt -outform der -out cert.der 
+# view:
+openssl x509 -in cert.der -inform der -text -noout 
+```
+
+### Convert DER (binary) to Base64
+
+```
+openssl x509 -in cert.crt -inform der -outform pem -out cert.pem 
+# view:
+openssl x509 -in cert.pem -text -noout 
+```
+
+## IIS (Windows)
+
+  - PFX Datei in IIS importieren
+  - altes Zertifikat entfernen
+  - Bindings prüfen und allenfalls anpassen
+
+## Nginx (Linux)
+
+Die `.key` und `*.chained.crt` Dateien können wie hier beschrieben für die Konfiguration verwendet werden.
+
+## Cacerts / Java
+
+### Truststore
+
+`javax.net.ssl.trustStore`, der Truststore für CA-Zertifikate.
+
+Cacerts ist ein Truststore (vertraut den Zertifikaten). Der Default-Speicherort des cacerts ist `jre/lib/security`. Darin befinden sich die Root Zertifikate von den grössten Zertifizierungsstellen (ca. 104) Diesen Root Zertifikaten vertraut Java von Haus aus und alle anderen werden blockiert. Man kann hier weitere hinzufügen oder ein ganze neues cacerts bauen.
+
+Java lehnt Zertifikate, die nicht im cacerts vorhanden sind aus Sicherheitsgründen ab. Ein Self Signed Certificate oder das Rootertifikat muss deshalb manuell hinterlegt werden. Ab diesem Moment "vertraut" Java diesem Zertifikat.
+
+### Neues Zertifikat in cacerts einfügen
+
+```
+keytool -importcert -trustcacerts -file /path/to/cert.pem -alias EinAliasName -keystore /path/to/cacerts -storepass changeit -noprompt
+```
+
+Ab Java 9 kann das PEM (base64 encoded) Zertifikat verwendet werden.\
+Bei Java < 9 sollte das Zertifikat im x509 DER Format vorliegen. Allenfalls ist eine Konvertierung nötig:
+
+```
+openssl x509 -outform der -in certificate.pem -out certificate.der
 ```
 
 ### Zertifikat aus cacerts exportieren
 
 ```
-keytool -export -storepass changeit -alias arc2004.bgov.ch -keystore cacerts -file arc2003.bgov.ch.crt
+keytool -export -storepass changeit -alias DerAliasName -keystore cacerts -file FQDNname.crt
 ```
 
 ### Alle Einträge in cacerts auflisten
@@ -32,29 +158,47 @@ keytool -list -v -keystore "c:\...\cacerts" > cacerts_output.txt
 keytool -delete -alias aliasname -keystore ..\cacerts
 ```
 
-## Verschiedenes
-
-### PKS12 (.pfx) in base64 umwandeln
-
+### Alias eines Keys im Keystore ändern
 ```
-openssl pkcs12 -in filename.pfx -clcerts -nokeys -out filename.pem
+keytool -changealias -alias "your-very-very-long-alias" -destalias "new-alias" -keystore "/path/to/cacerts"
 ```
 
-### PFX erstellen aus server-zertifikat und key 
+
+## Tomcat (unter Windows)
+
+Das Keystore-File von Tomcat beinhaltet das Serverzertifikat, die Chain of Trust (Root-/Intermediate Zertifikate), und den private Key. Tomcat verwendet JKS, PKCS11 or PKCS12 format keystores. Das JKS format ist Java's standard "Java KeyStore" Format. Das PKCS12 Format ist ein Internetstandard, und kann mit OpenSSL oder Microsoft's Key-Manager manipuliert werden.\
+Bei älteren Tomcat-Versionen (<8 ?) muss möglicherweise PFX in JKS umgewandelt werden:
 
 ```
-openssl pkcs12 -export -in linux_cert+ca.pem -inkey privateekey.key -out output.pfx
+Keytool -importkeystore -srckeystore server.pfx -srcstoretype pkcs12 -destkeystore tomcat.jks -deststoretype jks
 ```
 
-Oder mit Keystore Explorer:
+Anschliessend in `tomcat/conf/server.xml` im <Connector> von 443 oder 8443 die Angaben zu `keystoreFile` und `keystorePass` machen.
 
-  - Root als base64 exportieren
-  - Intermediate als base64 exportieren
-  - Serverzertifikat durch M. Kandlbinder geliefert und in C:\docuteam\ssl-zertifikate-06-2022 abgelegt
-  - In Keystore Explorer: Neu
-  - PKCS#12 wählen
-  - Root und Intermediate importieren
-  - Schlüsselpaar PKCS#8 erstellen, dabei Key und Serverzertifikat angeben
-  - default PW geben
-  - Abspeichern als PFX
-  - PFX bei Fedora Servern in Tomcat Conf Ordner ablegen
+Zudem muss in den Tomcat Monitor Configurations im Tab „Java“ der Pfad zum Java Truststore (cacerts) hinzugefügt werden:
+
+```
+-Djavax.net.ssl.trustStore=D:\docuteam\apps\jdk\jre\lib\security\cacerts.
+```
+
+## Ruby (unter Windows)
+
+Damit Ruby Apps verschlüsselte Verbindungen über Self-Signed Certificates herstellen kann, muss das Root/Intermediate Zertifikat hinterlegt werden.
+
+  - Intermediate und Root Zertifikat separat abspeichern als Base-64.
+  - Dateiendung auf .pem anpassen, falls dies noch nicht der Fall ist.
+  - Die 2 Dateien im Ordner `...\Ruby2x-x64\ssl\certs` ablegen.
+  - Das `c_rehash.rb` Skript im selben Ordner aus CMD heraus ausführen.: `D:\...\Ruby26-x64\ssl\certs>ruby c_rehash.rb`
+  - Ab Ruby 3.2.2 befinden sich die Zertifikate und `c_rehash.rb` in `D:\...\Ruby32-x64\bin\etc\ssl\certs`
+
+## Weitere nützliche Befehle
+
+### Überprüfen, ob Key, CRT und CSR zusammen passen
+
+Mit folgenden Befehlen kann überprüft werden, ob Key, CRT und CSR zusammen passen (muss 3x die gleiche Checksumme ergeben):
+
+```
+openssl rsa -noout -modulus -in irgendEinName.key.pem | openssl md5
+openssl x509 -noout -modulus -in irgendEinName.crt.pem | openssl md5
+openssl req -noout -modulus -in irgendEinName.csr | openssl md5
+```
diff --git a/tls-ssl/img/ssl_tls.png b/tls-ssl/img/ssl_tls.png
new file mode 100755
index 0000000000000000000000000000000000000000..48972b56cb943f718206ae1e51984c100b424b37
GIT binary patch
literal 19245
zcmd43bzGEhw>LU~h_rMG2uL?b4v0ugi8M%eh#)aAARs9%-Cfd+$}k|(-7P~)GXg_N
zy*K)M_SyS6`@H+aKj#lWa$omVYh5e8YhCM}uor3y_&C%!AP@*&Nm2GC2!vJ$0-;mi
zLkC(2J32dn|Il1tDm(*K4n5cc9`4vkt4f1FH8HrCW|+V;wzHzXD+ol;e)|ut`^_gy
zppn>3PR~vAjkO!Z?5!0@;jNXGldJ6;H)HL4z>wz!O0v>gp2mBbudA#S+&8$FFn$qn
zMddXg;TopK8e9>OVz;I#jz)^hq=8P}Q?81VwBCC@@Q}~zVOSFuOK+q=Mc5i!ZH<A7
zxhn(9W8t%s`I?1BJ3bfc)nd~h1O=;}T)6tF4fYkK2FKN>C9XqHHum40+!T+&%XBIl
zN>84^uHnObuBUMGgUvEqTiYYY=~u3*KWCfaH$8r5Q@mH*{ErQk8ihA$spouXPz3n+
zuX*sHp&=o{$#>y0GBWAP4ihj=yxAACIS^pDg(Ek#Slp%uy|%FtVRy_~xp`1N@#jrV
z!;X<1q(OBbS@0xwc1H-9klMhp?D|se4x6j>YZ7=qi{_o$(L`#L6VD!n->MPv>>P|R
zIqRNjfp)igZ@>^la|ZoCSKn>$HY3Zv(pR)r6hKO!8cu=j#Rsj;74V@V$x}s;Q(CVL
z*!99jtI=8L>qXzi;np46Ru_}yjg#x)8+3<P57wFCtC^p#^1`-kVfvR@pFQB3m<B8!
