порядок увеличить скорость шифрования и расшифрования.
Криптостойкость системы ЭльГамаля основана на том, что можно
легко вычислить степень целого числа, то есть произвести
умножение его самого на себя любое число раз так же, как и при
операциях с обычными числами. Однако трудно найти показатель
степени, в которую нужно возвести заданное число, чтобы получить
другое, тоже заданное. В общем случае эта задача дискретного
логарифмирования кажется более трудной, чем разложение больших
чисел на простые сомножители, на основании чего можно
предположить, что сложности вскрытия систем RSA и ЭльГамаля будут
сходными. С точки зрения практической реализации, как
программным, так и аппаратным способом ощутимой разницы между
этими двумя стандартами нет. Однако в криптостойкости они заметно
различаются. Если рассматривать задачу разложения произвольного
целого числа длиной в 512 бит на простые множители и задачу
логарифмирования целых чисел по 512 бит, вторая задача, по
оценкам математиков, несравненно сложнее первой. Однако есть одна
особенность. Если в системе, построенной с помощью алгоритма RSA,
криптоаналитику удалось разложить открытый ключ N одного из
абонентов на два простых числа, то возможность злоупотреблений
ограничивается только этим конкретным пользователем. В случае же
системы, построенной с помощью алгоритма ЭльГамаля, угрозе
раскрытия подвергнутся все абоненты криптографической сети. Кроме
того, упомянутые выше Ленстра и Манасси не только поколебали
стойкость RSA, разложив девятое число Ферма на простые множители
за неприлично короткое время, но и, как было замечено некоторыми
экспертами, указали "брешь" в способе ЭльГамаля. Дело в том, что
подход, применявшийся при разложении на множители девятого числа
Ферма, позволяет существенно усовершенствовать методы дискретного
логарифмирования для отдельных специальных простых чисел. То есть
тот, кто предлагает простое Р для алгоритма ЭльГамаля, имеет
возможность выбрать специальное простое, для которого задача дис-
кретного логарифмирования будет вполне по силам обычным ЭВМ.
Следует заметить, что этот недостаток алгоритма ЭльГамаля не
фатален. Достаточно предусмотреть процедуру, гарантирующую
случайность выбора простого Р в этой системе, и тогда только что
высказанное возражение теряет силу. Стоит отметить, что чисел
специального вида, ослабляющих метод ЭльГамаля, очень мало и
случайным их выбором можно пренебречь.
Открытое распределение ключей
Пока преимущества методов шифрования с открытым ключом не
были очевидны. Однако на их основе легко решать задачу выработки
общего секретного ключа для сеанса связи любой пары пользователей
информационной системы. Еще в 1976 году Диффи и Хеллман
предложили для этого протокол открытого распределения ключей. Он
подразумевает независимое генерирование каждым из пары
связывающихся пользователей своего случайного числа,
преобразование его посредством некоторой процедуры, обмен
преобразованными числами по открытому каналу связи и вычисление
общего секретного ключа на основе информации, полученной в
процессе связи от партнера. Каждый такой ключ существует только в
течение одного сеанса связи или даже части его.
Таким образом, открытое распределение ключей позволяет каждой
паре пользователей системы самим выработать свой общий секретный
ключ, упрощая тем процедуру распределения секретных ключей. Хотя
все не так просто - отсутствие у абонентов перед сеансом связи
заблаговременно распределенного общего секретного ключа в
принципе не дает им возможности удостовериться в подлинности друг
друга при помощи обмена сообщениями по открытому каналу.
Например, пересылать ключи можно и по описанному выше алгоритму
ЭльГамаля в модификации Шамира, но как убедиться в том, что
имеешь дело с партнером, а не перехватчиком? Для подтверждения
подлинности каждый из участников секретной сети все же должен
иметь собственный секретный ключ, известный только ему и
отличающий его от всех других абонентов. В этом случае алгоритмом
Диффи-Хеллмана будет обеспечена такая процедура предъявления
пароля, что его многократное использование не снижало надежности
доказательства подлинности владельца. В результате две функции
общего секретного ключа, обычно доставляемого по секретному
каналу, как защита информации в канале связи от третьей стороны и
подтверждение подлинности каждого из абонентов партнеру,
разделяются. Алгоритм открытого распределения ключей
Диффи-Хеллмана выглядит так:
1. Пусть имеются два абонента открытой сети А и
В, знающие пару открытых ключей Р и D.
Кроме того, у А есть секретный ключ Х из ин-
тервала (1, N), а у В есть секретный ключ Y из
того же интервала.
2. Абонент А посылает В шифровку своего ключа
Z'=D**X MOD Р, а абонент В посылает А шифров-
ку своего ключа Z"=D**Y MOD P.
3. После этого общий ключ Z они вычисляют как
Z=Z'**Y =Z''**X.
При помощи специальных приемов время формирования общего
ключа в системе Диффи-Хеллмана может быть сокращено в 5 раз по
сравнению с системой ЭльГамаля в модификации Шамира, и в 30 раз
по сравнению с RSA при том же уровне стойкости. Это, с точки
зрения большинства практических приложений, оказывается заметным
преимуществом, так как шифрование и расшифровывание по алгоритму
RSA примерно в тысячу раз медленнее классических алгоритмов типа
DES. Отметим, что для многих применений криптографических систем
с открытым ключом время вычислений при криптографических
преобразованиях не имеет большого значения. Например, при
идентификации пользователей по кредитным карточкам не будет
разницы потребует ли она одну микросекунду или одну секунду. То
же относится и к выбору общего ключа шифрования для другой, более
быстродействующей, но не обладающей способностью обмена ключами
криптографической системы.
Необходимость в системах открытого распределения ключей иметь
заранее распространенные из центра индивидуальные секретные
пароли для подтверждения подлинности пользователей не выглядит
столь уж обременительной задачей, как изготовление и
распределение из центра пар секретных ключей для связи абонентов
меж собой. Срок действия такого пароля может быть существенно
больше, чем срок действия ключа для связи, скажем год, а их общее
число в сети связи равно числу абонентов. Кроме того, при
некоторый видах связи, подтверждение подлинности партнера может
достигаться за счет узнавания его по физическим признакам.
Например, по голосу при телефонной связи или по внешнему виду и
голосу при связи по телевизионным каналам. Следует отметить, что
распределение ключей с помощью криптографических систем с
открытым ключом имеет единственное достоинство - необходимость на
каждом узле секретной связи иметь лишь по одному ключу. Для
классических же симметричных криптографических систем ключей
должно быть столько, сколько у узла абонентов. Вместе с тем,
системы с открытым ключом имеют слабые места. Так, если взлом
шифровки, содержащей ключ, в классической системе принципиально
невозможен, так как открытый текст несмысловой и не содержит
избыточной информации, то в системах с открытым ключом у
криптоаналитика всегда есть надежда на успех. Далее, если число D
общее для всех участников сети, то его компрометация, в виде
обнаружения специальных свойств, облегчающих логарифмирование,
приведет к компрометации всей сети. Если же D индивидуально для
каждой пары абонентов, то, во-первых, из-за обилия ключей проще
найти среди них слабый, и, вовторых, хотя рассылка и хранение
несекретных ключей несравнимо легче, чем секретных, но тоже
доставляет массу хлопот. Поэтому если у криптографа есть
возможность воспользоваться услугами секретного канала, то он
всегда предпочтет его открытому распределению ключей.
Из практически действующих сетей связи, использующих систему
открытого распределения ключей, наиболее серьезно защищенной
является телефонная государственная сеть США на основе аппаратов
STU-III. Она начала функционировать в 1987 году и содержит сейчас
более 150 тысяч абонентов. В России аналогичная сеть, называемая
еще АТС-1 или "вертушкой", тоже надежно защищена, но абонентов
там в сотни раз меньше. От этого многие данные передаются по не
вполне закрытым сетям вроде ИСКРА-2, доступным для взлома
хакерами. К началу восьмидесятых годов криптологи пришли к
пониманию преимущества так называемых гибридных систем, в которых
процедуры шифрования с открытым ключом используются лишь для
передачи ключей и цифровой подписи, а информация, которую нужно
передать, защищается классическим алгоритмом типа DES, ключ для
которого передан с помощью шифрования с открытым ключом. Первым
серийным устройством данного типа был Datacryptor фирмы Racal-
Milgo, выпущенный в 1979 году. Аппарат управления ключами
шифрования Datacryptor предназначен в основном для
правительственных сетей связи и аттестован на соответствие
английскому стандарту защиты не секретной, но важной информации.