zx0{4HjgNr8*7b*GthsOI+l|1`=1QT-Vr8#o;PGMTvzyOv*RV#Zt^Fjp?)$7}{QUY*
zc(2K0jn^p89op$q=mcIFQ!@EMJNp_Le<9#>Vyv=16e;ztDy=u3Q`?J#dNHF3#gr`~
zCr-{=hQm2JFK;J(8etEe@Ksz*R^Gd=*Y@+B9upn~lZmmq+P{A2H3Iuu{|Xr}C0h9F
zLIN&VE8}$2|4}oWvgl=A=N>$zVWA*wDT&eCVvJlTPhd@G^!)01T&E#C;_X(u+ev*I
zZak@GxOonwfn_WnAmTMVp8W&e@E;<Qc8n4dU*$Giu9cE<P#P^IEhGew?h^Fd#Rt7E
zg-B0)N?qL^fiW^yKB9SUb8vHape*Xw)vo_7{kKDD<{RRc-S`}&k&zr$P2^2#XSKqS
z2z_ROI>@Hcg#O~Q*z&Zk?Uk~K*&X4=)4F!y&4pKUP-yZG^7F<3#N=_FGE&y+<?C=?
zk<LogkdXG}w$jWrAWrk4jZFwKKh<jL;~^@tgY8kUMuvIMR<x**KhZ;24*|Si^YFB8
z0ou(CZi2rV0oT8?-Gfqu{LqPcE=?wjOMR@?$tfGxXS=S(T*wliw%)6nRK+U<k9=OO
z`|0gLS|@IFUwWC19J1$^du`yt#h(=cnK5>1#tGsPY27nCj!x@~f9zVd;Y+8${dEtA
zySG;PI1WXVrp8^W-E`)tt#;^xiy8RMYQYk%rsn}QpbxJfb8E8I=hAE~EPd>YEVk;#
zh0D;m1R`?r=KzsnasqZK{om>h&?Pr_uuvK~GBWaW?2nGP+L6I8j;s8TpIcG)sHv&v
z+-SD+iX11lPa!vWAdn`@_+z^fFvz;E)ySpuT1XPmO3=4B_D<jW2nycoU!hV3`TdVo
zfnE8hGNK<;ym_~?<Nf{t0oBHE_RVOFZ-QOgV_<|J^SzGb*30$Q)F*F6AqX$l*~P1U
z2nAtlMlUs>mcaW>TI@Ru>ynRM)|{PMuTI8`)iogp$4G9vbF(7H+YN+If{8z{X8Rn@
zYswRBL=cF7>P*ho^EtwbaIMm_3PhmsDfr$H-ss&~A!$7>S-k9E^}C4AzM3fZyAf<X
zQpmnqAc?o-CGA=M@$PiN<o8(eP=;9D*-oqBk5j@~ZaRPfF=EtytOA|a(tE5d-``ss
z*?w7<Z{WvM>I%cit2PQ_&X4WqbJHy+iB&$qh%DZHUms0)zH3lONF#kkDWrhqMi^>)
zkf%s4mhtN(V{zE25|Z2%)a*D%MUrnoIW)$T+9y5Am<yS!f7&)<+%sxy_&+yKkHT!!
z>BQb1>hC$mBf|bnzqydhUmCp3wHH_NfRww|5UJ=``6Z7-WCUj9eA1YG@pXR4o>gGZ
z!9feRU4M>QQ;f~PvKUb_#YL_Se~*YIH(D+U8@pd#0I`<FC}&k!s0rbi4DK9v>pTEY
zZ0HxBl}-#3yL7u45onZuiq}q_qm}ygeaf_g;&b-4^f4S2dWX9f&?S2U@}C4TubO-z
zi`@&I@1r#y&a-r^f8}7M*ghO3EiVxBEp=qv;LPoeVAS`>g}7x>YKVEyADHo^WkmPa
zKws0w;5MzE`Rh(|80Ixqr>I?g{W|eei=v%3W7eB9qeQzf7wo$fT+vqAJ@)iChhV1=
z`JQ|>7c#t=sZA<D&Q8WvY%cIA%hs!7HG#9snH;84-aApdcEBU0L1xg*7H35P)%836
zA++P1zhBxkc#~c+{l*3_rdwLjU`P|*7@d3*WbMj-K)!PJy6B6FB}KmGJTc_s-o_`B
z*2&;hnH;W)jDhd*L7lLaL#@q^D*`e@I1#b=ePQum<D9g&a4DEXrS`aE)T!Q@C6<)M
zZxpMYeO>K#pDQHME~75RvWhP8-0DqMP4oQ0W!FsQ=I)h1;D524lf;uqu0IX4QS;2z
zNPJ$vI%8Z;K<*nkIUv&_&=0*wGt5QMM_Pk>d(25jo0(n=7)=^fr{Z5<?;15Rds}c3
zv+-|-YgKXgnVMIa^FXLNTnt}1(w(B2O@su;6*U$%Reu~>2U~|7_w{Wr*IQb`JGGv%
zo500GjTrEMZnO=s4ly5y$?%j5xYtNz(`xwfQM2Mi7o@z9VoR0lvyZKgGk>`{8q9of
zS4@_h!wWIOrOJ`~JfeJiL69}N=_<ea=Y-V<E@BB@$ixvOkXqAPpD@-vOh9fI{SV8N
zp&Q2czqbnC^*dTw+1s&Ew75s}@W5jN;5Vu7-h$AWfbM3v5wyImC-`S8nHELT1ES-y
zy0dV|gHwyg1$IWo<`tc5a^c4>Y6h4Zh1~SN*PaD1Q0N?Qeh*r4XANL2m|;9-${XJ;
z4XexXec^-|nW@%gz|ue$&@SQeSmbxopPh!~BctDl9TN;MZi<oB);8*$!N5%F)E1b^
zuj#@%zn1S2ABR2v7lUsUelXaGWuW|zA9n@S8XZJ$H&{92j7U+K!Pec{)aqVs@dVq=
z_fG21<fR$!f0}mYn9@@@{EpoyFl@N6C&V;DZ^F0s{kP<^m|_(M*bW|_TjS2lmy&Gp
zo0}Y*@h|rrAIBVII@Ui<`Tf!^RvQk6qJlK2c%O2qsvIshmiV0Cr`H?>D`|+1yJ;_!