В нем предусмотрены сигнализация о нарушениях криптографических
требований и извещения об ошибках. В этом аппарате используется
алгоритм установления шифрованной связи при помощи выработки и
передачи общего секретного ключа по алгоритму RSA. В дальнейшем
аппаратов подобного типа для защиты информации было выпущено
очень много. Другие примеры использования новых криптографических
идей демонстрируют многие коммерческие сети, особенно банковские,
как SWIFT. Кроме того, система цифровой подписи RSA применяется в
аппаратуре проверки соблюдения договора об ограничении ядерных
испытаний, разработанной Sandia Laboratories в 1982 году, сети
BPMIS и других системах. В России ряд фирм тоже занимается
гибридными схемами, как Телекрипт, использующей быстродействующий
алгоритм ГОСТ 28147-89 для шифрования данных и генерации
имитоприставок (Имитоприставка - шифрованная контрольная сумма по
исходному тексту, позволяющая с любой наперед заданной
вероятностью судить об отсутствии в нем искажений.) и алгоритм
RSA для управления ключевой информацией и получения цифровых
подписей.
Цифровая подпись
Действующие в России системы передачи данных в большинстве
своем имеют недостаток, который заключается в том, что они не
дают возможности проверки подлинности и авторства пересылаемых
документов. С их помощью в настоящее время невозможно заключение
юридически признаваемых сделок и пересылка юридически
подтверждаемых документов, вроде платежных поручений. Это часто
сводит на нет их преимущества по сравнению с почтовой пересьшкой.
Как правило, все полученные через компьютерную связь документы
копируются из памяти машины на бумажный носитель, подписываются
физическими лицами и удостоверяются печатями юридических лиц.
Единственное исключение представляет плата КРИПТОН, так как
достоверность платежных документов, зашифрованных с ее помощью,
признана арбитражным судом. В ней и ряде других шифросистем
цифровая подпись сообщения образуется с помощью секретного ключа.
Проще всего зашифровать сообщение этим ключом, но оно ведь может
быть очень длинным. Поэтому для экономии шифруется лишь
контрольная сумма, сделанная по сообщению, называемая
имитоприставкой. Например, в PGP длина ее 128 бит, что
обеспечивает качественный "отпечаток пальцев", который подделать
практически невозможно, так как вероятность подделки меньше
10**(-38). Вместе с тем, что очень важно, восстановить
оригинальное сообщение по цифровой подписи невозможно.
Решение проблемы авторства документа может быть достигнуто
лишь с использованием электронной цифровой подписи - средства,
позволяющего на основе криптографических методов надежно
установить авторство и подлинность документа. Это средство
позволяет заменить при безбумажном документообороте традиционные
печать и подпись. Электронная цифровая подпись зависит от текста
документа, требующего заверения, секретного ключа, доступного
только заверяющему, и несекретного общедоступного ключа. Преобра-
зование, используемое для выработки цифровой подписи, является
криптографической функцией от указанных величин. Оно выбирается
таким образом, чтобы при отсутствии у злоумышленника секретного
ключа сделать невозможным подделку цифровой подписи, незаметное
изменение документа, а также дать возможность любому лицу при
наличии у него общедоступного ключа, документа и цифровой подписи
удостовериться в подлинности документа и соответствующей цифровой
подписи. Только секретный ключ гарантирует невозможность подделки
злоумышленником документа и цифровой подписи от имени
заверяющего. Каждый пользователь системы цифровой подписи должен
обеспечивать сохранение в тайне своей секретный ключ.
Общедоступный несекретный ключ используется для проверки
подлинности документа и цифровой подписи, а также предупреждении
мошенничества со стороны заверяющего в виде отказа его от подписи
документа.
Цифровая подпись не имеет ничего общего с последовательностью
символов, соответствующих изображениям печати или подписи,
приписанной к документу. Если бы это было так, то, перехватив
один раз эту последовательность, злоумышленник мог бы впредь
приписывать ее к произвольному документу от чужого имени. При
построении цифровой подписи вместо обычной связи между печатью
или рукописной подписью и листом бумаги выступает сложная
математическая зависимость между документом, секретным и
общедоступным ключами, а также цифровой подписью. Невозможность
подделки электронной подписи опирается не на отсутствие
специалиста, который может повторить рукописную подпись и обычную
печать, а на большой объем необходимых математических вычислений.
В современной криптографии есть примеры описанных выше функций,
для которых сложность подделки цифровой подписи при отсутствии
секретной информации заверяющего такова, что самая мощная из
существующих сверхбыстродействующих ЭВМ не сможет осуществить
необходимые вычисления и за десятки лет.
Другое приложение цифровая подпись находит при снабжении
абонентов криптографической информационной сети ключами.
Простейший способ выделить группу пользователей сети - снабдить
их общим секретным ключом. Недостатком такого подхода является
то, что компрометация пароля у одного из членов группы ведет к
краху всей системы подтверждения подлинности. Простейший вариант
усиления системы - снабжение пользователей индивидуальными
секретными паролями. Однако при таком варианте возникает проблема
надежного хранения большого количества секретных паролей, а это
приемлемо лишь для крупных абонентских пунктов. К тому же
пользователи не могут непосредственно представляться друг другу,
минуя центр. Чтобы обеспечить возможность непосредственного
представления пользователей друг другу, процедура проверки пароля
должна быть общедоступной. В то же время алгоритм должен быть
устроен так, чтобы подделать пароль на основании известной
процедуры проверки было невозможно. Для использования цифровых
подписей при обмене ключами требуется общедоступный каталог
секретной сети, где хранятся процедуры проверки подписи всех
абонентов. Для системы RSA этот каталог содержит
имена-идентификаторы абонентов ID с парой чисел (N, D). Для
системы ЭльГамаля в каталоге против каждого имени ID записываются
простое число Р и целые числа N и Y. Подлинность каталога с
подписями может быть обеспечена путем подписывания каждой записи
в каталоге или всего каталога сразу центром и выдачей в таком
виде их абоненту. При установлении связи абоненты обмениваются
этими подписанными сообщениями и на этом основании проверяют пол-
номочия друг друга: просят партнера подписать случайное
сообщение. Для системы ЭльГамаля общий объем ключевой информации
в сети может быть сокращен за счет использования всеми одних и
тех же чисел Р и N. Для системы RSA общим можно сделать только
число N, а числа D должны бытЬ у всех различными.
Из-за перестановочности операции умножения в алгоритме RSA не
имеет значения, будет ли опубликовано D или Е, для него функции
шифрования и расшифровывания одинаковы. Это позволяет реализовать
процедуру получения цифровой подписи сменой Е и D. Если
отправитель хочет, чтобы получатели его сообщений могли
удостовериться, что эти сообщения действительно исходят от него,
то он посылает шифровку S' вместе с подписью R, вычисленной как:
S = R**E MOD N
Для разрешения споров между отправителем и получателем
информации, связанных с возможностью искажения ключа проверки
подписи [S', R], достоверная копия этого ключа выдается третьей
стороне арбитру и применяется им при возникновении конфликта.
Каждый может расшифровать сообщение S', но так как ключ Е
известен только отправителю, то никто другой кроме него не мог бы
послать шифрованное сообщение или подтвердить подпись как:
S = R**D MOD N
Для того, чтобы обеспечить подобную процедуру подтверждения
подлинности отправителя сообщения, ЭльГамаль предложил следующий
простой протокол:
1. Отправитель А и получатель В знают Р и слу-
чайное число N из интервала (1, Р). А генериру-
ет случайные числа Х и Y из того же интервала.
Х нужно хранить в секрете, а Y должно быть
взаимно простым с Р-1.
2. Далее А вычисляет Q=N**X MOD Р и R=N**Y MOD Р,
решает относительно S уравнение T=X*R+Y*S
MOD (Р-1) и передает В документ с подписью
[Q, R, S, Т].
3. Получатель проверяет подпись, контролируя тож-
дество А**S =(В**R)*R**T MOD Р.
В этой системе секретным ключом для подписывания сообщений
является число X, а открытым ключом для проверки достоверности
подписи число Q.