zl8}w8$i;HOM!?>OSNcDX(ld;_Pjo+M#P7^&$Xw0gxWj(F)z0rmag1YvRo^anZc-fw
zTa8ZYXLwzHX@x0YIX$_~qKl5KXrxRg>i=>IK9JpdfZ`^_Z;U2-&1)Vx49IF>@vE%i
z=sOCrc}&}o541PxL(y`jSczCHC7lJk2kpLNly4lPKj){8!n6!5wUNIr$YKwJADtC=
zqYA8fyc+`-NSKoSBYOzr#z&tX&v7Jc>gOHwXmfj5iCgrSs*K)G&@|GcL-0o!M!mXG
z@#X00L<^5G^x_X<w-CwLnlJ5&-e^n8xgI-90FD*fF~TJUKTtF?GF<=Rk@@~tfL8Q}
zPjp&bj5D>e!t6w>>}rl)N<pJPHVrwriJ`@+xTIQDLox->*L(MxlKLWg>UM&o?D+>H
zJ<QVieo2pV?g%;S*~X55UmN6@I_hqGo1Wr8nS_FkXFidS57|;QVh27Th391LeabXs
zMX9Bevr*1ZiuE)!;LA7gWfU3-BnIZmJww*py$`5?f6RwB{#!FzU~@QtHoeDLDj@p#
ziG<}4aWatU?_bebwTO~+e*_vRiC-Vy|K|@hc>K>tJZMm?Z!ODr%!dK*2zrr!KSI(L
zaAZ$2m6Lf!FJ@uLmJ8I@_~{SV;Z#8zI-g(Chbj^3ms7=xKZ61TF#xBS^PT2Rv&+Fs
zCl;NjzhwYwAK{IJ-&|jmfVq8-NU|SA;a=`7UUT10zC0+h=(AOreCxOBY=*PIkp0W^
zBTMy&#p^X2r6n%6hqo&Se?~xe8m5iCug^EOjFDeAvY0Fke7471Z}tK@b+ZEi8aOUd
z#ZvFCj;Gx}t49rA?}t&~=<T)~|J}~~n^x6Q5jkHZVawCgVybeti6OXoB0dxglp<W9
zR;n42V@)r1njiDz_qMyb<Z12^MJ@#7Z-)WL01X5aZDyYL%Vhdlf7;=tbiXlT1c7=)
zec-r$3UN2z4StKTFlht*{IzXIVT4lWR~6ev3~vi;d-1dP=w;_G5BlP-c@69<QgVe3
z<3RrBE@!8Z-!`uCtzA1{wSKLG05vPMV#~CrB@!LX`M>N`?u7|rUOxcw5xI?5$|WP-
z?JiG$;vQ<LJ-z_TS;o}&Y$dn##`h%2-UZw03u|E$Orn8~tR6$VzktDII`6}S+{@At
z>r^o_FC;-fRke}VOE-wq(NN>7nOQ$ZIP5x>J`Q1YgCcA!geU}De-f_YSWlCcX`^rq
z`y5Wr>6sj(|LC0!I>=fc7<zi8e!bnEtcZN_c3;788hmsz`5^(Cr@lW}P~3QagQHz-
zsvPt!Ylg4}<o{J;5+>Dh`U9WP==a$yJ@Of{5f_^l(TWawpbdxZ4Yj5=B2wqUpJ+i(
zOSTtoyq4xsz9(I-QpOU$^LK`>f5~j{s-0XDfIt%3@QVRjlR?yeQ*jmmjzC4XRIE9~
zgd>dn_7e%E4rAzjR_HgmZ^ei2bt&}J<}@=D=ywuTinuxr41IFFsqVX1)8BeINPpQE
z$m{#7H-g@CMIVq$(>c_SMU7Q@gyiL+LblgdyZY(|aL!@lg%EnLv$4>Y^B9pQ=kbJ3
zP-FOhH!<{39Hb2zh@`j_!rFSd)J=EQi-q(%pKd*>LM3?|WK#H^*C3^lAkcVGDa7wg
z_tfvQrr*sEG7d48^0+zO8r(hTzPaW*-XCxECI(``ELCmOd!;~trtY!dJuP*XPm}e#
z_k!N@`Zw;d$?2ZVRr5i0Hy$Vj2Rs6kf*~(ga&?sspZuOFB$T`q2wT9){?U1qBmN!$
zjP5Np;t35H@QZ8{zuhJ*<F8u>eqXPDa85k=)lt_yWIRIxhkeD5x(mV!+SCPu$6>?1
z2M80%3-#<X#5}z(D$&IES8yl9q<MY4{~{k^?+!@1sk3|;#P6^{Atu}F{XS9=S?RYs
zN%-XWiYDu7`Fdvo6N_pDrc{fldv#Uk#u1Y;SX!YgWzo(USZ*dls!Usfc(<>-s3(Eq
zSXiO;+w3%Xci4Tij?6k&CzOJ3Kq2Rc>-h>X#$M}*kOg;L$q-|yS*pJ9>4ig1p=^K3
z)dt$+*@N<mb%iDztA<O7^H#L#q2>Y)TCqtl-Aa>cvsme=YGKYn<2x}r$d+G|3fDWD
zH^>lIsV4xVm5{#cy%85xkciHJ4yQ20-p}WfKOCBZugM5t*R=+^S3*Av6Fer3^L=|m
z<nHRXJFz8+8^AA2Z0K$_nX29aheq#tRv43YQ@q0?;dccwo)LkAT~_WajEBA3o?s_}
z89IFpZmNKGXLWvGaQxzp$4}e}ohdXrCu#DHpWNrI4Rhr1Qa!MWpL^Acb7crmW3VWC
zOSvx1{gP))u9m5Y&zE5Dt>T>E0aSD9Dm1YDj#9Qun1|Rl_BCUPPB33gaH8AZ*=kRj
zJ6E4vNL}fptrga?y-#KQ=!C(#UxmH7)?t%YGv6ppfAiGr<Q)D`lqigd_prCFhn{*D
zxB6ZV;QB<IPN?4=*Ue?m=NS6^BlNq|;4z_>pB<{;Nso}<gK-%>CK~v~4&*#W9D3<a
z;||Mq@po7~+2DsA?7A9!T*71WAN+!qj?)WjI~O@fwja%Y60IQ0QB3VCdZFjM{Y<4u
z^tBK3=MSIdzcEwSp4Lq&wM+Oaj*te_K2~hE5Xyca+48|tl;I0HwR|9Isx69+tJV}p
z-{6IXghatRq1Sv0WrI$Q(4<_Y{R~tk!~IZ4r*C-oi3buVXA2?6dyO*ii~QE>pYDXs
z&!DHVtj4f?q%SIh@QG5~XI-em8-u_uBlk&d%aLhk*yp~h%p*&A;w|2pAHCE5U;FTc
z;~W<z0~Y6nRq)c8<Hz1vzU*GZ*+s39eb|=^QA~d+-aE4WtjT|jXSI$mw|`teDEet+
zz>B`AHJsECs9!@%6u+oZZWWI|3!#ZFhwW=dnr-Z)(Ml`Jji5koTCBpM=%ds^#c9zp
zsDiiZNQ;>b^z^(+!e@N-=56~|`kOJ4?EKR@das{_l0H(LpFPpev-NYKCr8Qg_p$~Q
z8MjuPGaoO6eYnUY2#ivxOIhlTd^DyyR|VNU$b61j<QmH$z?mWz5paBFntUMZN7PoN
z8^P!Hu#*SBO*mrLxl+LIC(-kmz#l#*o{Fkj^LHbRijw)wNoHT1r&;Ikds|V3OR)-T
zuu00Ua1GfcF&eFM9S>pCA{$KgJc=MUt8a$lX5OtWD@Szm0*;$d;$YYO1{HlTPT{ln
z_S=NwEcPn@rCvN5C0#knKAz~qV)_78h;E`1=TDrF!7(KZ9{gG>i^#!zea!b*_7Qlo
z!kyyobNijsdyH8hCMAS5?yKv@X0<+fKx?!Seo5VS9sOHhJNTz$9+M@p<J^*{9Hg!M
z%T}D-6g#QHa{0EvnCqCwi<JS_%-#+$D%!|ILAWb1g^0lva}EUKW9GOzxPG<QoYYr{
z`{!Mb=6&-=u?Of&x=;EPdf0p99fjC=@>9*)zZZ;dNicLW>@b|ME;YU_Sb1(g=VH;#
z6xFu15>}eo32Q?&7ls9Ribn)t2+7?s<ghN>=(E|;f6izmXZYy7z|~W}I;ud;elpCu
z75xIwZM5a@W!y{;v_)C<*UQUuh8RUm!?~_*!rvy-CL!J}m&N$(j%E)$LzdQepfun*
z0t0fQc---oeM=E{1X;#mg-?-p{p-syql{zjZZR;2iTDOqW5Q{CV@<mvb&yYP5<^dQ
z00$9@j;bUB9FQg!bQ%W;*h^%7H*nk<@Y@W8uP+uzkAAeu17O2Qo)v(1?gHKVoKQoO
z*G`)oi-|X{o1zG#L4430NX70`WaIHAObEr3+2hOD5p9d_lKSwP&sHpdZKnKM2*mez
z1f~Pb6u~WdQ#oK@(0%vg-elxp%BEFRU^~_g^YqQhM{}viyMA6{YG~io{1FYc_;8xd
zbI7@CUr+Hn4XWr8iR#Fmj*)t&d-v-dtoj*zPlYbcY5bmvUed*Uf8rXWSU}R9h3ksh
z9yq*WnzHa^B6$iU2M1M|*mmsnWn<Bcn|)2uJ;cK8sp{`80w$U5152Z@fy|&|8rX*d
z{;uJ!4obQNqQjcb#W=mrLDSWDM6`T#AdaU<1FBcZyS~?%4ZY5X-#@ZOFxcIX!MBL~
zK114t{e1rsvDD5-trA&rbJ?c3`zjt{L}1Ca;g!z(_5iW_AUuF*z~q_tY%F4?i?l*8
zW1_GF%&(|sKYA!tjs=wyP~{2fLj&R!e>>GZtJdm~Y+>?+;T+6(f|}m{;Q-TJ?`xy#
zsL+AkkPngt!rRO96~Eyhm11E6*y901oWA?aZP5cV3w)}SD+Vj7JMmWIQG@x8G;QOf
z`xt27KyU{uWvBw)(IuG5T^Q+0ML?LS8M+xy6#G_Dk);-+_rr6QPvkw4$99&PKVnuZ
zEz`2-quq&CN`^sC0m(?*+cHW_qWtzf^g?_D4|p~^uEdPGi}~|}z#dBn1jxcIESQl5
zh|Gb2RA@JiH~}FkA^>`##pwGz`HXk#>F@j*s8-<w^ufD*hrMHTZTBV32LCSm*f2qn
zUf@Cod@bfzpc!!J0yyw|)x7NX`*V#(UmKE~8k543$Y(Pg!!5O6+gFb<(gc>33G^?=
z^mA2=3ns5+zxrii{cCGW8sL@yIoxpdkhd;r$}ZIw-dQdy9K09DRzJ{kJBqVx+wamO
zirICPufWL@kk?2pWQNVoa4S;=Yw9P|4AeT0tIO9|Z^w36-LCY}&f7_!<nYaS%<u7s
zD&{Q@hLpVtU~yJ$qni5KR|kIlo%B%sf{YIooeIGhu(rR8kHeR9DwZUgQf;#>)7$L=
z`p3|OwrIeXGr4pzoHVfsj(KCND$Ht`oz?xr&l4OT#z0ECEt*~hJ6@9?S}?)_3)$CY
z`JZp$8aHtyGkU~6Bd|%7>kE@OJ6|BbWz5eD@bR5=JTeYmZQ(8_Wqjg+>st0_It5&u
z!c+zo!tOsA93?a*@Jc!LE{)nAY!R@EzUGNnd-V9OO;}66ISZ?Xg#Pn}dl%dvzwDs{
zVj%$SHtc}~baw?s*<4YrztDN4Oqg|DBKSA|;Fu?w;y4<;v^z{j9ayK4ZpAwIvI)iG
z`R(MER%ZASoj_eW*U3ndR*aW-qS;H*9U|DYjP=#^P*jRiztBeo*ZL1f0*z@OJ<Ur*
z73%xKR#L_&n!8H-juQZyzLEdKF_9<VowEECCRlLf0*b}mi7X<HbVQ7d0;|k#=HqK7
zg9b>H<?v(8A84ytO2m!aPGC;dnpLYPMl?eW2%Y?GFob{0oN`1%&M3(L{q5ho{1_k)
z!hf@C7y!xNET*!Dxn=UvKp1GiqaIwdj0UiMfw%8OppZ7{u8+{^BeWVj{<B)b0|}LN
z=9wy!)nGsmG2k$t^TW}6g{tPmKG=R!8J$eJtW+vT{a(sj2kr$&m%Qk*cQbo)dfd2m
zM#j#Y4?0X1C=@87jvBv5=pCj7QB7w-qi}Xq`{<((pS$Y;n=<<z!A*`!3}c3V?sC_)
zZkX7L(SO5i^jN3AJ)=@ALLvGAe`aF?z8~o<(wOw`_>N=3c!AUH&rbm9b(BG>Wr#|j
zx|wH-yFc&PPcn4Mbt*%M4gUfp+EL|+T$&Df7~Mt$ndm%T2)2r!ozMme0r}hp#Hc9W
zeKY+cP0GKDi&FCXEKe$9!tFp@Up7uL(ESl<SYxlp_Zc`}@>Z?*uup={jj}xti#%z!
z&IPluNy96=ePj+K@S%Zxll->FUc+?Un$Z_$>5k|oVV3S!{dh)!LnOQ-yQK*<52HuX
zgcgn$PJan8dWsgOFm@%&^{g7L)R1v8xEI<Fkv6Z+#^X|Ki5ooY+H`0+t2ISAiyGG4
zU2uaj=>8ytwNTSlbe8OUJI}OreBv6IPN;saq8}buTgaAcob?RDC5Zc4N9EDd24n<=
zPsE)sQX#!s*|g0eu<7t+!EozZO|s1+x$0RKR|t>e!3-Y@yjn&lDNC%M(W?3QzOYr4
zy*ch$>|URPx;QnLiHvhZcP7@T8e(@XOk1D*kc7E|(U`Bc);w9hdaDd<t=?T@6B0$#
zlTT(}ETX);WX0+gb1P?G5JYbyC_dh#l1)v6e^Xz-C!nJtseH4;i=D3z{mB(ELvx2}
zki)XSjQTy72+ex$S!OxgN7&%e8wchuDkj@5Z{-)Sz?MQ$J=$6^M|f$;s#-z;uO**R
zX;SNxyC-KEr++^ffvEw$*R+94k#1qXq`xK>;YFD0b6`U^SG>LaE`8TPxkq3tOjEO;
zQU2GX76WPf@|WCQG>Y*nCfzl(sXZzi#XPuOO0%onmFp`#k7g212L&GN5c9{xQbi7{
zTcW>4YlyI@>PR4awrKX!GbiiigR0)=yKoG^uqUCS&+28sS!(ccntNtgzy;i8w~6(#
zvHqiS|A#RZFL;JUFUn@mK%rR0{gZ>d@pC1CM&xc`(GO`!*97yo1h2+O!MOR@x%TUd
zdo@9*FL)yFxgB<!1A6l&Lzz!hsWpEbc&OC--D*M>LfbAZ6;wYQ;16=1x%Ia?NQ040
zY+@(=fjweSD4@!TW-(NtYHvXBpCUmi;{VCtV9?cF`#4ci<AW&g0q&=LJJVnR=tKDc
zcz}(9PtU*-Hw69_w~i1CDw4OcC`7znuJKW--dyU(&XXCHZp$Za-x;)oIgPh?F2_xN
zE9Mid1`0T2F!Qkis{nXq6?$!in?A`P7VpT>e%L-afV|^8ef3;dSXo_!hOtS${Rgbz
z72OOs(7Q1gvik1YNLfFfOQ18_d2!8YcGG*BG*UD37pIHU*vRT-eC6sTe?xIPK2c`A
zuNNJ4WItEknM1SG+Q1l7+tl*g1-k;L2N7i;7$$H8OHh&Rjm3rp=4VMF=5h^9#m-;6
znsqT=h0mOn;hMctdqz3Ph`qxvJl*3E5<Kl|HN!H3ZWWx`?Z;G4=Xd0e&0a|BeD5!O
zk-xfxaTOW}(-61sq(4dQE#kArdC&Yzz=G&R>67O(m)zSe&3-bx6Ca!^mRf85GBseF
zRVaZji*r(yaVH@2)<QbNnYu23Y2*TM%}Oa9W9<tFb1nSH;;?<|Gsqh!WuYDMWLsO-
zGO{<e(YkN}&fZ{zDj9GJ^CMvMg5g#{_Driuf$wVy6u60CjgP-ciA#EUx=1xT;?KRC
zjL4pYnY^oM*^^C#j_X|6R&)+h0@t}}9r1FFoo#Q0Bo0Bu1n_p#Bhfu@rJhcAe0RH&
zU5n{KoH;95hXrSXS>wERZoTXGwobu<g~JDZqlsA^TNYzf$8PQw=#Esk`xu9DaPyl&
zNc*%8{6}vo(t|rl=eJS%Bla+X(+iQb27TKH91}W_a@Ype{FBcBL=Mk$;P=s2E8E8)
z(}%Z@W&cV`01vzJ$RDf7Uzf0o_cvOZz=hF2B9ocwz!X;Pim&a;Zq2B0!0G0pZ7O_A
z$9qK7);Z+lGyPc@gL#EahQpUM<t_1VOD4W|ztP?LWg4gmVq>vJxG=yn{7X7BzgrMk
zh0EA`lji(+Y(#4hvpVc3tf9dwOOz-+!9%7OEllCcF1OyMFR2W3{O*594JIv);S<tj
zv^NFp)=eokoEt($wsW{fCF>(N!QEXp5iT+zS*LYyt2W<TPv{J%IX*(7Gip304%fm@
z9#+&pz|~J?bHHhIa1dC|5?G31>^N2D$XfawLQXnXYufsc`MZ_&02l^NTdK5)cM(%<
zW!x00<L80xQ&a+R2gzk25u2o`3D6fn@_%H9?_pc6qIFOusk$Vdw-L8MZJNtK?4u+H
zP6^>Bz1&Sfo&ni-+*5|+yA-$DQ~>Fq%=XhIm`RxUq{50uhyAhG7U~m}s&FG7<0@#)
z#$$LfWWn0UG6)QeT&(K5_LI~2XJ|1*+rS(I;{5C8fm8m+<<D5$1?|!S!tf7F{a5JI
z=igl}m2DUzj{&-iehX`%#X2JYig$vJD|gy$=VqCjq8*gGVe6sI{(lf3fK=a=Wk-<B
z2_HbAHb2K^>~(ZYwhIhm?mZ)VQnBlEOsVj)+Cs-AIgoZ)g>pNLeOdcRM(a#)tb!Lq
z)CUlrNIB%xj3MWqU$C&-hhLxhIR_C^c5L)-Vt-U$xf8+ebge-uEVZRZ1?%th1x={p
z0sCf}1aI_ap=}7~E#-+>uWl^PzBu)^_#O1+MYtyEhBkOADppp1(F<y^t7YC{x9but
zD)^wQp=>9d;L7St$A&dz^00XKpl0RT33_W8A`n|Gt|L!ev%X;0WwM61@r&ma&9|3H
z-bCNyf7KcDDc(r9k;_){0j<JUo6bV=)n7Y8J10R*g{0iy6>`jq%88!`<uXP*Fc6%`
zl{UnZYE8dIWnDgg#aX5>?ouFD${pmSqv@Iu=6&PG1j=pUPElphl60bGp)t=$nxJDh
zy`Px(%(p~eHFd%l-^|?RVD?2S*^u_HJ2Wcy0czt%0l!+n=;;_a30p$SXmt%Fl9eaf
z9~At0Jj?VF=PZiL&U|EXJ9e(hi7(pvppd9(<vn8WR(OgEAP5=j<{fOhuQKL@i_PcY
zLQ<T27z{@7QLJ-j1Dc|7T*Gy&6o_>sGCbvuacz|Y&Y`1agu+#24vm`p>t=(KoE5QA
zqWHua(}2H>>h<PlCcD>4lgaXB87<py<73}}!i8)_!e;Q@(6#$^*ba&1_A2Piie5!;
z3zo~M2ylm1Rbw~9uvS=Vl?_@X`0Q^F{235()7<)^Kc?sZi%>eD_5%X({)Jw#{!eL4
zmW$>cYI?sY`l93PJ3|tZLj6C2ewiW8yi7szn1Dm2-CQuQc~~=Fgou3<e8=mH!tz!L
z6+M=D9qHR%wlYRi!bsv<n>hj_VO1NE%$zA!%OtLWttT0Ng2f?fI_?RionlBQpa-+2
z=c!RyZa>xrE#3cX6=Ex6n~c2o8XkF3@VvTTlV2It+gl*pgqn1Sf?@2$(@|SQcC2TS
zH<WhhEz}Exm~QoL>Ay*)DJG4I7Mo_Jp$e!}esN8Mak!bvyYy-NiT+wFrZsZjhc|+p
z<#~_*-SYJS=7iEU3FR^NB5}vk1|E>V(XEB2fhyeT&7YTa7u$v=_u*sXMyU9NWU%3P
zu01ar@ud7XQ(CNCVarAWKC$(^FR_YY`s&t31HLBP!?t@o7sAL&M@COBDovY6nfriE
zVk&l9M}Tp37l+@B>IInZC2*vU>bDsf5J=~**_aOa4-@kLCNf^w%=Esb&GN(grgLjH
zG2k>8N5}!JbcbyAu8pX+8NfRMjp;*2NDgT&MR_~CaI7wD;51)vE?8#!O&b=Mpo2m|
zKm(BSNE>cl?X^ehRiGRE2h-AbkC6AmhXVc!BU#Qa!G(&#(Nmb9YKL2rWRM@QC2x3!
zNRp)6d`lmCc42+{a=RU7I8)K#C0H<qerf4GNl31TX~8YK{@^z>Q2F0D|29GJH|F;o
z(0%n@c>C^CEI=W1Aewf`JVwyfC=paA`fXx@c^uYF?{`VWC$Lt?u)5M2@uuaxsKpp`
z8=PB071Fm`F7~}mxt(lf@}&h2$8Kv(EL%}y%0T@{Qi~->6zG-!bPL}<%redduJtr3
zoD9sLhBQAeR?mJSDw?wo<d{#!v#+&Ggg`lvJ+0$tVKTTo)K|`_X^W)+r)B?PKI>gK
z2Hru*XyAS?ZsT~`#P4G7^Kmdn9gyXEo{ShR%DcFi`2~MWpy8#l&q3#D%PAZvs~g<=
zyl5Qbwc?8O8s5knQ5!Wvm%DN7@+OaH4hY-+^bV>)FA5)N?zB7JrS`G|N@84*@KfOW
zF#4LEk=5zoDUddK9)lQ-1n3~&E0cF>Ik#?jNgmNTEV|!(Gz1+03IpgQ4<bFnotT6<
ztDJ{d7IOWD&0S*j&~W@jG}03Um@_QGI~E@D4h9lF@w~Y@&6e`J1}+}+lS8ila0Ruq
z@I0NvC&_bTxYc!rQNQiXuzF#QJwT}(Yd0v$gt~h1)}p;a60Dy?BHhW+ek)f?=IK_X
z-m?m{b;91H-TVtaA-2P<b#mJ)>sD1j)gkF7Z3+lDM<AKC;+*AYgYi26Y+06N9+1pq
z>irb?loxmh;NK3lY(G{#$-erqCI&$o9Ludg^7Gj>2a-bp*b~Dsuz4u3tF-{Khl$(6
zDk1vgU+C+(xmK$u2%uO=x0cZxs$0l>ckQ1kLndM5kE!c{TOj!Dre7exHGWgZfc`;g
z=^#(LKkMc|NI<;!f41!pE&k)j0|DgzXT^U4f+^tU_;yq+4IH-g5Ci&|U<5pZ`_~Sx
z_b12DNpiG0XvEaeld;t96YquwCo)CI8Mn#0Pdw2>sm@6?S^YB~a0Aw9PUQR95f{2q
zqwj@zabdr2#>vhRLK}Y)vyc7{_k>YSF<E{aTl5RU|EvQjWb6OY(!W<GqYqRjqW*Iu
z?$&gtwm$;D2+~0(c{5b!c2WUA(ObG_Ll8vXKn|~v(?R54yav!wi^NSO<$~ltEBwvX
zef$@zZeu9h5dste>K0W#g=5U4|K$-5$_ag`5bbu}_Xt%`^W#5!!r0FI8%NE(N4z%%
zbn73OYl!s^Nq@4w1jDU{6hH&>IC##AS^TFz;<W~{2na6L!{)L6;V@vIPL7b~o`=eB
zz?eW=FUpC11jcaeM40W@%@s34e!JiOKN5IybPnkl^WQ`J=XhTsZ(A~EMVgHOb|<SK
zlhENbD##CT@9Tx!aN65$OV_v7j<!Z>xYYudRxR_N1WPK*FIlVfMxhtTQN1@7fExmo
zdcw=bh%w&&hcFo7Qse)NLQ80<@Z4QEhS6V605yD1Z=u63ze$r@nDFERWbxf^)Ry=D
z*NuTxLBc0z552xoegTRFav`@_Wis!9H_ZokGjZp%u&}TSAg2iLs@)p-TXWU6Ephp)
zeFXdh;5;+<Cs0RlRG4g>r|N#PJL|eJlquzxwJYz`d?4S@WEX}e>9YY|1a^E2@7DQS
zkEaX)yG8w)L!5V5^7H{!)DO3DReLg@1!;Np0iLs;$Y$ib)+5!uNdH#7OYiO#-igug
z{k*Lz6zyryQ^y0BoiRZMD7lFj!4Lviz7RT4pKR=R<(}C<^>20zKXV;AK$7h}?EU0a
zw%SkFO^w&r!^L1gx|*b-V=nCd3x=e;d{-TB7kZ_tp#+rE5qlGd*43r-F%zpg4>{|3
z`^x;2FZ_VY7Ve}h`d+-A)8KSD8Wbr@tkvW4?Q+@3gm`rPsPjBsp|g>6U12j5XU%f?
z$yaXVe3Y0#*0UPZM5Y;J{P10g&dLjvldH}cIOOh626qC03m9~+XIuw;fdBG~JDyvE
zFcdL`z&tTGoOREYuH6OSMf=yK?sBVeyVShMRx=NH)yT=lgoq|G>mc%59lRk=yZ`er
zqTb^7?s`hU?LvX+!057DfTOrfY|58#^C6jqFLOSnV;Yg*FCVguPrrX)xMnQloC&cz
ze#9%L?1rV=^1H6N)sU<&0P#A=c2*oPg5Usp;v8{>=?ddEG?%YCCZXl3`9``Bm5F<A
z4u5`hJ5f|&BX-=;di=wJoU={B3BB*-*EZ~;9EJ%3_H{RN8(S?2dHPqLo`)}L*oN}A
zm;FB0Rti#{zzUtc-Y7!hirh1pY-S8Er7NmMw>tBberNdlo<_a#k*N@VL<jv$lxMXg
zaTA?`o6Mtrp621Eb%PBt3~XBN+pi72mYri)mNYjk{^%t-9XG|$_cArMlVokw{+g$=
zXw(0r(;nBT4!L)ULOdqNP@1K6Z&TKbM}qa~*6x@QZL!gnlx-e$xnlp|DIMQy+SP0J
z(;F7pyu^jmlu6H9Rfy60ELrR0SnF5YMDyao1LJffRtX2QD`oOZskVXhlIE;jn(&V)
zR7%p>lO#WUmm1UY2eJR)MzDG3#v=ctH$leLjTV&_0$#jsw{tC~_s}6qo3EOC#AE1R
z#B|UUv$}SQ<3!m+#2zdSN8Mk(mmf#XC{&Qb^Fpb>)ZHDbqI0YlXG2718N=enLIh1+
zZnc*C9q=xLC!Skhqn?r^V@B|wbd}y75Ld5EsWq2--H4$=uZ(oPTsn1$Czlu5h(=3D
z?uOp9V#+^fURM<w8VJ`E2|FQsHhA9@KUwufo6o_kb}pv$p(vb0S>!g#vTQISG)_Q!
z>UajDCd6aBymD##H(ZlsfsNtDgaNH)=<*f~N&Yb{AU*7{D(zgZ%?0_7Nq=+D_pj^$
zTL?<w_yc?X?_G<i6+zZ{`XvCDusK?bOCUg?ioCRGT2avE4m}&Kpz^aX4@=F+9wexn
z0K-OWdC=fA{<|4>c}!Y-P@5X(MiJ1+cQw7y^ybWorMOxoHC&Th@U)OQEr$s^6)OAS
zcndg2_K&SO$F@`ik=lx96=pkNSp5&{aUwbyFP-!iR3?Oc7h=vf?%=skzRdJpkm%SO
z6+LFC{N=2V{Kg7t5;k-$fdr9=%U|5xTmS_Lf|E8Dw}jRf`-ly6KU{BHOf<1t<uR7E
z%k@Tb#}0Kn|H`|F^;zM+`o*cUi_7UQpQY{jY2LlEZ@1RKrE6lZFD-vxFOoGHRo-`p
z88hil1k*{~M2BG*^$JK##pDIVJ$yOz3k7Z0cwOl_fZI0boB+mrj0XehyYsx!56%W$
z2+bfi)=A3WKP3g^&YB*NrQ%^ZET#)&Gu`RtqGiTf5QT|~8CmHp=T;eo_R5$AMb@T;
zJ)E#}q$5PLg5rnOhBa{jWA&kL_z3TEraz9>K&KM;EEA}D$BgsC;3`9o%Bge8&QViy
z+hV`Fd<^fHQDZU>d<PvW0?M;u0y2V|*1mb1V{?|93AFJZUIvVvEVT?xKhDcKGw+c6
zTpyGRInuJ$mNe>j_U7GffeO)>B=t$8v7OZh&~lTM(ba?%wh8Dab?$D1Wb~}pwi=QH
zuaZ#BK(Wi8G@Cr?61;W0fWQpOeXF2;4bVGw;aJRM8g)K3fh%ucq4R=7{j03E2?u%A
z^#=N-s1KRaGRo?XTSV!4)LhiDR&pM1{RI-J^r4L*0@h^zV0sq-(;o@0#bqwDMNkrk
z7SYkau^g~&kQI;THxgJ#^HlF@!1h&fd;;bPQ~90>Ft0|FqF<5TPFJUnQxWR;QvPMN
z$GrgTvPY$=TiaulB0Up<?mPrT+{62Xd?J1BNujewjsJkWm0#I@6iuln4~umwq~t5?
z#_r1or6eg*F|$2|cbT|8N1J9E_w=q6P}hsZ!%Pp`(S*Dag4#W+dh7c^V1dNiUaW?i
zDPLAdbcn3s8BWTC5v}RHGU~LYX?;3t-Pv1o@;B^KA#QSBHQp(dB=#3pY}E;_{aFTq
z66h>@faC*>6I|sm&B?wa=)=RdGTmr$J)3$^F{kLxpGFElO|KhQcUfz_*TZ}s^e5rB
ziUuu4ufa*U2X_E4OBV)84H(Nt^ygAM5^FOPr-S1KBdYTIAi*9GpQJx5uDACWn(>Cm
z_sf8R<RRJSG^~;YA3lFatV|oDyzRk0at&ux4FDjRP*mj&sSI*TUd?e5<iLjoXIf(%
zjYflhMmK^^yT8TUTwv+>T0w1!Z=DATdc`_-@D!;7I)%U#{`B|10F!;t&XL_TQX6Iu
zK~zL#OqQZenG!%*bw79j@h9g<6-4$}Rt707t!4+zUwsN?O%C<I0p3(=Axobkzj>y#
zUl|bsTl7b~FTsFo{!cW!OhG?$xW%IJ5u@@lI63Z@-9Nd0p`rvNE?g~&{(LetT*Se5
z2l&PY1e$qpTf4>s<l8~60Kf*N;Eqqg0y}a19td4BEa(36^G%sH-OHVkR|S1Tp`sg>
zdV1q=uPrX}aM;PLX!MY_n7J7Z$)inpny$`;bV(=cQI}7Dr=nJ*`$&<<O>~vuikt8U
zC(!lYtEl9L<gqW2<<}_?gNs9X--lN!(1V9obEgm}ZISMyW0bXeSNo^6@b0@>53+px
zmDv=cgX}!3Uozh1CD;~}eN%XCZl+m_KCwRj)QI!TgS88-K85F5kzZtu-ZzAmTdPdu
zOvIwhi))+n?zaymCU3WpE2z$B8dc=83O3)TwpOb>Ef7pIuu?a--$7%t3O|MTc(G0=
z!&SKJaoN=5&z~ngIuJk1Eq5lei|XKEQq^c<NeV)bI{xZoU~=!h{m5s%lnUrOg_m{W
z`A`&>)mFe7b0L%|f3$j{ygY9?%YZhPmF^%!=ZHj+*sGaoh%S?KZG(taw^}o>Mo<;r
zU!BapT=}fiB;la8J|FM=+`Q`5=fobjO4H<6VHGyXAXU7=sj{lgtcf@J4P5-3aae}-
zHYJ={8Ip-iWxNdrtghDjjcV32ipHI>@mO|Fsf7w`sAe3~g56BSf!r2&1!A)G+ylme
zueP}`jJAX4K{dPCn`9rwQ~Uxdq4q>e=FonYd@vk^CpVyv!*4k;<OQ!aTQAhvu^i&+
zp90EsW<Npr5gO2MUuG5HN5ZMi`0#F{(L*DTl#SW=h!i3mBDqHz*=3Pyy><Emq1>H;
z<}}4hCFNrJCBbz8mmRX)<PPHF<VyC!8HF$U9@!5TB!mr^-f$=vzG*BsUr8~b?d^*k
zVP;d3n2od#t9z>koWZIU5~Wu89P5V9fXAG6ok;i`=fqjca+8d%mudW~fZ?i2!O5V9
zQgKi6a~{L-BFp3P>I63~mbA>>5AitqgDGsBpE3%on=hZ%zHG376u7u_MHiA=C8lf&
z)QK~23aaSb^y=?ugDfn0Q3QIn5H%|jy8V~AI!8d{_~v8CCcJM`Y_0Ga@+a19ttSOg
z*x>&abX${)`R@ub0_MYYx;w65(huBIzt?{Xle-y_N?`%C=QjGH1-b)QT0q4Ff&Xoa
z1i%eXIY(fCo?_%A0_CWwhE*-Urv&F_S-|PGKuiRxua!mGe%`Uz`=EVt)o5it0JYH!
zfHz>uAVIcPUlFqv-kmj?=Db!8^M<n?SKp{ftXN<7?*t*xM*47|kb{Yu9LSpbo8K=L
zbcYLJX`kr?ji|Wx=~opg1$a(eL=>xec!%>^)Vj}XadgHqqQf%Odn_(~7w5g(rOZ~M
z=AzIXNKD=Z4CGTz&P`gSpt+J?y}~D1n%x;hB>MW6D*0!IJ-pAuGIKR*wC+Wp7sWBs
zfoZ)&l_^&EQw@?N5Q!Ci1x-xcuHy*<y<7Z?+(ju77Q3X%K!Nv2-&^=N7~i$ZEE8`}
z2~lr0FHq}V!64kZMyK2a-}`j$y(;NE?of$^ucKWOaD|)2u45Zm2TaweUlgH1pdAnq
zKifYDaFsfDA@8E-`An4Mj4EBDZNTg&;n95?>OqO)m&Ci>kIJ(Y$p<&rE1CPDAIg;z
z*v%C#V|5hDw#*Y`v`X--4YXs7rQdOjfS_2`XnW)fBHFtIYxr#Qyas)#hB0;t>N!Zc
z>fhl;nF%;4d}@~I0h8;J_VnPN$o)R9)q{Kqa~AID7ug?rW9l1y4WG;q^O&^XpLeOe
zAD=w{crD=c0uWz~4@lfyel=1&`|{-rP2k{A@<T>mGHkiy(5o&o$ve6q(&BAqw*p?X
ztPi}!pA1WRf#7W%IF@dFxoB>#)XQE3q&WcgE29W@iHVy&&EH;#+G0W>n<?|K$w?rI
z@)XEW{E;8B&4mfz3Tp&#Lcnbn$TrvmH%0unffML|7Fp1@SGPs?Khgi`x(Zy@D@14b
z=zu}~Z9s)NI4|Y{gYf)%p~^=EPF{kEM1k^J6!%lxbjKNO?oKs|UD_%%|4cq~cwKsh
za*Dwxr_t+o;N41|vI<?lKRrILmY~gWTa3Z{z<PJ!`BBLTlJ#h-cg&8aHW{yMBhy(_
zdvQ9>I;ELEXYe5fc}B}aax74287^yUXq{Z-Pm&`-%k{>pM7Y?g+(&0Wu|{m~jlXPG
z<;*+Ki)Sa07;=O$`w@I|-qda&w-^J*p*LtQ$46~QV&MvegB<jBZD(rC@={)Aj>0&;
zzQ%P9i@o3V^+_7+NmS|B$7sdS1%4*3e7`odLCdru!=G!Y6eQsfZ}Z4ZbpHbZbhsuz
z9|X%OoywNtKsaLlE3xTGDYNLF?bah1Wo&7;2ZcsmHfGPZTofClAMvYcokb6;5?yAz
z;8L>I85`{h-{77BL@ja24F@DYV7rgBJ(_t<C9EB=XfWyTTTIKHY2_sJWX4Kj)TCo2
zT1Fu*MH|IqE%sc!;Jg{rF!F5=Hy@$(CFvZdX=J24@*YB<)-113!uxHmhS@xscZ7W3
z75PcQLdMjrqy_Vnx!1VWVMKj}e80E593#)d+3THOR_Hx-uhbqktY-c(r8UnB_B>?I
z!2ZTY6_4okz~%UMic8?}OP=hp1fl68wy6mIOc4csX3iNR`aLcLz6bBq93lb@cOt<s
zeuMaeV&68FI4K%!OSwn_Ykd|)sD1iP)ks=fG&6H?3c7#I+cT&LWLsPaQ*rb19RnyH
z1cl6~s3HgUXeS6%Zf`FB3vd8b_uqu>uSqrC{ekxYDlQCyex`7|&b2D77Rjck`^EI*
zs_@dLDmnYhV3Mri)yi&aEFyK0Z(;YDF?9BzkwUz38SRu<Lni|F{v6A^k9NDxy_26-
zVO@-zs!jHTI0YWu%nvv#DnL+$0VU*j=4Z+MET0*;bq)On45l4ets0KE39Cy3J448J
zsT<!Vl?GL#*&x~FWcHF*tQ`UoL_ipJp}g(W#w;TJHUG1TrMK<Fpbd3F_4rz1eq;LX
zv8zWYKIt)=SLU^Jr<F?YGHMnSzS%Im|FJktfAaNL3HW3sjh1CVwP|flQ$%0Sfcx%6
zr{&gi1(zA&3^^omSGJRE90wJhQi$k0y${$}=5@*bY@;kJnz$6of}@bp-{{R{ar3Y&
zf91#^zM<pMAIElDi6L&X;=9pQW>i<W<d372)Rgy4Jh)Qh$1Pf<Xb>cToeg<0XqoD)
zes8trtvEfm*|LMj-4yfJR!u@&#I~Uw`@;rzfhFS+Tl*q6Tx0I}Jnt(7T2xji4Y8|r
z4XGVVjMEC^@pPxh&p${u^q+A7xPzc~D)vzbf#o-aZ;;HS#G#6sPPR~vwz5`6eP><D
z*$0jX-A+sx+*?*D1Yapi45TGIK2dGb^0!`qTS^C#%1lIj=e022+Psblrlff#e)N*|
zpp9oW?3$7M^GjMKb6eA2z`RQ8M_=(9Dc3(5y3-9z6b+SP+Fan;NIpx>wpC&ch>vvU
zv-0^_BQuDX53zBArwvy)A6M8+zzMYM>(Cweq~J`R;2v!{ZmU9@<Wq^@W~iNk%_%y^
z!RWq``ZpGNw&d@dWi)mCE1X3m-<2B7(biuX6|XyI<Ej%>yn2ws{KXNi0UW&`FTXPP
z#ZoBq-q)fJT}LALF<JLtX&LmHLMdd!8;~>XHPav{#Y`ol7n3PDzmC-7mmIsTC*3#2
zkLNBPlr9|!L+MN=X1w%hy!~clvEQ>31*FF`y>m9cclWs<!tEc$hjXeVbL(B2J#MdJ
zPU;)$Ty<?9lkvI7JN#54$vR{j7Ev6H3AflIaTA4b?I1&_wrCYMfe#~t@0hNGv%L75
z5wSl?GI8j|^am$gw<)RQ{DnO3p`0prgAu{rdE1%P)p$h^==Z^>RCfVJXLC2qr${_N
z-$JaGF2G6ED@oklWyV4P1%S=x<HFdXZL?>Iqu^d2sOWzDoH!g5AYX3I(+~>WTXbbz
z)#DDtEFY__DI%uCmCZtb%<@xbVet`nNR~Mmo!ozloVyRlE!Cw4MW&mfoK}G69yfde
ztfE`dN<?(t46fb`FbxVw##S@8Mpp_@z#C$8+;uUQe)%Ja1joR{kMhCg@5ZbO8T+x5
z?v6Yx(~Bg!+V+*2e~Itkeg{xiMWj}4&_g}*_{UaswcZk`v2r?PVffz|(BMotkOiE{
z)!s-hVjzISdhPynb8E)mZZmV7p<xGU;~E_PMpi6j;C{ZC@LM~fcuY_V7ZAg+ir|!~
z?Ha5f#+uhf^JlhJFI?P^c?m_|)_%NZ$%BAE)%^cgrs=;$d;isn{Vax@xPbN&^c^Pj
z-)sxbSTf#Z1TSYtSJ$;K>fZf&Z)5N=isy-Cit!SDwrDegS)iw|aj#5p!o<D7<?#~*
z2hYZLXIJ%E?};>d-bPs=+q`ZmqTPG;b%D|pTzMM4zw~lG<AvW|7@LcC41Dfn87aAr
z{c1Jgq<Htj;W0jZJo$Y~$U;w}*Q%9C@rqDH&C3F0%!Qj4ZWiTMsZ!(%&N!6<IZ?HZ
z!8@-oh|}{isroL^1efUcbkm!d3>B^n^%<kz%D2qvG1HZFMeMaSVV-FPWY!BPq1+uQ
z-L3dI`+ZAf$Z7cb?xwUTmk(A365B_Q#&pScJrd;S&kj}!C`@bUUlQngH~pcU#-=>u
zDNmdg^;m2H1vqVzgtL=nSQe$$NDZHZY99=drkjw~ZW?-Ol&jj_ajkZaaUj$!-d_x{
z-wumC=bB`km1PKS61b1oHbrXaz~AhdZW<W8v|K(n;UyHKI$%$HZoic-UY|8coQ`#=
zg63hLk*1`lF*U5PfY~O4g*!M_@LNo&54!Sk@Hin%D^X%-AQs#E@BW}F_cUa}1nr~K
z3}i!Sw+|A8>Oc&nAMzK3iU%xFJYrj^s=O-GY%*03G`tTwh9oBKCwokRFCEm0_IElh
zE7=uNU-D$Z-ai5tCA*hSqEB`xHqDibo(mApPKtAfwM|jYcG4tDtbMGS)o`w6=B9aJ
zgQThsvm!eDf}L``^!8JyW@Xf+lW>s=wt{^-rMFu{ni5frXuGY+AhsYDoa7SMMBX|p
zD`kvVI2NBf{ew=OsI$o{U3SfmN}iTSkx9Us_4Bc|iaP0J!#d0!4Qk5f)eEmsnHyHE
zY1X3)8wIHQVRfr`Gb!cw+^^u;n$E%#D@5~jx;K%_GZn4TVu<?#WIk!`)?L2*s&Ln;
z>{k_+rLl#J&D||p!&$FvhZ9Bl-0Q7n8YoM8w;}w|2C?@adi-Sf<H<`!xUu)HWJlF$
z-P<Cj$*7F>Q7sdTzXzY7W$=6T`eN%j|4<5LdwA`T!2@jNRgnfq9!XXu{TR`UVgF+*
zIhEvrOUnMGED}Z!ZWjIYuP<btuH-r%yP1%!AJ|*Feds-&jC<aY=HgbWqJ><W!2OMW
zN8wUN0;lyYI_!0(DQ^Wi<GUL3q&!7M?8f6q?XfS~r`0LmFn!4Lmt}QOF5)T0HsfyV
zQNsFEY?YMBqdagpZeu2=4|)28F|B_{X?k~eR}w?GhK*Q&vs>>@yoH@Joo0E3K)$$-
zESn(#d*Uh?h5OO(E!#pC@9)ZjN=5k)@4H4i%jgfJ#tpbZv`>))Si~Q(uVln3CecSQ
z|DQwZ|4qR7UrosWHn#l#S=YwA+h32dU3COLTvZt_XxOF&fmA*Kf8BnI=&e{}2mC+=
z$Y1i&-ygvEMi=+@rz}hfd;k321*kgIGL7Z-<JTFP|1~4u$-t?(|21Fs|Gm1;%=S>z
z?C;`0@^by(r?t6NEt)fzc>?!fUfbRM+hhN|%nNlF*O&j_)eju+%5r%BjqOFO0>qBJ
zx8)a<H$q(SC9l5W9xKG)3%ma^R*9bgTkG)t*g;rFJ96^GS9iJ7|9$a4zh}YRM&PvE
z)f@BfT@>4QXmRz;cdvqvpQwK`rKByryXtw^I-XJn;0mRn_2+BSRR1>JYy7xDb#L;<
zZs{4KP1T9v%Mag9@UA+}ZLU=Q>V`v;x#-^HkG~#?hYK0Jkd@%SebHKIN6GI~b$s#L
zb;^#EeOagHUE|OtT^hLk*KUXP9Ur$%ur*X)mQ&#coXK7k`+Wb4_a8$3*(uk2teM`v
z=;iF!MjH>bfxMgJ`d(}I^s?U@gWv40Vo!1h@*|d1<-fQS*flM4j#m9N%|brQ@K2#O
zuQ%214Sv~GbyVru)b2Sd8KM0aE3})$dwRj1+<NcgyXDsN-)i66_GR6!B0D{QwYa48
zPP2Iv>p9JA)uXTPUJ&E>VbO8x^WQ5%p0`c5ejyt%aqWw_`&V}^xjpZD_50dO&wy5+
zdaU##VUMxxnO*HCcDcNaoSXYv_Wmx(h$CT_tpj&4J_UAA!&0oPrgt<<=Dgm$+e-F6
z6EGyU=P6(P^Iz0$)t41L$K{Rsm%L98KDb@;^`_Ll$veB9o-TRAy1HCfZrwq<m$|^9
zk~PPGtCJt-zPq@0?wc(ArrU|YEiN}6Phx(oTo?l!sgPe_dnRGFiQlHsO;bv5uDcg`
zGilC@i+g9^dn@S2Gj~zt9(A>6p=K;Vmn2tLmG1x!CA*z2`?}6cGyZRrT6xVaNd}<b
zcwgMTXHd6Sd8hOn_i{d{KmiA^4}&+2y}k=dtW1|$YhC*{G?XO9&z4K{B0b$RyitTC
zaE5Oakh70g)%WcCKico_`CVvYVzT9>*`<v>H&<MJ4?2D3!ngIPr_fxm1}fQU0y?7U
gmd&lj>;Kj7P>N${H?xffo@T}1>FVdQ&MBb@0QT?iJpcdz

literal 0
HcmV?d00001