Особенностью этих протоколов, как нетрудно видеть, является
наличие у абонента секретного ключа, служащего цифровой подписью
идентификатора, который не позволяет абоненту самому сменить свой
идентификатор или выработать подпись для другого идентификатора,
а также то, что он предъявляет контролеру не сам секретный
элемент, а некоторое значение функции, вычисляемое с помощью
секретного ключа из случайного запроса, тем самым доказывая, что
обладает секретом, путем его косвенной демонстрации при
вычислениях. Именно отсюда происходит рассматриваемое ниже
название "доказательство при нулевом знании", то есть абонент
доказывает, что обладает секретом, на раскрывая самого секрета.
Как вырожденный случай алгоритма цифровой подписи можно
рассматривать шифрование и расшифровывай ие передаваемой
информации на общем секретном ключе абонентов, изготовленном и
распространенном заранее, как это применяется в классических
криптографических системах.
Теперь вернемся к длинным числам, которые были приведены выше
в описании метода RSA. Авторы этого метода в своей публикации
привели и цифровую подпись, которая предлагала $100 первому,
взломавшему их шифр. Пока еще не было сообщений о его вскрытии и,
может, ктонибудь из читателей захочет попробовать и свои силы в
расшифровке?
Доказательство при нулевом знании
На основании описанных алгоритмов шифрования, распределения
ключей и электронной подписи можно организовывать более сложные
протоколы взаимодействия пользователей криптографической сети,
реализующие подтверждение подлинности и доказательство при
нулевом знании. Так называемые системы "доказательства при
нулевом знании" не являются собственно криптографическими
системами. Они служат для передачи сообщений типа "Я знаю эту
информацию" без раскрытия самого сообщения.
Общая идея этих протоколов заключается в том, что обладатель
секретного ключа доказывает, что он может вычислять некоторую
функцию, зависящую как от секретного ключа, так и аргументов,
задаваемых проверяющим. Проверяющий, даже зная эти аргументы, не
может по данному ему значению функции восстановить секретный
ключ. При этом функция должна быть такой, чтобы проверяющий мог
удостовериться в правильности ее вычисления, например,
представляла цифровую подпись выбранных им аргументов. Действие
такой системы рассмотрим на приведенном ниже алгоритме, где
подтверждение подлинности при использовании алгоритма RSA
организовано следующим образом:
1. Доказывающий А и контролер В оба знают
идентификатор I и открытый ключ (N, Е), но А
кроме того знает еще, секретное число S=I**D
MOD N, сформированное по секретному ключу
D. Сначала А генерирует случайное число Х и
вычисляет Y=X**E MOD N. Затем он отсылает [I, Y]
к В.
2. После этого В генерирует и передает А случай-
ное число V.
3. Затем А вычисляет и передает В число
W=X*(Y**V) MOD N.
4. Контролер В проверяет принадлежность иден-
тификатора I к А, контролируя тождество
W**E=Y*(I**V) MOD P.
Случайный запрос обычно представлен вектором, координаты
которого принимают значения 0 или 1, но он может быть любым
вектором, координаты которого вычисляются по модулю числа Е.
На этом можно подвести итоги краткого рассмотрения
криптографических систем с открытым ключом. Их изобретение,
похоже, лишь добавило головную боль криптографам по следующим
веским причинам:
1. Вместо одного ключа стало два и то обстоя-
тельство, что только один из них секретен,
лишь усугубляет проблему. А ну как по ошибке
в открытый каталог будет помещен не обще-
доступный, а секретный ключ? Чтобы исклю-
чить такого рода казусы нужна полностью ав-
томатизированная система, плохо контроли-
руемая в своих действиях человеком-наблю-
дателем.
2. Как неоднократно упоминалось выше, и сек-
ретные ключи, и их рассылку по закрытому ка-
налу (топ-топ-топ курьеры!) отменить нельзя.
Свойство же обладания одним секретным клю-
чом для всех абонентов тоже сомнительно - в
принципе нет большой разницы между пере-
правкой единственного ключа или тысячи, ес-
ли только они представлены информационно, а
не физически.
3. Наконец, принципиальная возможность крип-
тоаналитической атаки на шифровку несим-
метричных систем, содержащую несмысловую
информацию в виде ключа, указывает слабое
место гибридных систем. Итак, приобретя но-
вые возможности, криптографы получили еще и
несколько новых источников угроз.
4. Системы шифрования с открытым ключом не
решают всех проблем, которые стоят перед кри-
тографами. Например, нечестному пользователю
ничего не стоит под своей настоящей подпи-
сью поставить фальшивую дату. Для финансо-
вых документов это может быть катастрофой.
Поэтому цифровая подпись с датой обязатель-
но должна заверяться третьим лицом, как но-
тариусом. Без его участия цифровая подпись
недействительна.
Классификация криптографических систем
Предыдущее рассмотрение шифров разных типов позволяет сделать
несколько выводов. Крайне желательно, чтобы как можно меньший
объем информации шел по закрытому каналу, требующему больших
затрат на поддержание и являющемуся наименее надежным участком.
Однако совсем обойтись без него нельзя. Количество переданной по
нему информации связано со сложностью вскрытия шифровок следующим
образом. Предполагается, что злоумышленникам и любопытным
досконально известны используемые процедуры шифрования и
расшифровывания, а также статистические свойства сообщения.
Обычно считают, что это им известно даже лучше, чем отправителю с
получателем, но неизвестен секретный ключ. Его будем
рассматривать как число, например, набор нулей и единиц, которые
означают определенные действия над сообщением. Сложность подбора
ключа зависит лишь от объема информации, которую он занимает.
Одним битом можно передать лишь два ключа, двумя - четыре, тремя
- восемь и так далее. Специально отметим, что речь здесь идет об
информации, а не физической длине ключа, которая может быть
довольно большой. Следовательно, чем больше информации в ключе,
тем сложнее его подобрать.
Нет невзламываемых шифров. Все системы шифрования просто
делают взламывание шифровок или заведомо дороже содержащейся в
сообщении информации, или затягивают расшифровывание на
неприемлемо большой срок по времени. При разработке шифра
устанавливают приемлемые цену или время взламывания и дальше уже
не обращают внимания на очень богатых или терпеливых взломщиков.
Необходимую сложность ключа в классических криптографических
системах вычислить нетрудно, если знать технические возможности
источника угрозы и плату за ошибку в оценке надежности шифра.
Например, любопытствующий не переберет вручную и сотни ключей -
устанет, а больших неприятностей от него ждать не приходится.
Поэтому тысяча вариантов ключей достаточна, что эквивалентно
информационной длине ключа 10 бит или ключевому слову из 3-5
букв. Если же информация представляется стратегической и устареет
не быстрее чем за 5 лет, а источник угрозы - крупная фирма,
которая может нанять криптоаналитиков и получить доступ к
сверхбыстродействующей ЭВМ, то и ключ нужен посложнее. Можно
допустить, что они обеспечат проверку миллиона ключей в секунду.
Тогда, если оставить противнику один шанс из миллиона, то число
ключей должно быть записано с 22 десятичными разрядами, что
примерно соответствует 70 битам или ключевому слову из 30-35
букв. Таким образом, число необходимых ключей можно записать в
виде формулы:
N=[время жизни шифра]/[скорость подбора ключей]/[шанс взлома]
Время жизни шифра вряд ли целесообразно задавать больше 25
лет. В Британии секретнейшие правительственные решения по
истечении этого срока публикуют для историков. А вот скорость
подбора ключей всегда вызывает споры. Например, публикация
американского стандарта шифрования DES вызвала у ряда
криптографов призывы его бойкотировать, так как они утверждали,
что за 20 миллионов долларов можно создать ЭВМ, перебирающую
миллион ключей в секунду и раскалывающую шифр скорее чем за
сутки. Правда, представители национального бюро стандартов
возражали, что на создание такой сверхбыстродействующей ЭВМ уйдет
5 лет, а это время - приемлемый срок жизни стандарта и шифров.
Последняя величина в формуле, выражающая риск от взлома шифра за
указанный срок, весьма индивидуальна и обычно имеет величину от
одной тысячной до одной миллионной в зависимости от области его
применения.
После общего рассмотрения принципов действия
криптографических систем попытаемся дать строгое определение
сложности их разрушения. Трудность вскрытия шифра опирается на
понятие алгебраической сложности. При определенных условиях, а
именно при совершенстве типа шифра и современном состоянии
криптографии, можно утверждать, что сложность зависит лишь от
случайной последовательности, которая представима как ряд чисел.
Самая простая последовательность чисел - повторение одного и того
же числа, как 0, 0, 0,... - фактически оставляет исходный текст
открытыми. Более сложную, но не менее естественную
Дата добавления: 2015-08-28; просмотров: 25 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |